Dc tiltasa

Hálózatok egyéb

Dc tiltasa

  • 1294 megtekintés

( Emulgeator | 2005. 09. 13., k – 15:08 )

A problemam a kovetkezo lenne. Adott egy debian server(DHCP,NAT,apache,ftp, etc). A koliban a felhasznalok 99%a ezen a serveren keresztul "megy ki a netre", es hat sokan hasznalnak fajlcserelo programokat amik bazira lefogjak a savszelet(gondolok itt foleg a dc++ra). Le kellene valahogy tiltani hogy ezek a prg kimehessenek, de nem tudom hogyan, mivel ha jol tudom a dc kliensek eleg sok portot hajlamosak hasznalni. Ebben kernek egy kis segitseget.

udv: Emul

( Frantique v | 2005. 09. 13., k – 15:10 )

iptraf. :) ... és gondolkodj fordítva: engedélyezd azon portokat, amik kellenek egy normális netezéshez, és filterelj minden egyebet.

( LGee | 2005. 09. 13., k – 15:15 )

Esetleg a dc hubokrol bejovo kapcsolatokat is lehetne tiltani, csak kell csinalni egy blacklist-et. De nekem is szimpatikusabb a "default deny" beallitas. :-)

( Frantique v | 2005. 09. 13., k – 15:18 )

Huh, a dchubok tiltása necces... :(

( jonci | 2005. 09. 13., k – 15:45 )

hasonlokat eltem at tavaly a koliban en is rendszergazdakent:)
probaltam az ipt_p2p module-t, de sajna a dc++ protokollja sokat valtozott mostansag es nem kovette a module, vagy talan valami mas indok miatt, de egy ido utan nem "kapta" el a filemegosztok altal kuldozgett csomagokat (en csak lassitottam a shaperd-vel)
privat ipcimmekkel neteznek a koleszlakok, ezert az ftp is csak passzivban mukodik, ergo, a 1024 folotti portokat se jo csak ugy tiltani
a gondolkodas utan arra jutottunk, hogy tovabb fejlesztjuk a kialakitott rendszer ugy, hogy aki eler egy adott letoltesi vagy feltoltesi limitet, annak tiltjuk az internet elereset az adott honap vegeig (11mbit-es radios kapcsolat van ~60 gepre :roll: )
ha ez nem jo, akkor erdemes meg probalkozni az egy ip altal megnyithato kapcsolatok szamanak korlatozasaval, alapbol nem tudja az iptables, de van hozza patch, igy elejet lehet venni a 5*10 szalas flashget-elesnek es az x*20 szalas dc-zesnek
igazabol nem akartam megvonni a filemegosztos dolgokat, mert nem art ha van, inkabb arra probaltam torekedni, hogy ne nagyon tudjak elvonni egymas elol a savszelesseget...

( E-Medve v | 2005. 09. 13., k – 16:15 )

Hi

Csak egy kis adalek a temahoz:
nemegy hub-ot ismerek, ami 22-es, 80-as vagy 443-as porton megy...

IMHO csak blacklisttel oldhato meg, vagy pedig cbq minden "ismeretlen" portra...

E-Medve

( Frantique v | 2005. 09. 13., k – 16:18 )

Default deny + blacklist az ismert portokra. Ez se rossz, szerintem. Jóval kisebb lesz a processzelési idő... Fene tudja... Most "barbár" módszer jut csak eszembe. :D Összevissza sapkázni, aki p2p-ezik :D :D

( Luckyboy | 2005. 09. 13., k – 16:19 )

Esetleg layer7 féle filter? Nekem elég jól kiszűri a mindenféle p2p cuccokat, az iptables-p2p-el együtt.

( Emulgeator | 2005. 09. 13., k – 16:21 )

hmm, Cbq nem enne meg a servert teljesen? Marmint eleg sok proc ido kell neki nem? Blacklist hasznalhato 5letnek tuni, vagy pedig meg a szalak maximalizalasa(mennyi az idealis szerintetek?)
koszke a helpeket, meg utannanezegetek en is es alszok rajuk egy parat

( E-Medve v | 2005. 09. 13., k – 16:31 )

[quote:5dedc69175="Emulgeator"]hmm, Cbq nem enne meg a servert teljesen? Marmint eleg sok proc ido kell neki nem? Blacklist hasznalhato 5letnek tuni, vagy pedig meg a szalak maximalizalasa(mennyi az idealis szerintetek?)
koszke a helpeket, meg utannanezegetek en is es alszok rajuk egy parat

Ket cegnel, ahol neha besegitek, cbq van, igaz csak 2 megabites ADSL-en... szerintem 10-15 szal eleg per gep, plane, hogy a Firefoxom szereti tobbszalon huzni a cuccot.
Nalam az atlag szalak:
1x XMMS (webradio)
2x Ickle (ICQ & MSN)
3x Thunderbird (3 postafiok)
3-5x Firefox/wget/ftp
par rdesktop es ssh/scp

Szerintem ennyi eleg, nem?

E-Medve

( enrox | 2005. 09. 13., k – 16:31 )

Hali!

Esetleg egy bash script ami letolteni x idonkent a legfirssebb hublistakat
es deny-re a kapcsolodast rajuk.

Ez eljatszhato dc++, edonkey, kazza, hotline stb... -re is

Udv
EnRoX

( Emulgeator | 2005. 09. 13., k – 16:37 )

[quote:67e30d67bd="E-Medve"][quote:67e30d67bd="Emulgeator"]hmm, Cbq nem enne meg a servert teljesen? Marmint eleg sok proc ido kell neki nem? Blacklist hasznalhato 5letnek tuni, vagy pedig meg a szalak maximalizalasa(mennyi az idealis szerintetek?)
koszke a helpeket, meg utannanezegetek en is es alszok rajuk egy parat

Ket cegnel, ahol neha besegitek, cbq van, igaz csak 2 megabites ADSL-en... szerintem 10-15 szal eleg per gep, plane, hogy a Firefoxom szereti tobbszalon huzni a cuccot.
Nalam az atlag szalak:
1x XMMS (webradio)
2x Ickle (ICQ & MSN)
3x Thunderbird (3 postafiok)
3-5x Firefox/wget/ftp
par rdesktop es ssh/scp

Szerintem ennyi eleg, nem?

E-Medve

Hogy eleg? Szerintem meg sok is :lol: Amugy itt 100 Mbit van es tobb szaz gep, azert gondolom hogy a cbq megenne a 2.8as p4et es a 2 giga ramot. Ha minden szal szakad akkor szalkorlatozas lesz imho 8)

( E-Medve v | 2005. 09. 13., k – 16:40 )

[quote:4bd9afa269="Emulgeator"]
Hogy eleg? Szerintem meg sok is :lol: Amugy itt 100 Mbit van es tobb szaz gep, azert gondolom hogy a cbq megenne a 2.8as p4et es a 2 giga ramot. Ha minden szal szakad akkor szalkorlatozas lesz imho 8)

Na igen, ez nalam a max. szalakat jelzi...
Egyebkent 2mbites cbq-hoz eleg egy P1 166mhz, 64 mega rammal...