Jak zablokować P2P w ciągu dnia na serwerze Linux, a włączyć w nocy?

Question

Nasze lacze jest przeciazone przez programy typu P2P. Administrator mysli juz o calkowitej blokadzie tych progsow....

Rozsadnym rozwiaazaniem byloby zablokowanie ich w ciagu dnia - gdy siec jest intensywnie eksploatowana...
Chcielibysmy jednak zostawic je wlaczone w nocy powiedzmy od 23 do 8 rano.

Moze ktos pomoc?
Serwer stoi na Linuxie...

dzieki

Kazimierz · Answer

Mam ten sam problem , może ktoś wie jak go rozwiązać ? Kazik

kss213 · Answer

w linux jest mozliwosc czasowego wylaczania zabronionych IP mozna to ustawic w firewall
lookne w ksiazke albo spytam kumpla i dam odp

no i powiem tak
zrob sobie dwa pliki w firewall
jeden z dotychczasowa konfoguracja a drugi zabraniajacy wszelkie uslugi P2P w linux mozna przeladowac firewala
np o godz 22 ladujesz plik nr1
a o godz 6 ladujesz plik nr2
to chyba najprostszy sposob

cymbi · Answer

Ja bym proponował użycie crona i regułek ipchains

Kondzior · Answer

ok ale ja nie jestem az tak dobrze obcykany w cronie czy ipchains wiec prosilbym o jakis moze tutorial, albo przykladowy pliczek...

Wiem ze na serwerze jest firewall i juz w nim sa pewne porty poblokowane (DC++ WinMX) Kazaa wciaz jeszcze chodzi ale zapycha...

Dzieki

elektryk · Answer

Sposób podany przez kss jest dobry ale lepiej zrobić to przy pomocy iptables bo tam jest regułka w której definiuje się czas/date. Co do tematu to kaze można dość skutecznie przyblokować wycinając jej port ale coraz wiecej ludzi przechodzi na przypadkowe numery portów wiec to zabezpieczenie przestaje być skuteczne. O ile dobrze pamiętam kaze można przyblokować blokują pakiety które mają w swojej zawartośc słowo KAZAA. Nie można na forum podać gotowego rozwiązania które napewno zadziała, bo zależy ono silnie od bieżącej konfiguracji serwera i budowy sieci. Być może będzie wymagane dodatkowo przekompilowanie jądra.

techrys · Answer

Rozwiązań jest kilka:
1. Poczekać aż sami się pozabijają.
2. Ograniczyć transfer - każdy dostaje max tyle i koniec. Polecam
http://cbq.trzepak.net/linux/shaperd_cbq.html, da się to uruchomić w godzinę.
3. Stworzyć taką konfiguracją firewalla, która przepuści ruch tylko na dozwolonych portach. Wadą jest możliwość wpisania do konfigu kazy portu np. 80...
4. Iptablesy mają możliwość blokowania po stringu, wpisując do konfiga firewalla 'Kazaa' nawet nie wejdą na www.kazaa.com

.
Jak nie znasz się na ipchains to zajrzyj na tcz.wroclaw.pl oraz www.linuxindex.pl, iptables to wyższa szkoła jazdy.
Stosując jednocześnie punkty 2,3,4 w połączeniu z cronem awansujesz na Najbardziej Lubianego Admina

Qrcze, muszę zmienić lekarza :wink:

And63 · Answer

To rozwiązanie bardzo polecam, jest nieco inaczej niż napisał poprzednik bo jest to dynamiczny podział łącza a nie statyczny. Można zrobić 7 różnych konfigów i odpalać shapera z crona z odpowiednimi konfigami. Sam używam i jest rewelacja, sprawdzoe na łączach 1Mbit/74osoby, 512Kbit/14osób i 115Kbit/22osoby. W każdej z tych sytuacji spisuje się znakomicie.

kysu · Answer

dosyc sesownym i dajacym dobre efekty z niesfornymi uzytkownikami kazzy ktorzy najlepiej sciagali by jednoczesnie po kilkadziesiat np.filmow jednoczesnie, jest ograniczenie na serwerze ilosci polaczen z jednego IP sieci lokalnej ...zadne inne sposoby nie dawaly w naszej sieci dobrych rezultatow (zawsze ktos mial jakies ale.. np. ze on placi wiec wymaga...itd.) teraz kazdy moze korzystac z net-u no i nawet tym od kazyy wyszlo to na dobre (teraz jesli ktos na sile sciaga zbyt wiele plikow jednoczesnie i wykorzysta swoj limit polaczen nie moze korzystac np. z przegladarki IE wiec sam musi kolejkowac tylko tyle plikow do sciagniecia by moc uzywac innych prog. niz kazza... )

techrys · Answer

And63: Pisząc max tyle i koniec miałem na myśli cbq. Shaperd dzieli oczywiście dynamicznie.

DWAserwis · Answer

a jak to można wykonać, wydaje mi się to sensowne, bo ograniczenie dynamiczne jakoś obchodzą kazowcy , i też mam z nimi problem, a na linuksie się nieznam

techrys · Answer

Jakim cudem to obchodzą? W pliku /etc/shaperd/iplist.x wpisujesz: ip_usera 32 128 32 128, gdzie 32 to min. wartość down/upload a 128 max, i niech spróbują wyciągnąć więcej . Kaktus mi wyrośnie . Tak swoją drogą, też jestem ciekaw, jak ustalić limit połączeń - przyznaję, ciekawe rozwiązanie. Iptables? Proxy?

kudlaty · Answer

Ja proponuje Iptable i Cron najlepije mi to dotychczas dzialalo i blokowac blokowac

elektryk · Answer

Co do limitu połączeń to w iptables jest coś takiego jak iplimit (nie limit, to coś innego) który pozwala liczbę połączeń.

And63 · Answer

Techrys ma rację - shapera nie obejdą, robiłem testy u siebie i nie ma szans - ustalasz limity i są nie do przeskoczenia.

olcha0098 · Answer

U mnie admininstrator blokował niektóre adresy ip, ale nic mu z tego nie wyszło bo zawsze się wszyscy przerzucali na co innego i było jeszcze gorzej niż przed zablokowaniem. Wszyscy pozapuszczali się na ftp i dalej nic mu z tego nie przyszło.

And63 · Answer

No widzisz, a shaper pilnuje transferu do danego IP usera bez względu na port

CKsrv · Answer

Witam.
Ograniczacie ludziom transfer do jakiegos poziomu a jaka oni maja z operatorem umowe?
Jesli np wykupili usluge dostepu do sieci z predkoscia 64kbps czy 128kbps to chyba maja prawo do takiej przepustowosci bez wzgledu na to co robia i czy np kazaa ciagnie 35 plików jednoczesnie. Jezeli jestem w bledzie to prosze o wyjasnienie.

Gall · Answer

Żaden operator za rozsądne pieniądze nie da ci GWARANTOWANEJ prędkości. To, co masz w umowie, to prędkość maksymalna.

marek_haj · Answer

w kwestii predkosci maksylamnej i gwarantowanej polecem lekture cennika TPSA, normalnie lektura do poduszki na noc na dobry sen. Zadne lacze o cenie ponizej paru tys. PLN nie ma predkosci gwarantowanej i nie znam firmy w moim miesci ektora by takowa gwarantowala. Wszyscy wypisuja ze 256kilo i wogol enajlepiej to pisza ze 512 ale wszedzie jest magiczne slowo maksymalna czyli w godzinach szczytu jak sie doriwesz do 64 kilo to jest i dobrze.
W sprawie samego blkowania polaczen. Od paru lat korzystam z DC++, umiarkowanie, jakas muzyka , czasem film jakis wpadnie ale nic na chama. Takie programy nie powinny byc banowane przez administratora na zasadzie permanentnej na cala siec bo to jednak krzywdzi uzytkownikow. Liczy sie chyba kultutra sciagajacego, z niestety z tym cienko czasem bywa. Mozna przeciez sicgac sobie film, grunt zeby nie ciagnac 30 na raz z predkoscia 20 b/s. Chyba ze czego nie rozumiem .
Pozdrofka
MArek

elektryk · Answer

Widziałem kiedyś oferte firmy FORMUS i mieli w cenniku wydzielone dla okręślonego maksymalnego pasma kilka wartości gwarantowanych. Przy czym gwarantowanie polegało na gwarantowanym transferze poprzez szkielet firmy do dowolnego punktu styku (dobrze że mieli ich kilka). O cenach nie będe wspominał bo się włos na głowie jeży, firma świadczy swoje usługi przy pomocy łącz mikrofalowych.

CKsrv · Answer

Czy ten test jest jakos miarodajny? Mozna w to wierzyc? bo ze zdziwieniem wielkim mam 2x wiecej niz to za co płace.

elektryk · Answer

U mnie też nieco zawyża bo pokazuje że mam 155k podczas kiedy mam wykupione 128k. Dużo lepszy do testowania jest program DUMeter który pokazuje na bieżąco przesył danych. U mnie przy maksymalnym obciążeniu oscyluje przepustowość w okolicach 128k (co jest prawdą)

Bedi · Answer

a wie ktoś może jak Przyblokować Kaze na Win XP bo już mnie wkurzaja w sieci w serwer stoi na moi normalnym kompie ze wzgledów ekonomicznych i chciałbym im wyłanczać kaze na dzien pomóżcie bo ich pozabijam
Miałem z nimi umowe że nie będą korzystać z kazy w dzien ale widze ze sobie to olewaja wiec postanowilem zablokowac tylko nie wiem jak
--------------------------------------------------------------------------

elektryk · Answer

Na krótką mete wystarczy zablokowanie portu, w jakis sposób udostępniasz sieć?

Bedi · Answer

wbudowane udostepnianie polaczenia internetowego w WIN XPa łącze to jest to SDI moze podacie mi jakis program który blokuje p2p nie koniecznie przez okreslony czas ale wogule i jaki porty blokowac albo jakie IP

elektryk · Answer

Z tym udostępnianiem to jest tak że nie wiadomo do końca jak ono jest zrobione ale możesz spróbować tego niby-firewalla wabudowango w windows.

Bedi · Answer

wiesz z tego co widzialem to raczej nie ma gdzie wpisac portow do zablokowania
a tak przy okazji wie ktos czy jest prograsm do patzrenia jakie pakiety leca z netu do mojej sieci chodzi mi cos podobnego do snifera z linuxa tylko mowie ze mam swicha wiec zwykle snifery nichodza

elektryk · Answer

Ja mam w2k:
Właściwości połączenia sieciowego => Protokół TCPIP => Właściwości => Zaawansowane => Opcje => Filtrowanie TCPIP
Niestety można definiować TYLKO porty które się przepuszcza, a tak wogóle to nie wiem czy to dobrze działa. Jeśli odpalisz snifera na bramce to możesz monitorować cały ruch sieciowy z internetu i do internetu.

Bedi · Answer

a masz moze jakis snifer albo jakies namiary na snifera pod win XP

Jak zablokować P2P w ciągu dnia na serwerze Linux, a włączyć w nocy?

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Post #11

Post #12

Post #13

Post #14

Post #15

Post #16

Post #17

Post #18

Post #19

Post #20

Post #21

Post #22

Post #23

Post #24

Post #25

Post #26

Post #27

Post #28

Post #29

Post #30

Podsumowanie tematu