1 Тема от flainth

  • flainth
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 10-05-2012
  • Сообщений: 8

Тема: фильтрование, ограничение p2p трафика в unix-подобных ос

Доброго времени суток!
Нужен совет или подсказка/рекомендация, какими средствами в unix-подобных ос возможно "отлавливать" и "обрабатывать" p2p трафик?
Вообще, существуют ли "готовые решения" ?
Вариантов работы с "напильником" , в ооочень крайнем случае...

В данный момент эту задачу выполняет Kerio Wonroute Firewall под управлением Windows Server 2008...
Хотелось бы перейти на *nix...

Отредактировано flainth (10-05-2012 15:38:28)

2 Ответ от E_gorka

  • E_gorka
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 22-02-2011
  • Сообщений: 101
  • User Karma: 6

Re: фильтрование, ограничение p2p трафика в unix-подобных ос

А каким образом это работает в Kerio?

У меня шлюз на mikrotik (железка, что то среднее между циской и длинком). Реализовал так: сначала промаркировал все известные соединения (аська, почта, http) а после все, что в диапазоне портов 10000-65000 маркирую как p2p. Топорно, но работает.

Так же есть правило, что "если через это соединение прошло более 500 Кбайт, считать это соединение закачкой (download)"

P.S. чтиво для размышлений

Отредактировано E_gorka (11-05-2012 08:22:11)

3 Ответ от flainth

  • flainth
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 10-05-2012
  • Сообщений: 8

Re: фильтрование, ограничение p2p трафика в unix-подобных ос

E_gorka пишет:

А каким образом это работает в Kerio?

У меня шлюз на mikrotik (железка, что то среднее между циской и длинком). Реализовал так: сначала промаркировал все известные соединения (аська, почта, http) а после все, что в диапазоне портов 10000-65000 маркирую как p2p. Топорно, но работает.

Так же есть правило, что "если через это соединение прошло более 500 Кбайт, считать это соединение закачкой (download)"

P.S. чтиво для размышлений

Примерно так же и работает... тоже есть ограничение полосы пропускания при передаче больших файлов. но для торрентов там отдельная панелька есть "фильтр р2р", там ограничение по скорости можно выставить, заблокировать р2р...

4 Ответ от E_gorka

  • E_gorka
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 22-02-2011
  • Сообщений: 101
  • User Karma: 6

Re: фильтрование, ограничение p2p трафика в unix-подобных ос

flainth пишет:

но для торрентов там отдельная панелька есть "фильтр р2р", там ограничение по скорости можно выставить, заблокировать р2р...

Влезть в потроха этого правила, посмотреть как работает фильтр.

5 Ответ от flainth

  • flainth
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 10-05-2012
  • Сообщений: 8

Re: фильтрование, ограничение p2p трафика в unix-подобных ос

E_gorka пишет:
flainth пишет:

но для торрентов там отдельная панелька есть "фильтр р2р", там ограничение по скорости можно выставить, заблокировать р2р...

Влезть в потроха этого правила, посмотреть как работает фильтр.

Видимо произошло недопонимание smile или Я не точно объяснил... Там не правило, там есть специально выделенная вкладка под р2р (см. вложения)... а влезть туда... стыдно признаться - не знаю как...

Добавлено: 14-05-2012 11:45:42

Вопрос по прежнему актуален! Гуру *nix откликнитесь smile
Возможно ли выполнять указанные выше функции используя IPFW (pipe)?

Отредактировано flainth (14-05-2012 12:46:04)

Post's attachments

p2p.png
p2p.png 16.5 Кб, файл не был скачан. 

You don't have the permssions to download the attachments of this post.

6 Ответ от E_gorka

  • E_gorka
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 22-02-2011
  • Сообщений: 101
  • User Karma: 6

Re: фильтрование, ограничение p2p трафика в unix-подобных ос

По ссылке ходили?
Сейчас многие p2p могут использовать разнообразные порты (в том числе 80), так что анализ по портам/протоколам вести тяжело. Значит нужно анализировать до 7-го уровня модели OSI (приложений), а это умеют в основном всякого рода Cisco, которые стоят как самолет.

7 Ответ от flainth

  • flainth
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 10-05-2012
  • Сообщений: 8

Re: фильтрование, ограничение p2p трафика в unix-подобных ос

Пршу прощения за столь длительное отсутствие smile
Материал по ссылке изучил.
Я уже слышал о подобной ситуации ранее (год назад) ... думал, что этот вопрос уже решён и реализован (всё же работа над *nix не стоит на месте smile), потому ожидал чего-то более конкретного smile
Аппаратные средства приобрести - нет возможности.
Необходимы программные средства...
Про l-7 тоже читал, но там, чрезмерная нагрузка на канал+на сетевое оборудование... не уверен что в таком подходе есть смысл ( и так и так - канал "валится")