Ищем нелегалов в сети или как я починял сетку

shaman	# 11 лет, 3 месяца назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	можно отказаться от сжатия и шифрования :) временно :)

villi	# 11 лет, 3 месяца назад
Темы: 0 Сообщения: 144 Участник с: 07 декабря 2009	Shaman, уж ты мня извини, но шозабред - шейпер нафиг, пусть юзеры сами торренты свои ограничивают ? gard правильно пишет, что pppoe нагрузит шлюз+юзеры на*еру вертели сами себя ограничивать; итого - получатся softirq + 100% нагрузка на проц и - “по морде чайником” :). Моё предложение: /sbin/iptables --policy INPUT DROP /sbin/iptables --policy OUTPUT DROP /sbin/iptables --policy FORWARD DROP Разрешить udp - только для необходимых служб, торренты - на tcp. Резать их нещадно по connlimit+ в /etc/dhcp/dhcpd.conf выставить опцию interface-mtu 1500; Ну и смотреть, пробовать, искать другие пути выхода из сложившейся бяки.

villi

# 11 лет, 3 месяца назад

Темы: 0

Сообщения: 144

Участник с: 07 декабря 2009

Shaman, уж ты мня извини, но шозабред -

шейпер нафиг, пусть юзеры сами торренты свои ограничивают

?
gard правильно пишет, что pppoe нагрузит шлюз+юзеры на*еру вертели сами себя ограничивать; итого - получатся softirq + 100% нагрузка на проц
и - “по морде чайником” :).
Моё предложение:

/sbin/iptables --policy INPUT DROP
/sbin/iptables --policy OUTPUT DROP
/sbin/iptables --policy FORWARD DROP

Разрешить udp - только для необходимых служб, торренты - на tcp.
Резать их нещадно по connlimit+ в /etc/dhcp/dhcpd.conf выставить опцию

interface-mtu 1500;

Ну и смотреть, пробовать, искать другие пути выхода из сложившейся бяки.

shaman	# 11 лет, 3 месяца назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	вы не поняли меня :) шейпер нафиг, я тупо канал порезать хочу :) сейчас шейпер старый пытаюсь оптимизировать, мб что и выйдет

gard	# 11 лет, 3 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Все таки должно же быть лекарство на линукс-серверах от торрентов, может быть мы просто незнаем.. а так пока в этом вопросе картина выглядит удручающей, esfq нет и ничего не понятно..

shaman	# 11 лет, 3 месяца назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	есть такое, я его юзаю уже :) оно не шибко помогает, но режет много

gard	# 11 лет, 3 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	А поделиться секретом? ;) Может быть просто стоит увеличить мощность серверов?

shaman	# 11 лет, 3 месяца назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	iptables -I FORWARD 1 -m udp -p udp -m string --hex-string "\|7FFFFFFFAB\|" --algo kmp --from 40 --to 44 -m statistic --mode random --probability 0.90 -j REJECT --reject-with icmp-port-unreachable iptables -I FORWARD 2 -m udp -p udp -m string --hex-string "\|7fffffff0003\|" --algo kmp --from 36 --to 41 -m statistic --mode random --probability 0.90 -j REJECT --reject-with icmp-port-unreachable iptables -I FORWARD 3 -m udp -p udp -m string --hex-string "\|0000000000380000\|" --algo kmp --from 36 --to 43 -m statistic --mode random --probability 0.90 -j REJECT --reject-with icmp-port-unreachable и небезызвестный l7layer, который умудряется подавить весь торрент трафик :)

shaman

# 11 лет, 3 месяца назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

iptables -I FORWARD 1 -m udp -p udp -m string --hex-string "|7FFFFFFFAB|" --algo kmp --from 40 --to 44 -m statistic --mode random --probability 0.90 -j REJECT --reject-with icmp-port-unreachable
iptables -I FORWARD 2 -m udp -p udp -m string --hex-string "|7fffffff0003|" --algo kmp --from 36 --to 41 -m statistic --mode random --probability 0.90 -j REJECT --reject-with icmp-port-unreachable
iptables -I FORWARD 3 -m udp -p udp -m string --hex-string "|0000000000380000|" --algo kmp --from 36 --to 43 -m statistic --mode random --probability 0.90 -j REJECT --reject-with icmp-port-unreachable

и небезызвестный l7layer, который умудряется подавить весь торрент трафик :)