Portál AbcLinuxu, 10. května 2025 05:34

Dotaz: Omezení uživatelů P2P přes HTB

20.12.2006 22:20 markr
Omezení uživatelů P2P přes HTB
Přečteno: 625×
Odpovědět | Admin
Zdravim. Snazim sa obmedzit p2p uzivatelov na routeri pomocou htb. mam nieco take - vyzera to dost jednoducho no uzivatelia tahaju veselo dalej. Vie mi niekto poradit kde je chyba? 
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT
iptables -t mangle -A PREROUTING -m ipp2p --ipp2p -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -m mark --mark 1 -j CONNMARK --save-mark
tc qdisc add dev eth0 root handle 1:0 htb default 10
tc class add dev eth0 parent 1:0 classid 1:1 htb rate 1536kbit
tc class add dev eth0 parent 1:1 classid 1:11 htb rate 32kbit ceil 64kbit
tc filter add dev eth0 parent 1:0 protocol ip handle 1 fw flowid 1:11
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

20.12.2006 22:46 Andrej Herceg | skóre: 43
Rozbalit Rozbalit vše Re: htb a p2p
Odpovědět | | Sbalit | Link | Blokovat | Admin
Vyskúšaj tam pridať (aby si vedel či to funguje):

iptables -t mangle -A PREROUTING -m ipp2p --ipp2p -j LOG --log-prefix 'ipp2p mark: '

Nemá tam byť náhodou -A FORWARD (namiesto PREROUTING)?
21.12.2006 08:59 oron | skóre: 27
Rozbalit Rozbalit vše Re: htb a p2p
mam dojem, ak robi na tom stroji NAT tak treba prerouting, ak nie tak aj FORWARD moze byt

skusil by som to presne ako pisu v manuali:
(teda to priamo posielat do htb triedy cez CLASSIFY)
01# iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
02# iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT
03# iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 1
04# iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK --save-mark

05# iptables -t mangle -A POSTROUTING -o eth0 -m mark --mark 1 -j CLASSIFY --set-class 1:12
06# iptables -t mangle -A POSTROUTING -o eth1 -m mark --mark 1 -j CLASSIFY --set-class 2:12
8.1.2007 12:16 markr
Rozbalit Rozbalit vše Re: htb a p2p
No dal som to presne podla prirucky a bezi to. Diky. Ale este jeden problem - na torrenty stahovane cez bittorrent to nejako nefunguje. Treba este nejaky dalsi filter? Nemalo by to ist cez p2p siete?
8.1.2007 12:32 oron | skóre: 27
Rozbalit Rozbalit vše Re: htb a p2p
myslim si ze na to netreba dalsi filter, ale moze pomoct markovat aj UDP pakety ...
atan avatar 8.1.2007 12:53 atan | skóre: 21 | Liberec
Rozbalit Rozbalit vše Re: htb a p2p
pro bittorrent uz neexistuje zadny filtr, jelikoz se hojne pouziva sifrovane pripojeni a to se nedetekuje.
atan avatar 8.1.2007 12:54 atan | skóre: 21 | Liberec
Rozbalit Rozbalit vše Re: htb a p2p
jinak by se mel zpracovavat i UDP protokol.
8.1.2007 17:46 markr
Rozbalit Rozbalit vše Re: htb a p2p
No odstranil som -p tcp co by malo blokovat aj udp a nic torrenty to stale neblokuje. Mozem este nieco skusit?
9.1.2007 05:00 Martin
Rozbalit Rozbalit vše Re: htb a p2p
Vyzkoušej toto:

iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark

iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT

iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p --bit --apple --winmx --soul --ares -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p-data -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -m mark --mark 1 -j CONNMARK --save-mark

iptables -t mangle -A PREROUTING -p udp -m ipp2p --edk --kazaa --gnu --bit -j MARK --set-mark 1

iptables -t mangle -A POSTROUTING -o eth0 -m mark --mark 1 -j CLASSIFY --set-class 1:12

iptables -t mangle -A POSTROUTING -o eth1 -m mark --mark 1 -j CLASSIFY --set-class 2:12

Pozn. "--ipp2p" = "--edk --kazaa --gnu --dc"
9.1.2007 10:47 markr
Rozbalit Rozbalit vše Re: htb a p2p
--ipp2p may only by specified alone

unknown arg --ipp2p-data

mam iptables 1.3.0 - ale asi problem bude niekde inde.
9.1.2007 14:20 oron | skóre: 27
Rozbalit Rozbalit vše Re: htb a p2p 
01# iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
02# iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT
03# iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 1
04# iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK --save-mark
05# iptables -t mangle -A PREROUTING -p udp -m ipp2p --ipp2p -j MARK --set-mark 1
10.1.2007 10:04 markr
Rozbalit Rozbalit vše Re: htb a p2p
A ak tam nemam -p tcp tak by to malo markovat aj udp. Ci nie?
10.1.2007 11:05 oron | skóre: 27
Rozbalit Rozbalit vše Re: htb a p2p
pouzil by som presne zapis, ako je uvedeny ... je to tusim z dokumnetacie, tak vie asi preco to tam pise ...
11.1.2007 11:08 markr
Rozbalit Rozbalit vše Re: htb a p2p
Snazim sa pochopit princip toho celeho, aby som nemusel pisat na diskusnych forach vela otazok :)
10.1.2007 00:54 Martin
Rozbalit Rozbalit vše Re: htb a p2p
A jakou máš verzi ipp2p?

(já mám iptables 1.3.3 a ipp2p 0.7.2 a uváděný zápis funguje bez problémů)
10.1.2007 09:55 markr
Rozbalit Rozbalit vše Re: htb a p2p
Mam dokonca 0.8.2. Skusim pripadne novsiu verziu iptables.
10.1.2007 08:48 Jiří Lisický | skóre: 31 | blog: JIL_blog | Olomouc
Rozbalit Rozbalit vše Re: htb a p2p
Verze ipp2p a krátká nápověda: iptables -m ipp2p -h

Z dokumentace na http://www.ipp2p.org/:
So I think the -data filters are obsolete and may be removed with next code cleanup. Please keep this in mind if you create your firewall rules!

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.