гуру шейпинга вопрос

0

3

Кто и как шейпит/блокирует torrent трафик в сети? Интересуют критерии, если есть с L7 примерами, то и их можно. Если есть пример реализации этого на pfSense, то вообще сказка.

Задача: чуток усмирить torrent трафик в домашней сети, а то иногда беда случается. Проблема в том, что 5 лет назад можно было по портам, но сейчас стандартными никто почти не пользуется и шифрование трафика почти поголовное.

Ссылка

←	Beta Late Than Never

freeSoC — хотелось бы понять на сколько эта идея осмыслена?

→

режу клиентский трафик целиком отталкиваясь от IP клиента.

вычленить torrent трафик сейчас очень сложно. из того, что есть процент срабатываний уже мал - это если про L7

MikeDM ★★★★★
(27.09.12 10:29:10 MSK)

Ссылка

приоритезируем dns, http, icmp и т.п. по вкусу, остальное жестоко урезаем

hizel ★★★★★
(27.09.12 10:39:52 MSK)

Ответ на: комментарий от hizel 27.09.12 10:39:52 MSK

Да похоже, что сейчас это единственный действенный способ. Только беда в том, что тот же обфусцированный skype тоже попадёт в урезанные сервисы.

~~vadmitru~~
(27.09.12 10:43:54 MSK) автор топика

iproute2. L7 делался через марки в iptables. Конкретно злопровыебучий uTP был зарублен на корню через тот же айпитейблс.

svr4 ☆
(27.09.12 11:15:12 MSK)

Ссылка

Ответ на: комментарий от vadmitru 27.09.12 10:43:54 MSK

Не проще проанализировать содержимое пакетов? Для старых версий uTP решение элементарно ищется в гугле, для новых - wireshark в зубы и барабан на шею.

svr4 ☆
(27.09.12 11:26:53 MSK)

Ответ на: комментарий от svr4 27.09.12 11:26:53 MSK

от шифрования и барабан не поможет

hizel ★★★★★
(27.09.12 11:29:02 MSK)

Ответ на: комментарий от hizel 27.09.12 11:29:02 MSK

Шифрование требует согласования. А согласование можно отловить и прибить.

svr4 ☆
(27.09.12 11:30:56 MSK)

Ответ на: комментарий от svr4 27.09.12 11:30:56 MSK

нет. потому что изначально шифрование защищало этап договора между двумя peer-ами. потому что, шифровать и передачу данных раньше было накладно.

hizel ★★★★★
(27.09.12 12:16:19 MSK)

Ответ на: комментарий от hizel 27.09.12 12:16:19 MSK

Во всяком случае, ~~при мне~~у меня в сети такой херни не ходило. Возможно я что-то не так делал.

svr4 ☆
(27.09.12 12:20:00 MSK)

Ссылка

усмирить - никак
Когда-то «придумал» интересный(как мне кажется) концепт.
Весь трафик от пользователя, за исключением http/dns/icmp/something считается, и как только превышает какоето пороговое значение - маркируется и помещается в тормозную трубу, если за сутки он превышает второе пороговое значение - банится на пару дней, если нет - вытягивается из тормозной трубы.

iptables, iproute2, ipset

Jetty ★★★★★
(27.09.12 12:43:21 MSK)

Ссылка

Самый простой вариант - повысить приоритет до максимума для консолей, iptv, voip, на 80 порту и прочий полезный трафик.
Всму остальному минимальный приоритет в QOS.

grim ★☆☆☆
(27.09.12 18:09:36 MSK)
Последнее исправление: grim 27.09.12 18:10:55 MSK (всего исправлений: 1)

Ответ на: комментарий от grim 27.09.12 18:09:36 MSK

Способ не Ъ, почему - писал выше.

~~vadmitru~~
(27.09.12 19:01:37 MSK) автор топика

Ссылка

13 марта 2014 г.

Вот еще вариант - торрент клиенты и скайп используют upnp что бы открыть порт и шлют на сервер своё имя. на upnp сервере, открывая порты можно метить не нужный (торрент) и нужный (скайп) трафик. Но это всё возможно в небольших сетях, где пользователи выходят в инет чз центральный nat сервер

Jaguar77
(13.03.14 15:55:09 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Beta Late Than Never

Talks

freeSoC — хотелось бы понять на сколько эта идея осмыслена?

→

Похожие темы