https://opennet.ru/openforum/vsluhforumID10/4901.html Доброго дня сообществу!<br>Возникла задача блокирования P2P-трафика, торрент-сессий.<br>В принципе ничего против них не имею, но когда пользователи<br>занимают весь исходящий канал отдачами и даже 50Мб/с канал начинает<br>жутко тормозить - не дело :)<br>Дело осложняется, для меня, тем, что шлюз на OpenBSD 4.5, фильтр штатный - PF.<br>Ставить прозрачный прокси - не вариант, т.к. машинка не выдержит и просто не хочу<br>лишнего на ней.<br>Есть ли способ штатными средствами фильтра блокировать, хотя бы по времени, такой трафик?<br>В Linux есть расширения для iptables для просмотра типа трафика и действия с ними уже<br>на основании правил. В PF такого не нашёл.<br>Прошу поделиться советами или дать почитать ссылки с вариантами решений такой задачи.<br>Спасибо.<br> https://opennet.ru/openforum/vsluhforumID10/4901.html#27 Wed, 24 Aug 2011 14:07:58 GMT &gt; А что udp нельзя блокировать таким образом? Не совсем понял вопрос.<br><br>в udp не используется концепция соединения<br>можно ограничить количество посылок (не пакетов) в единицу времени - это максимум, что можно сделать без костылей <br> https://opennet.ru/openforum/vsluhforumID10/4901.html#26 Sat, 20 Aug 2011 18:32:59 GMT &gt;&gt; )) за это я расскажу тебе страшную тайну дружок - например закрыв <br>&gt;&gt; udp &gt; 1024 ты как минимум потеряешь ДНС <br>&gt; "Он имел в виду" :-D , что <br>&gt; (звиняйте, как это будет по опенбздешному, не знаю) <br>&gt; iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j <br>&gt; DROP <br>&gt; (или типа того) <br>&gt; _не_ сломает DNS запросы клиентов~~~ <br>&gt; ...но сломает большУю часть торентов, например.<br><br>А не проще?<br>iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "<br>iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j DROP<br><br>Но здесь не Linux обсуждается.<br><br> https://opennet.ru/openforum/vsluhforumID10/4901.html#25 Fri, 19 Aug 2011 11:48:58 GMT &gt; Торренты такая вещь, ну очень живучая. Всегда найдуться те, которые обойдут Ваши <br>&gt; правила. Лучше нарежте полосу каждому пользователю и группам пользователей качать сразу <br>&gt; будет не интересно.<br><br>Возможно можно просто мониторинг применить и использовать административный ресурс в отношении тех, кто не умеет пользоваться ограничителем скорости для торрентов.<br> https://opennet.ru/openforum/vsluhforumID10/4901.html#24 Fri, 19 Aug 2011 09:36:53 GMT &gt;&gt; Михалкова трудитесь?<br>&gt; Гы-ы-ы!!!! Работает!!1! /// ...сынок, иди в... школу.<br><br>Учись делать приоритеты для траффика и резать канал, папа<br> https://opennet.ru/openforum/vsluhforumID10/4901.html#23 Fri, 19 Aug 2011 09:23:44 GMT &gt; Михалкова трудитесь?<br><br>Гы-ы-ы!!!! Работает!!1! /// ...сынок, иди в... школу.<br> https://opennet.ru/openforum/vsluhforumID10/4901.html#22 Fri, 19 Aug 2011 09:18:01 GMT Яйца бы вам оторвать за такие вопросы. Зачем полностью рубить? Или на Михалкова трудитесь?<br><br> https://opennet.ru/openforum/vsluhforumID10/4901.html#21 Fri, 19 Aug 2011 08:59:18 GMT &gt; )) за это я расскажу тебе страшную тайну дружок - например закрыв <br>&gt; udp &gt; 1024 ты как минимум потеряешь ДНС <br><br>"Он имел в виду" :-D , что<br>(звиняйте, как это будет по опенбздешному, не знаю)<br>iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j DROP<br>(или типа того)<br>_не_ сломает DNS запросы клиентов~~~<br><br>...но сломает большУю часть торентов, например.<br> https://opennet.ru/openforum/vsluhforumID10/4901.html#20 Fri, 19 Aug 2011 04:51:40 GMT &gt; ..другое дело, что на это можно было указать тактичнее <br><br>согласен, но автор сморозил такую чушь что я не сдержался ))<br><br> https://opennet.ru/openforum/vsluhforumID10/4901.html#19 Fri, 19 Aug 2011 04:16:55 GMT &gt;&gt;&gt; Дружок у тебя в трусах, а днс работает на 53 порту,а не <br>&gt;&gt;&gt; на портах выше 1024 которые я предложил закрыть.<br>&gt;&gt; мысли от русах мешают тебе разделять серверную часть от клиентской <br>&gt; аргументируй <br><br>Он имел в виду, что клиенты будут получать ответ от dns-сервера на порт выше 1024-го (в диапазоне т.н. эфемерных портов)<br><br>..другое дело, что на это можно было указать тактичнее<br><br>