Linux за българи: Форуми

Имам един рутер (гранична машина) с pfsense (последна версия).
Справих се с всичко нужно (4 openvpn тунела, 12 ipsec и какво ли още не), но не се справям с лимитиране на торент трафика - не желая да го спирам, а да го огранича.
Мрежата ми с 1 wan и 1 lan интерфейс, адресите на lan-а се раздават динамично.
Какъв е начина да лимитирам трафика при използване на торенти ?
Да насоча - ръководства като това http://www.smallnetbuilder.com/lanwan/lanwan-howto/30565-taming-your-networks-bandwidth-hogs-part-1?start=1 ($2) не помагат или помагат, но но само когато мога да кажа точно кое IP да бъде лимитирано (а с DHCP това е доста трудно).
Другото което ме интересува - от къде мога да задам даден MAC адрес да получава точно определено IP в пула на DHCP-то (не е проблем да закача хардуерния адрес към всяко ИП, но извън този пул, но когато искам да бъде в пула не ми разрешава).

Благодаря на всички помогнали.

Там, където ръчкаш DHCP-то няма ли Address reservation?
Моя раздаваше адреси от 100 до 199 и бях резервирал първите четири адреса за четири MAC адреса - на eth0 и wlan0 за двата ми лаптопа. Бях ограничил скоростта на нета за останалите айпита. От Bandwidth Control  - Rules List Мрежата ми е свободна, а рутера ми е някаква "пръчка" за 30 лева.
Сега резервираните ми адреси са от 1 до 4 , докато все още си раздава автоматично от 100 до 199 в последния октет.

https://doc.pfsense.org/index.php/DHCP_Server

http://pfsensesetup.com/static-dhcp-mapping-in-pfsense/

Май това е за теб.


А относно torrent трафика, можеш ли да зададеш правила за останалите портове ( 22, 25, 53, 80, 443 и прочее ) и останалите да ги резнеш откъм скорост? В торент клиентите може да се нагласи за случаен порт всеки път при пускане на програмата или при свързване към някой тракер, не помня точно. А и освен това трафика вече се криптира. Така че правило само за торент трафик, не зная как би могло да се зададе. Ако някой разбира, да каже.

Може би това за торентите.

http://pfsensesetup.com/traffic-shaping-rules-in-pfsense-2-1/

Накрая мисля, че се споменаваше нещо за ограничаване на трафика. Погледнах го набързо само.

Там, където ръчкаш DHCP-то няма ли Address reservation?
....

Има, но... If an IPv4 address is entered, the address must be outside of the pool.
А аз НЕ искам да е извън пула - искам да е в него.

За шейпъра - ще тествам.
Благодаря.

А какво пречи да си направиш мрежата ipv6 ?

А какво пречи да си направиш мрежата ipv6 ?

Абсурд. Това ще доведе до преконфигуриране на над 20 мрежи с около 300 хоста. Не мога да причиня това на себе си и на админите!!!
Инак успях да лимитирам скоростта на LAN сегмента, но торентите продължават да не се лимитират по скорост !!!

Торент файл се тегли от много айпита едновременно, нали? Не може ли да се открие подобен трафик и да се резне скоростта през определения порт. Не вярвам клиента да ги сменя динамично. Ако например това се случва за по-дълго време от 30 секунди, да се реже скоросстта. Защото днешните уеб страници се сглобяват в много случай от ресурси откъде ли не.

А пък според мен най-добре е да ограничи трафика на клиентските машини има начин това да се случи и под windows или linux.

Това ще работи, но не се знае, за какво друго се ползва нета на клиентските машини. Резне ли го, реже всичко.

Това ще работи, но не се знае, за какво друго се ползва нета на клиентските машини. Резне ли го, реже всичко.

Е стига де, може на ниво приложение на клиентските машини т.е. примерно utorrent.
Pfsense има една много добра опция - p2pcaptcha all но там става страшно, влияе на целия  трафик заради това не се препоръчва в случая.

Колега пробвай следното :

Firewall: Traffic Shaper: Limiter

Create new limiter


Правиш едно за download в него си добавяш скоростта която желаеш да се лимитира, след това примерно burst 10
след това source address и  mask 32.

Добавяш още едно правило за upload едиствена разлика с другото  е че е по Destination Address.

После

Firewall: Rules

Правилото за интерфейса който ще ограничаваш edit на него и на In/Out избираш създадените правила.


В dhcp pool в който се раздават ип адреси, не можеш да добавяш статични. Направи го примерно от 192.168.0.2/24 до 192.168.0.150/24 и си добави статичните след 150 на там.

Колега пробвай следното :

Firewall: Traffic Shaper: Limiter

Create new limiter


....

Или аз не правя нещо като хората или пак не се получава и това.
Моята идея е да лимитирам за цялата мрежа (това което си описал не би трябвало да е проблем да се приложи за цялата мрежа 192.168.1.0/24 например) а не за 1 IP.
Ако го имаш направено пусни един шот да видя какво си направил да го настроя отново.
Правилото го слагах първо и последно - пак не става.
Това което посочваш като правило за ЛАН или за ВАН трябва да е ?
Благодаря ти за насоката.

Цитат на: Sairos в Jul 07, 2014, 11:57

Колега пробвай следното :

Firewall: Traffic Shaper: Limiter

Create new limiter


....

Или аз не правя нещо като хората или пак не се получава и това.
Моята идея е да лимитирам за цялата мрежа (това което си описал не би трябвало да е проблем да се приложи за цялата мрежа 192.168.1.0/24 например) а не за 1 IP.
Ако го имаш направено пусни един шот да видя какво си направил да го настроя отново.
Правилото го слагах първо и последно - пак не става.
Това което посочваш като правило за ЛАН или за ВАН трябва да е ?
Благодаря ти за насоката.

Правилото е за lan ако искаш него да ограничиш след pfsense, не е само за едно ип а за цялата мрежа зад lan.

Ами не сработват нещата.
Явно изобщо не може да се лимитира трафика за торентите. И из нета няма успешни опити (само някакви неточни съвети които не работят).

Естествено че няма да сработят единствено на ниво приложение на самата клиентска машина става независимо дали ще ползва uTP протокол или не.

Естествено че няма да сработят единствено на ниво приложение на самата клиентска машина става независимо дали ще ползва uTP протокол или не.

Интересно заключение !
Странно обаче, как гранични машини с Untangle или ASTARO лимитират от раз или изцяло забраняват подобен трафик (гарнирано - лично тествано от мен) и то без да пипаш каквото и да е по клиентските машини !
Ето тези два реда би трябвало да утрепят некриптиран торент трафик:
iptables -I FORWARD -p tcp -m multiport --dports 1024:65535 -m iprange --src-range 192.168.0.1-192.168.0.100 -j DROP
iptables -I FORWARD -p udp -m multiport --dports 1024:65535 -m iprange --src-range 192.168.0.1-192.168.0.100 -j DROP

Естествено че няма да сработят единствено на ниво приложение на самата клиентска машина става независимо дали ще ползва uTP протокол или не.

Предполагам от опит говориш щом така пишеш, тества ли го с pfsense че даваш такива заключения ?

Ами не сработват нещата.
Явно изобщо не може да се лимитира трафика за торентите. И из нета няма успешни опити (само някакви неточни съвети които не работят).

Може просто явно нещо бъркаш.

Качи снимки или дай достъп да ти го оправя.

Значи, ако искаш да забраниш целия такъв трафик ти обясних че има p2p captcha all опция но ти явно искаш все пак да се ползват торенти ами добре тогава ги лимитирай на ниво приложение. Тия двете правилца като ги гледам така по тоя начин лимитираш и пасивни ftp връзки към така настроени ftp сървъри, които ползват високи портове.
Astaro и Untangled не съм ползвал и не знам нищо.

Иначе :

1. Firewall -> NAT  избираш Outbound
2. "Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))" и щракаш на Save
3. После премахваш всички автоматино генерирани правила за NAT и щракаш на Apply.

И вземи спри Enable UPnP & NAT-PMP ако има отметка на Enable.

Само, че ще се случи така, че примерно някой ще стартира някакъв торент клиент ще изтегли бързо някакъв файл, но скоростта на ъплоуда ще е ниска 2-3 кб.

За това предлагам да лимитираш клиентските машини, ако са такива, които ти администрираш има много лесен начин просто трябва да инсталираш програма за тази цел и си в играта.

Значи, ако искаш да забраниш целия такъв трафик ти обясних че има p2p captcha all опция но ти явно искаш все пак да се ползват торенти ами добре тогава ги лимитирай на ниво приложение. Тия двете правилца като ги гледам така по тоя начин лимитираш и пасивни ftp връзки към така настроени ftp сървъри, които ползват високи портове.
Astaro и Untangled не съм ползвал и не знам нищо.

Иначе :

1. Firewall -> NAT  избираш Outbound
2. "Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))" и щракаш на Save
3. После премахваш всички автоматино генерирани правила за NAT и щракаш на Apply.

И вземи спри Enable UPnP & NAT-PMP ако има отметка на Enable.

Само, че ще се случи така, че примерно някой ще стартира някакъв торент клиент ще изтегли бързо някакъв файл, но скоростта на ъплоуда ще е ниска 2-3 кб.

За това предлагам да лимитираш клиентските машини, ако са такива, които ти администрираш има много лесен начин просто трябва да инсталираш програма за тази цел и си в играта.

Не става ясно на кой си обяснил, но по моят начин ще се лимитра всичко.

@ivterbg пробвай както пише колегата @КРЕТЕН.

На ivterbg обяснявах.
Иначе има начин но на ниво приложение на работна станция (това вече за не знам кой път го пиша).

На ivterbg обяснявах.
Иначе има начин но на ниво приложение на работна станция (това вече за не знам кой път го пиша).

На ниво приложение съм съгласен, ама колегата явно не иска.

Опитай и това.

http://hubpages.com/hub/How-to-Configure-Deep-Packet-Inspection-Using-pfSense

Цитат на: KPETEH в Jul 07, 2014, 16:39

На ivterbg обяснявах.
Иначе има начин но на ниво приложение на работна станция (това вече за не знам кой път го пиша).

На ниво приложение съм съгласен, ама колегата явно не иска.

Ами то става и с snort+barnyard2+emerging threats само, че тогава блокира целия торент трафик.

Въпрос: колко добра идея е да блокирам всички портове при клиента (локалния адрес) от 1025 нагоре (като пусна например само 8080 и 9100 (за принтери))?
Споделете виждане по случая.
(не става дума за торенти, ясно е, че те ползват и портове под 1025, а изобщо)

Въпрос: колко добра идея е да блокирам всички портове при клиента (локалния адрес) от 1025 нагоре (като пусна например само 8080 и 9100 (за принтери))?
Споделете виждане по случая.
(не става дума за торенти, ясно е, че те ползват и портове под 1025, а изобщо)

И каква OS ползват на клиентските машини - windows или linux ?
За windows ти трябва включен File and printer sharing за печат, а пък за линукс CUPS, който слуша на 631. (Май нещо не разбирам въпроса.)
За торентите така е може клиентите да се настроят да ползват 80, 443 или 21 портове и пак ще си теглят :)

Хммм! А колко лесно е, хората да проверят за отворени портове и да кажат на торент клиента да ползва тях. Например 8080.

Untangle + следното:

(тук трябваше да писна сигнатурата, но за жалост форумната платформа не ми позволява, вероятно от секюрити гледна точка)

И чао на всички торенти.
Явно се обърках в тестването на този pFsense. Реших да разцъкам нещо free което да помогне докато пристигне новата ми Cyberoam машинка (е тя прави всичко, ама всичко - при нея няма тък-мък - ако ще криптирай 8 пъти торнетите, пак ги филтрира, реже, шейпи и всичко, ама всичко... и то само за 2900$ за 3 години, че и в това включен съпорта).
Отново мерси на всички помогнали.

Бях се отказал да разцъквам разните му там free недоносени софтуери, но за пореден път установих, че с трици маймуни не се ловят. Ironport, Barracuda и Cyberoam - тези аплайънси са ми решавали проблемите винаги и във всякакво естествено. Вярно, струват пари, но както казах - с трици маймуни не се ловят.

До ivterbg :

Човече ти реагираш като малко дете което казва на майка си онази играчка е по-хубава, а се оказва, че просто е по-скъпа :)

До ivterbg :

Човече ти реагираш като малко дете което казва на майка си онази играчка е по-хубава, а се оказва, че просто е по-скъпа :)

+1

Barracuda, Untangle са си чист линукс сглобен по определен начин.
Израза 'free недоносени' не особено коректен, защото от този софт е сглобено това за което плащаш.
Да 'недоносено', защото го няма готово отгледано(доносено) - пораснало решение без пари. Отгледаните(доносени) решения, като по горе описаните са с пари.
 
Между другото имаш ли опит с индияно-индийския съпорт на каракудата?

До ivterbg :

Човече ти реагираш като малко дете което казва на майка си онази играчка е по-хубава, а се оказва, че просто е по-скъпа :)

Продуктите на Procera също са добри в тази област :) И са също линукс базирани.

Вчера си правих експерименти и се оказа, че като сваля magnet файл с разширение торент от piratebay и след това го стартирам не успява да свали съдържанието си.
Обикновен торент файл от замунда си сваля съдържанието и не мога да разбера логиката това става с включени emerging-p2p.rules в pfsense.
То по-интересното, е когато се ползва непознат за сигнатурите торент клиент дори зад баракуди и прочее какво ще се случи.

Според мен в корпоративни мрежи не трябва да се допуска инсталиране на торент клиенти, както и да се прави пълно блокиране на сайтове с такова съдържание.

До ivterbg :

Човече ти реагираш като малко дете което казва на майка си онази играчка е по-хубава, а се оказва, че просто е по-скъпа :)

Вероятно си прав с една разлика - въпросната по-скъпа играчка прави това което и кажа без да се налага да чета и експериментирам с дни. Просто казвам "спри p2p трафика" и всичко се реже без повече въпроси. Казвам и "намали трафика за п2п" - прави го. Буквално с няколко клика (говорим за Сайбъром-а)

+1

Barracuda, Untangle са си чист линукс сглобен по определен начин.
Израза 'free недоносени' не особено коректен, защото от този софт е сглобено това за което плащаш.
Да 'недоносено', защото го няма готово отгледано(доносено) - пораснало решение без пари. Отгледаните(доносени) решения, като по горе описаните са с пари.
 
Между другото имаш ли опит с индияно-индийския съпорт на каракудата?

Объркал си се (или поне това което разбирам от писането ти) - поддръжката на Cyberoam си е чисто българска - обаждам се на човек съвсем нормален българин, той се логва вижда проблема и го оправя. Дори го прави през teamviewer (ако желая) и виждам какво прави. Нямам никакви (ама никакви) забележки - всичко става в рамките на минути (освен ако аз не кажа, че не ми е спешно - така може и да го отложим ). Обаждал съм се над 30 пъти - без забележки. Цената която е платена за у-вото (хардуер и софтуера) е около 5200$ за 3 години, което според админите е прилична цена (аз не съм администратор, занимавам се с Майкрософт продукти, но не и ОС-и - всичко което правя си е само за тест и от спортна злоба :) )

Вчера си правих експерименти и се оказа, че като сваля magnet файл с разширение торент от piratebay и след това го стартирам не успява да свали съдържанието си.
Обикновен торент файл от замунда си сваля съдържанието и не мога да разбера логиката това става с включени emerging-p2p.rules в pfsense.
То по-интересното, е когато се ползва непознат за сигнатурите торент клиент дори зад баракуди и прочее какво ще се случи.

Според мен в корпоративни мрежи не трябва да се допуска инсталиране на торент клиенти, както и да се прави пълно блокиране на сайтове с такова съдържание.

Е те сайтовете за торентите не са достъпни - за съжаление забелязвам, че 90% от потребителите свързват торент трафика и услугите п2п само със сваляне на филми и музика от арени, замунди и т.н. - ами НЕ, торентите се използват и за получаване/разпространение на каталози, снимки и други документи към или от дадени потребители.

Дано съм разбран правилно - линукс продуктите са качествени в суровия им вид, но аз съм на принципа - купувам си хладилник и почвам да го използвам по предназначение - охлаждам, замразявам и т.н. Изобщо не ме интересува как работи, какво има в неговата система и т.н.
Така и със защитните софтуери - слагаш, кликаш тук там и всичко започва да работи. Не компилираш, не инсталираш модули, не четеш 10000000 страници текст и т.н. Просто използваш продукта.
Както може да си направиш от 0-та такъв продукт с четене и тестове, така и всеки може да си сглоби хладилник сам. Аз просто искам да използвам крайния продукт вече направен, тестван и работещ.

Не ,не съм се объркал.
Говорим за Barracuda, понеже я спомена в по- горен пост.Имам известен опит с нея.

Почти правилно си разбрал, това, че някой,неможе,не иска,няма време и ред други успокоителни,не означава автоматично еди кое си е "...".При това безплатен.Като работещото решение е произлязло от точно онова"...".

Свободен си да си го направиш, както искаш, колкото можеш.
Никой не ти е длъжен,че нещо си не работи точно така, както смяташ, и за да работи трябва компилиране и т.н

Правилно е решението да си купиш support/soft/hardware,но не обвинявай излишно безплатното.

До ivterbg :

Виж ясно ми, е че всеки си гледа от собствената камбанария.
Някак си ми се струва икономически необосновано да се наливат пари в някакви неща, които са излишни. Админите ти ги мързи да направят нещата без пари и да лимитират на ниво приложение скоростите без да се влагат пари за техника и да си спестиш 5200 $ ?

Така и до момента в тая тема нито един път не написа какво си тествал какво си направил с pfsense, просто си пишем тук във форума някакви неща хей така просто.

То с пари всеки може, интересното е без пари дали се случват нещата и нали знаеш, че
по-силно нещо от свободната воля едва ли съществува.

До ivterbg :

Виж ясно ми, е че всеки си гледа от собствената камбанария.
Някак си ми се струва икономически необосновано да се наливат пари в някакви неща, които са излишни. Админите ти ги мързи да направят нещата без пари и да лимитират на ниво приложение скоростите без да се влагат пари за техника и да си спестиш 5200 $ ?

Така и до момента в тая тема нито един път не написа какво си тествал какво си направил с pfsense, просто си пишем тук във форума някакви неща хей така просто.

То с пари всеки може, интересното е без пари дали се случват нещата и нали знаеш, че
по-силно нещо от свободната воля едва ли съществува.

Е какво да пиша което е станало - аз питах само за това което НЕ е станало. Да пуснеш 10тина тунела, да настроиш достъпи до 52 дестинации, да сработиш pfsense с няколко циско машини не е кой знае какво и всеки играл WOW поне 2-3 седмици може да го направи.

Аз имам следните изисквания към pfsense:
- като кажа "спри използването на IPv6" да спре, а не да се чудиш от колко (4 места) да спираш, че да спре използването му
- конфигурирай IPSEC и OpenVPN - прави го без забележки
- оторизирай няколко десетки външни мрежи за използване на дадени услуги в DMZ или директни хостове - прави го
- лимитирай трафика на отделните потребители в локалния сегмент - прави го
- работи 3 доставчика и WAN failover - прави го, дори спокойно закачих и усб мобилен нет
- лимитирай торентите като или ги СПРИ или ги ОГРАНИЧИ - ами не, не го прави. Правих какви ли не ръководства, насоки и т.н. - криптиран или обикновен трафик - НЕ и НЕ.
- още доста неща с които се справих (все пак това е интуитивна система с многоооо ръководства и не е кой знае колко сложно).

Ако някой го е направил и успява да лимитира трафика от п2п - нека пише конкретно, аз макар и да използвам вече Сайбером не съм се отказал от свободните линукс системи, защото просто знам, че в тях е свободата и бъдещето и трябва да се тестват доколкото може с помощта на по-разбиращи хора (като всички тук например) и такива като мен - които питат винаги когато нещо не им стане ясно след като са го пробвали 1-2 пъти.

Дайте един конфигурационен файл (бекъп) тези които сте успяли да постигнете лимитирането, да го разпъна на моята машина и да видя какво е направено.