Dc tiltasa

 ( Emulgeator | 2005. szeptember 13., kedd - 15:08 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A problemam a kovetkezo lenne. Adott egy debian server(DHCP,NAT,apache,ftp, etc). A koliban a felhasznalok 99%a ezen a serveren keresztul "megy ki a netre", es hat sokan hasznalnak fajlcserelo programokat amik bazira lefogjak a savszelet(gondolok itt foleg a dc++ra). Le kellene valahogy tiltani hogy ezek a prg kimehessenek, de nem tudom hogyan, mivel ha jol tudom a dc kliensek eleg sok portot hajlamosak hasznalni. Ebben kernek egy kis segitseget.

udv: Emul

iptraf. :) ... és gondolkodj fordítva: engedélyezd azon portokat, amik kellenek egy normális netezéshez, és filterelj minden egyebet.

Esetleg a dc hubokrol bejovo kapcsolatokat is lehetne tiltani, csak kell csinalni egy blacklist-et. De nekem is szimpatikusabb a "default deny" beallitas. :-)

Huh, a dchubok tiltása necces... :(

iptables-p2p -vel erdemes probalkozni

hasonlokat eltem at tavaly a koliban en is rendszergazdakent:)
probaltam az ipt_p2p module-t, de sajna a dc++ protokollja sokat valtozott mostansag es nem kovette a module, vagy talan valami mas indok miatt, de egy ido utan nem "kapta" el a filemegosztok altal kuldozgett csomagokat (en csak lassitottam a shaperd-vel)
privat ipcimmekkel neteznek a koleszlakok, ezert az ftp is csak passzivban mukodik, ergo, a 1024 folotti portokat se jo csak ugy tiltani
a gondolkodas utan arra jutottunk, hogy tovabb fejlesztjuk a kialakitott rendszer ugy, hogy aki eler egy adott letoltesi vagy feltoltesi limitet, annak tiltjuk az internet elereset az adott honap vegeig (11mbit-es radios kapcsolat van ~60 gepre :roll: )
ha ez nem jo, akkor erdemes meg probalkozni az egy ip altal megnyithato kapcsolatok szamanak korlatozasaval, alapbol nem tudja az iptables, de van hozza patch, igy elejet lehet venni a 5*10 szalas flashget-elesnek es az x*20 szalas dc-zesnek
igazabol nem akartam megvonni a filemegosztos dolgokat, mert nem art ha van, inkabb arra probaltam torekedni, hogy ne nagyon tudjak elvonni egymas elol a savszelesseget...

Hi

Csak egy kis adalek a temahoz:
nemegy hub-ot ismerek, ami 22-es, 80-as vagy 443-as porton megy...

IMHO csak blacklisttel oldhato meg, vagy pedig cbq minden "ismeretlen" portra...

E-Medve

Default deny + blacklist az ismert portokra. Ez se rossz, szerintem. Jóval kisebb lesz a processzelési idő... Fene tudja... Most "barbár" módszer jut csak eszembe. :D Összevissza sapkázni, aki p2p-ezik :D :D

Esetleg layer7 féle filter? Nekem elég jól kiszűri a mindenféle p2p cuccokat, az iptables-p2p-el együtt.

hmm, Cbq nem enne meg a servert teljesen? Marmint eleg sok proc ido kell neki nem? Blacklist hasznalhato 5letnek tuni, vagy pedig meg a szalak maximalizalasa(mennyi az idealis szerintetek?)
koszke a helpeket, meg utannanezegetek en is es alszok rajuk egy parat

[quote:5dedc69175="Emulgeator"]hmm, Cbq nem enne meg a servert teljesen? Marmint eleg sok proc ido kell neki nem? Blacklist hasznalhato 5letnek tuni, vagy pedig meg a szalak maximalizalasa(mennyi az idealis szerintetek?)
koszke a helpeket, meg utannanezegetek en is es alszok rajuk egy parat[/quote:5dedc69175]

Ket cegnel, ahol neha besegitek, cbq van, igaz csak 2 megabites ADSL-en... szerintem 10-15 szal eleg per gep, plane, hogy a Firefoxom szereti tobbszalon huzni a cuccot.
Nalam az atlag szalak:
1x XMMS (webradio)
2x Ickle (ICQ & MSN)
3x Thunderbird (3 postafiok)
3-5x Firefox/wget/ftp
par rdesktop es ssh/scp

Szerintem ennyi eleg, nem?

E-Medve

Hali!

Esetleg egy bash script ami letolteni x idonkent a legfirssebb hublistakat
es deny-re a kapcsolodast rajuk.

Ez eljatszhato dc++, edonkey, kazza, hotline stb... -re is

Udv
EnRoX

[quote:67e30d67bd="E-Medve"][quote:67e30d67bd="Emulgeator"]hmm, Cbq nem enne meg a servert teljesen? Marmint eleg sok proc ido kell neki nem? Blacklist hasznalhato 5letnek tuni, vagy pedig meg a szalak maximalizalasa(mennyi az idealis szerintetek?)
koszke a helpeket, meg utannanezegetek en is es alszok rajuk egy parat[/quote:67e30d67bd]

Ket cegnel, ahol neha besegitek, cbq van, igaz csak 2 megabites ADSL-en... szerintem 10-15 szal eleg per gep, plane, hogy a Firefoxom szereti tobbszalon huzni a cuccot.
Nalam az atlag szalak:
1x XMMS (webradio)
2x Ickle (ICQ & MSN)
3x Thunderbird (3 postafiok)
3-5x Firefox/wget/ftp
par rdesktop es ssh/scp

Szerintem ennyi eleg, nem?

E-Medve[/quote:67e30d67bd]
Hogy eleg? Szerintem meg sok is :lol: Amugy itt 100 Mbit van es tobb szaz gep, azert gondolom hogy a cbq megenne a 2.8as p4et es a 2 giga ramot. Ha minden szal szakad akkor szalkorlatozas lesz imho 8)

[quote:4bd9afa269="Emulgeator"]
Hogy eleg? Szerintem meg sok is :lol: Amugy itt 100 Mbit van es tobb szaz gep, azert gondolom hogy a cbq megenne a 2.8as p4et es a 2 giga ramot. Ha minden szal szakad akkor szalkorlatozas lesz imho 8)[/quote:4bd9afa269]

Na igen, ez nalam a max. szalakat jelzi...
Egyebkent 2mbites cbq-hoz eleg egy P1 166mhz, 64 mega rammal...