Главная » Форум » Gentoo Linux » Системное администрирование

Torrent + Nat = ибо не хрен

LinuxID 10 июля, 2012 - 09:57

Контора достаточно большая и текучка персонала соответственно. С некоторых пор появились в сети слишком умные челы-торрентщики. Трафика жрут слишком много и забивают канал так, что простым смертным даже с внутренней шары скачать какой ни будь документ достаточно проблематично. На шлюзе (NAT) по умолчанию все DROP. Трафик по портам старше 1024 тоже DROP. Тем не менее отработка DROP`оп тоже занимает процесорное время и чем больше пытаются скачать тем больше нагрузка. Как победить данную ситуацию не прибегая к посещению любителей покачать ибо не ближний свет?

NAT (Gateway)
https://gist.github.com/3081381 - этого видимо мало.

В сети стоит активное оборудование - DLink DES-1210-52 и 3COM 2250-SFP Plus по несколько штук каждого. Можно ли на них как-то порезать тип трафика?

‹ iptables и rTorrent+ruTorrent Медиа сервер UPnP AV на Gentoo [SOLVED] ›
»

:)

Автор Agressor, дата создания 10 июля, 2012 - 10:44.

IMHO задача не тривиальная, если на клиентах используется шифрование трафика. (а скорее всего так оно и есть). Разве что NAT нафик и всех через транспарент прокси.
Проверено на практике - самый лучший способ решить проблему - это на уровне приказа по предприятию, и последующего увольнения пару челов, нарушивших приказ. Действует просто отрезвляюще на остальных. И вообще не понятно конечно, как у вас юзвери пользуются торрент клиентами - если это не их функциональные обязаности.

»

Проблема даже скорее не в том

Автор LinuxID, дата создания 10 июля, 2012 - 12:33.

Проблема даже скорее не в том что бы не дать качать, а в том что бы не забивать канал. На шлюзе iptables правила то отрабатывает и пользуны качать не могут ... только запросы приходяшие с компов с torrent-клиентами слишком часты и проц на шлюзе тратит большую часть работы на анализ портов и DROP пакетов вместо пропуска через себя полезного трафика.

Правильно заданный вопрос - половина ответа!
Логики и довода — недостаточно. Надо еще зачморить тех, кто думает не так как мы. (South Park)

»

Вам правильно сказали: первый

Автор _SerEga_, дата создания 10 июля, 2012 - 12:47.

Вам правильно сказали: первый шаг - это формальный запрет, например официальный приказ начальства, в котором будет прописано наказание. Подойдет даже автоматический бан по ИП на 10 минут. Даже если это не повысит сознательность людей, то резко упростит работу фаервола.

»

Чем может забиваться канал,

Автор winterheart, дата создания 10 июля, 2012 - 12:51.

Чем может забиваться канал, если качать нет возможности? Чтобы повесить сетку, нужно ураганно слать запросы по всей сети. Без предоставления подробной топологии сети ответ дать затруднительно.

Не грусти, товарищ! Всё хорошо, beautiful good!

»

echo "Разрешаем PING для

Автор slepnoga, дата создания 10 июля, 2012 - 13:05.
                                                                                                                                                             
echo "Разрешаем PING для всех"                                                                                                                               
iptables -A INPUT   -p icmp --icmp-type 0 -j ACCEPT                                                                                                          
iptables -A FORWARD -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT  -p icmp --icmp-type 8 -j ACCEPT

Дальше не читал, ибо скопипащено с одного древнего глюканутого манула без понимания что и как, обычно любители таких вещей фанаты альтернативно-одаренных ОС считают, что icmp надо для "попинговать", а 100 пингов в секунду кладут 2 проца и bsod ;)

P.S
Всегда радуют такие правила :)

echo "Блокируем весь трафик"
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
.....
echo "Блокируем multi & broad casts"
iptables -A INPUT   -m pkttype --pkt-type broadcast -j DROP
iptables -A OUTPUT  -m pkttype --pkt-type broadcast -j DROP


echo "Отбрасывает плохие пакеты"
iptables -A INPUT   -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP

iptables -A INPUT -p UDP --dport bootps -i !${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i !${LAN} -j REJECT

с учетом вышесказанного нижеследующее вообще тянет на цитатник

echo "Блокируем все нестандартные порты - 1024-65535"
iptables -A FORWARD -p tcp --dport 1024:65535 -j DROP
iptables -A FORWARD -p tcp --sport 1024:65535 -j DROP
iptables -A FORWARD -p udp --dport 1024:65535 -j DROP
iptables -A FORWARD -p udp --sport 1024:65535 -j DROP

echo "Блокируем внешний доступ к привелегированным портам 0-1023"
iptables -A INPUT -p TCP -i !${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i !${LAN} -d 0/0 --dport 0:1023 -j DROP

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

А выложи свои правила для

Автор oleg_kaa, дата создания 10 июля, 2012 - 15:55.

А выложи свои правила для iptables?

Очень бы хотелось глянуть :)

Working on Gentoo Linux for Asus P535 and Qtopia :-)

»

*security :INPUT ACCEPT

Автор slepnoga, дата создания 10 июля, 2012 - 17:21.
*security
:INPUT ACCEPT [9953497:4639231634]
:FORWARD ACCEPT [90239195:52240900075]
:OUTPUT ACCEPT [7832588:5465501296]

*raw
:PREROUTING ACCEPT [10626467797:8113920972775]
:OUTPUT ACCEPT [7951013232:6048548470055]
COMMIT

*nat
:PREROUTING ACCEPT [4798055:393822018]
:INPUT ACCEPT [1252986:122665494]
:OUTPUT ACCEPT [247180:17017002]
:POSTROUTING ACCEPT [284126:18970561]
[0:0] -A PREROUTING -d 192.168.1.241/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.20:3389
[2842:136900] -A PREROUTING -d x.x.x.x/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.20:3389
...... skip real ip .... 
[2958081:220958454] -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
[102:6503] -A POSTROUTING -s 192.168.4.0/29 -o eth0 -j MASQUERADE
[12:616] -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE
[0:0] -A POSTROUTING -s 192.168.4.0/29 -o eth2 -j MASQUERADE
COMMIT



*mangle
:PREROUTING ACCEPT [4627:1009817]
:INPUT ACCEPT [185:14165]
:FORWARD ACCEPT [4562:1003401]
:OUTPUT ACCEPT [104:24229]
:POSTROUTING ACCEPT [4666:1027630]
:DIVERT - [0:0]
[4613:1439397] -A PREROUTING -p tcp -m socket -j DIVERT
[4613:1439397] -A PREROUTING -p tcp -m tcp --dport 80 -j TPROXY --on-port 3129 --on-ip 0.0.0.0 --tproxy-mark 0x1/0x1
[46:2240] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
[4613:1439397] -A DIVERT -j MARK --set-xmark 0x1/0xffffffff
[4613:1439397] -A DIVERT -j ACCEPT
COMMIT

filter
:INPUT ACCEPT [5883646:2672026818]
:FORWARD ACCEPT [49808771:28215985195]
:OUTPUT ACCEPT [4268618:3181559778]
:SSHSCAN - [0:0]
:SSHSCAN_WAITLI - [0:0]
[5256:314520] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j SSHSCAN
[12:720] -A SSHSCAN -m set --match-set LATVIAN src,dst -j SSHSCAN_WAITLI
[5244:313800] -A SSHSCAN -m recent --set --name SSH --rsource
[5065:303864] -A SSHSCAN -m recent --update --seconds 3600 --hitcount 5 --name SSH --rsource -j LOG --log-prefix "Anti SSH-Bruteforce: " --log-level 6
[5065:303864] -A SSHSCAN -m recent --update --seconds 3600 --hitcount 5 --name SSH --rsource -j DROP
[11:660] -A SSHSCAN_WAITLI -j ACCEPT
COMMIT





ipset list -t
Name: LATVIAN
Type: hash:net
Header: family inet hashsize 1024 maxelem 65536 
Size in memory: 18460
References: 1




 ipset list|wc -l
385

сорц для ЛР по ипсету - http://www.nic.lv/local.net

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

.

Автор Anarchist, дата создания 13 июля, 2012 - 11:53.
oleg_kaa написал(а):
А выложи свои правила для iptables?

Интересны не столько правила, сколько легенда (особоснование).
:)

:wq
--
Live free or die

»

Ваш вопрос выходит за рамки

Автор wi, дата создания 10 июля, 2012 - 22:32.

Ваш вопрос выходит за рамки технических проблем. Исходящий трафик и ответы на него (именно так работают протоколы типа peer-to-peer) порезать принципиально невозможно. Ваша проблема скорей всего экономическая (чтобы иметь ресурс его надо у кого-то отобрать), и организацонная (налицо наличие некоей ответсвенности и отсутствия полномочий по их решению).

Перво-наперво - разработка и утверждение положений о доступе в интернет, дабы установить понятные всем правила игры. Имея на руках положение и логи доступа легко определить крайнего вслучае претензий со стороны руководства к качеству ваших услуг.

Во вторых экономика. Канал следует резать. Тут и введение автоматических лимитов типа sams. Тут и нарезание полосы пропускания на маршрутизаторе, прокси (squid iproute2 iptables). Ну и последнее но и немаловажное - анализатор логов с автоматическим отрубанием плохих клиентов файрволлом. Это даст возможность обеспечения гарантированного качества исполнения высокоприоритетных задач.

В принципе у меня есть лимиты с самсом. Хотя сейчас, с ростом количества пользователей инета и безумной щедрости на лимиты непосредственного руководства подумываю о положении. Растет так же необходимость защиты от DOS при помощи анализатора и файрволла, по причине наличия в сети любителей разнообразных косо писанных плагинов. Грамотно полосу резать пока, к стыду своему, не научился.

ЗЫ
Внимательно ознакомтьесь с моделmю OSI. Железных решений уровня приложений в природе почти нет.

»

Исходящий трафик и ответы на

Автор slepnoga, дата создания 12 июля, 2012 - 10:23.
Исходящий трафик и ответы на него (именно так работают протоколы типа peer-to-peer) порезать принципиально невозможно.

зато можно применить полиси ;) ( ingress )

Железных решений уровня приложений в природе почти нет

и цена тех, что есть, такова, что их настройки не обсуждаются на форумах ;)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

.

Автор Anarchist, дата создания 13 июля, 2012 - 11:52.
slepnoga написал(а):
и цена тех, что есть, такова, что их настройки не обсуждаются на форумах ;)

Высокая цена не гарантирует ни безупречного качества, ни достаточной квалификации интегратора.

:wq
--
Live free or die

»

спасибо, Кэп

Автор slepnoga, дата создания 13 июля, 2012 - 21:23.

спасибо, Кэп

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".