Linux за българи: Форуми

Заглавието е автообесняващо се. Питането е що не работи?

Правя бридж, слагам ип-то на бриджа, пускам дЪхЪЦъПъ рилей и работя все едно го няма между мен и останалия свят. Обаче целта е да филтрирам п2п.
Слагам в трафик шейпър -> layer 7 - > bittorent -> action -> block.
Закачам в файъуол -> рулз - > Lan -> най-отгоре нов рул TCP/UDP pass  с Adcanced - > Layer 7 -> p2p

И спира всичко.

версията е 2.2.2

Проблема е в това че Гошето(google.com) ни препраща към не актуална информация.
Това е нещото което търсиш : "Firewall: Traffic Shaper: Limiter" , а не Layer 7.
Потърси в нета точно инфо как да го направиш и всичко ще си дойде на мястото.

шу речи?!?!?
от не ми требе Лейър7?!?!?

шу речи?!?!?
от не ми требе Лейър7?!?!?

Точно това ти требе... Чекай да питам - тва чел ле си го?
https://doc.pfsense.org/index.php/Layer_7 ($2)
там издоле има йедни sysctl неща дека са леконка задължителни за да станат нещата връз твйо бридж.

Нещо не съм прочел какво искаш, ама нищо. Колегата те е насочил на правилното място!

Цитат на: edmon в Jun 19, 2015, 14:43

шу речи?!?!?
от не ми требе Лейър7?!?!?

Точно това ти требе... Чекай да питам - тва чел ле си го?
https://doc.pfsense.org/index.php/Layer_7 ($2)
там издоле има йедни sysctl неща дека са леконка задължителни за да станат нещата връз твйо бридж.

ти чел ли си го ?
тва за съсктл параметрите .. нема ми работи бриджа ако не съм ги сложил.:)

Аз обаче видях, че има бъг и се планира това да се оправи в версия 2.3(не 2.2.3)

жалко.... иначе изтеглих и 2.1.5 ама и там нещо не ми се получава.. ама другата седмица пак ще пробвам със старата версия..

p2p ще го спреш със прозрачно прокси.Правиш редирект на вички портове към проксито и там обработваш както ти харесва.

 а тия хуйовини дето ги продават за дийп пакит инспекшън  с прозрачно прокси ли са?

Не.

Защо не опиташ първо на виртуалка това :

zeroshell.org

 It is possible to reject or shape P2P File Sharing traffic by using IPP2P iptables module in the Firewall and QoS Classifier;

Защо не опиташ първо на виртуалка това :

zeroshell.org

 It is possible to reject or shape P2P File Sharing traffic by using IPP2P iptables module in the Firewall and QoS Classifier;

пробвах го ... в реалка:) сейм шит ... сложно му е да направи бридж. викам тогаз ще го направя на ръка... то пък самото е някъв... имидж на инсталация или нещо си ... абе не става много много...

сега съм решил да пусна един дебиан.. да го направа бридж ... и  да видя ще успея ли да компилирам тоя плъгин за айпи тейбълса... лейър7 де... и как и къде ще го закача да флтрира и после да видим дали наистина филтрира некой торент от милимунда.

ps . хехе.. май и тука ударихме на камък.... що тия не правят патч за версии на кърнела по големи от 2.6?

ps.2: абе кво става всичко свързано с л7 е остаряло и всички са почнали да печатат пачки.. опендпи.орг...?!?@?

pfsence е упорито магаре мога да пробвам при мен утре дали ще филтрира. Принципно си бачка доста добре но ако го конфигурираш през уеб е малко смотано.

ps . хехе.. май и тука ударихме на камък.... що тия не правят патч за версии на кърнела по големи от 2.6?

ps.2: абе кво става всичко свързано с л7 е остаряло и всички са почнали да печатат пачки.. опендпи.орг...?!?@?

До този въпрос стигнах и аз преди 1 година. Намерих един 2.6 напачнах го, но  не го тествах :) Мога да ти кажа версия ако искаш...

Като гледам това:
https://github.com/l7-filter/netfilter-layer7/blob/master/kernel-2.6.35-layer7-2.23.patch

Трябва да се преравят десетина файчета....  дали ша стани... ако го направя ...на ръка...
т.е..
да разпъна сорса на ядрото... да редактирам нужните файлчета и да създам липсващите.....
.....
гледам  че големио пач си е в отделен файл?
дали там ще има несъвместимости с 4.0.2 ?

С Pfsence пробвах според писанията по форума им и просто спря нета на всички потребители според техните писания  ;D но може и да е нещо при мен защото имам доста писания из файловете . Прави се супер лесно от трафик контрла в layer7 си добавяш правилата за това което искаш а после в рулс във флоат добавяш правило и в адвансед само адваш в layer7 групата която си създал в трафик контрола но при мен спря  по 80 порт трафика ама може да е заради прокси сървъра или нещо друго. В трафик контрола добавяш примерно битторент блок  ;)

Така така ... и ние тва сме го правили :))) разликата е, че аз казвам, че не работи, а ти казваш ... че работи ама не пуска трафик... :) :) :)

е скайпа работеше  ;D и битторента и всичко което блокирах и други

е скайпа работеше  ;D и битторента и всичко което блокирах и други

Добре де нали казваш, че е спрял трафика по 80 порт... от тва по-голямо неработене??!?!?

е да де http не може отваряш всичко друго работи

Заеби, тва вече си е бизнес дето гони бизнеса на антивирусния софтуер. Не знам как стои въпроса с bittorrent, навремето съм си правил експеприменти със skype. С готови iptables модули просто няма да стане. Тогава си писах модул дето ползва netfilter hook-ове и се занимава с неприятната работа да рови из skbuff-ове и да парсва. И това цялото беше заради един paper дето бяха хванали някакъв евристичен метод да откриват skype връзки по първите няколко байта payload при установяване на връзката. И не работеше, защото skype бяха "коригирали" проблема. Та вариантите са или си плащаш като поп за някакво готово решение, което се подържа и ъпдейтва, или хващаш кирката и влизаш във филма да се занимаваш с протоколните особености и криптографията на нещо, което не е документирано. Което освен ако няма да изкарваш пари от цялата работа е ужасно безсмислено начинание, а ако е за работа, не виждам кой работодател може да те мотивира чисто финансово за целта, освен ако случайно дейността му не е свързана точно с това и не си единствения дето се пържи с тези проблеми на тръстиката.

Аз ползвам http://www.proceranetworks.com/products/pl7810 и искам да ви кажа, че си върши работата перфектно. Е, не е безплатно, ама си заслужава.

Аз ползвам http://www.proceranetworks.com/products/pl7810 и искам да ви кажа, че си върши работата перфектно. Е, не е безплатно, ама си заслужава.

колко хиляди милиона?на месец?

$35k еднократно, а за signature updates около 10% на година. Хардуера е до 5G, но лиценза, който ползвам е до 1G. За по-големите лицензи не знам. Може да ти се вижда много, обаче зависи какво правиш. Аз го ползвам за шейпър и филтър за около 6К абонати и си работи без грешка. Също така, понеже интернета се продава на трафик - от нещото могат да се вадят статистики по какъвто критерий искаш за какъвто период назад искаш.

$35k еднократно, а за signature updates около 10% на година. Хардуера е до 5G, но лиценза, който ползвам е до 1G. За по-големите лицензи не знам. Може да ти се вижда много, обаче зависи какво правиш. Аз го ползвам за шейпър и филтър за около 6К абонати и си работи без грешка. Също така, понеже интернета се продава на трафик - от нещото могат да се вадят статистики по какъвто критерий искаш за какъвто период назад искаш.

в БГ ли са тия абонати.? 70 хил. лв. ?!?!? ми се виждат много дори и за този обем от потребители.
на мен пи принцип ми трябва нещо като за около 1к потребители...освен тва те са на работа..:)

ПС. иначе успях да наглася пачовете за кърнел 4.0.2 и иптейбълс 1.4.21 ....ама нишо не фащам... като сложа правилото.... явно щото  се принудих да изрежа една част от пача свързана с прок файловата система...

Ами не са в БГ. Не мисля, че много хора в БГ ще дадат пари за нещо, дето върши работа ако има някой балама дето може да счупи една камара време и нерви за да го направи със закърпено фрии решение, което ще работи незнайно колко време... Изразходването на такива средства следва да се приема за инвестиция, а не като разход. Но това трудно се разбира от тези с парите... Как може едно устройство 1U да струва кат мерцела ми... Чувал съм го мноооого пъти :) . А пък в моя случай - $35к/6к=~$6 на абонат... В твоя ще бъде малко повече - но ти решаваш....

Нищо лично, ама заради това мислене нещата не се случват. Това решение е 100% базирано на отворен код. Т.е. работи върху xBSD, просто едни хора са избрали едно супер сигурно желязо, ръчнали са го това BSD, натворили са едни приложения вътре и то работи като слънце. Отделно не знам колко хора работят да анализират промените в протоколите за да работят филтрите и шейпърите правилно. Та общо взето така....

Иначе евала ти за упоритостта. И аз съм го правил (и продължавам да го правя за някои неща). Но в един момент като теглиш чертата се оказва, че купуването на готово (работещо и със съпорт) решение е по-евтино.

Ще ми бъде интересно и ако имам време следващата седмица - ще кача pfsense на нещо и ще го разръчкам и аз :)

edit: това http://www.zeroshell.org/ss/#QoS погледнал ли си го?
 

Заеби, тва вече си е бизнес дето гони бизнеса на антивирусния софтуер.

Рязко са изчезнали всякакви разработчици на въпросният пач за линукс, онзи имал детенце и немал време... а при бсд-то е подобно положението. Основния разработчик го заебава, останалите искат да го минат на линукс, щот явно не разбират за кво иде реч... и сега някъв спонсорира работата... ама нещо много странно се развиват нещата...
а тия хардуери верно започват от десетки хил. долари....щот тва може да се ползва и се ползва като инструмент за сигурност.... в смисъл следене на ентерпрайз мрежата някой да не снася другаде ИС....

ПС. зирошел не ми допадна нещо.... не мога да си предстая, че е нещо повече от демонстрация...
Пс.2 конспирация?!?!?
ps3 untangle прави всичко... за пари.. ;)

Ем ако в свободното си време шиеш терлици като хоби и ги подаряваш на клошарчетата да не мръзнат и изведнъж се окаже че чифт терлици струва 20 хиляди в зелено, конспирацията веднага ще се сътвори сама.

Какво не му харесвате на прозрачното прокси,изпитано и доказано,работи :)

Какво не му харесвате на прозрачното прокси,изпитано и доказано,работи :)

Прозрачно прокси и p2p? Я раздухай как се прави? Сигур нещо съм изостанал с технологиите....

Edmon, сега се разрових... Има едни cisco железа, дето можеш да ги намериш тънко в ebay, а братята руснаци имат излекуван софт за тях. Може да се включиш до към $3к. Cisco SCE2020.

Ще спре достъпа до сайтовете, но ако получи TORRENT файла по майл или някакъв друг начин, проксито няма да спре тегленето.

Може би се има предвид да няма рутиране между вътрешната мрежа и интернет и всичко да минава през прокси сървър с два интерфейса, така няма да минава p2p трафик. В смисъл не е проблем bittorrent трафика да минава през http прокси по принцип, но предполагам не е и голям проблем да се филтрира с разни правила.  Ама това си има случаи в които е приложимо и случаи в които достатъчно много спъва работата, за да е неприложимо.

Пренасочваш всички портове към проксито с изключение на тези които ще се използват и така заминават много неща  ;D

Ем примерно скайп с много голяма вероятност няма да си замине така. Грозни гадове са скайп :)

Пренасочваш всички портове към проксито с изключение на тези които ще се използват и така заминават много неща  ;D

Това е супер, ама за корпоративна мрежа макс 50-100 клиента. Човека търси решение за 1к потребителя. Плюс това не е добро решение да режеш всичко и да пускаш само каквото трябва, защото за 1к клиента - ще се побъркаш от изисквания...

За 1 к потребители дава кеш и си купува някоя машина дето прави тия неща и готово щом има кой да плаща няма защо да си трошиш главата с безплатни решения писани недописани

gat3way с едно акл и списък на адреси до който има достъп до потребителя и скайп умира  >:D