Portál AbcLinuxu, 6. května 2025 14:25

Dotaz: Blokace p2p - nedari se blokovat jiz sestavena spojeni

8.1.2011 19:33 Mirekh
Blokace p2p - nedari se blokovat jiz sestavena spojeni
Přečteno: 417×
Odpovědět | Admin
Na debianu 5 mam kernel i iptables zkompilovany s podporou ipp2p.

Blokace p2p funguje (zkousel jsem napr. bittorent), ale pouze na nove sestavena spojeni.

Nedari se mi blokovat spojeni ktera jsou jiz sestavena. (Potrebuji blokovat v urcitem case)

Moje pravidla jsou 
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m ipp2p --bit -j MARK --set-mark 10
iptables -t mangle -A PREROUTING -j CONNMARK --save-mark

iptables -t mangle -A POSTROUTING -m mark --mark 10 -j DROP
Myslel jsem, ze prave connmark --restore-mark a --save-mark toto resi, ale to mi nezafunguje

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

9.1.2011 01:49 oron | skóre: 27
Rozbalit Rozbalit vše Re: Blokace p2p - nedari se blokovat jiz sestavena spojeni
Odpovědět | | Sbalit | Link | Blokovat | Admin
davnejsie som ipp2p skusal, podla manualu by snad nieco taketo mohlo?: 
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark

iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j DROP

iptables -t mangle -A PREROUTING -m ipp2p --bit -j MARK --set-mark 10
iptables -t mangle -A PREROUTING -j CONNMARK --save-mark
alebo potom to cez CLASSIFY davat do tiredy pre htb a na tuto triedu pustit min. speed 1kBit ... ale uz si nepamatam ako na to presne
9.1.2011 16:50 Mirekh
Rozbalit Rozbalit vše Re: Blokace p2p - nedari se blokovat jiz sestavena spojeni
tak to nepomaha ...
Řešení 1× (Lol Phirae)
Bilbo avatar 9.1.2011 20:15 Bilbo | skóre: 29
Rozbalit Rozbalit vše Re: Blokace p2p - nedari se blokovat jiz sestavena spojeni
Odpovědět | | Sbalit | Link | Blokovat | Admin
Otázkou je, jestli ipp2p dokáže p2p spojení poznat i zprostředka - u některých p2p je na začátku nějaký protokol podle kterého se dá poznat co to je a případně zablokovat, ale když ipp2p ten začátek nevidí, tak tam akorát tečou data (ten sdílený soubor) a nedá se poznat jakým protokolem to je.

Ty pravidla jsou tedy aktivní jen v ten daný čas a mimo něj žádné? Pokud ano, zkusil bych to dělat tak, že to značkování bude aktivní vždy a blokování jen v daný čas.
Big brother is not watching you anymore. Big Brother is telling you how to live...
10.1.2011 12:43 Mirekh
Rozbalit Rozbalit vše Re: Blokace p2p - nedari se blokovat jiz sestavena spojeni
No ja mam prave problem s tim oznacovanim p2p paketu a je jedno jestli p2p relace prave bezi nebo ne.

Jsem z toho docela zmateny

Priklad:

Vymazu to pravidlo aby pakety s 10 byly zahozeny, a dam si tam jednoduche pravidlo (akceptovani paketu s 10 abych videl nacitani bytu).

Pak se tedy p2p relace rozbehne ale u toho pravidla akceptovani paketu s 10 byty neodpovidaji skucene stahovanym datum - vzdy na nekolik MB stazenych dat, mi u pravidla pribude nekolik KB.

Jakoby se oznacovali jen nektere pakety - ridici a ne ty ktere nesou data...nevim

Kazdopadne, to si myslim ze je podstata problemu, protoze bez oznacovani nemohu s timto provozem delat nic.

Zkousel jsem cvicne provest shaping na pakety s 10, ale to nema vliv - prave proto, ze si mi nedari oznacovat 95 procent paketu.

Muzete mi tedy jeste poradit ?

Mam default kernel lenny 2.26.-6 jen zkompilovany pro podporu L7 a iptables-1.4.4 doplnene o xtables-addons-1.17.

Ale v tom by snad nemel byt problem, kdyz mi vsechny prikazy iptables funguji bez varovnych hlasek

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.