[Sysadmins] Борьба с торрентами на роутере с помощью iptables

Michael Shigorin mike на osdn.org.ua
Пт Мар 25 17:51:25 UTC 2011 

On Fri, Mar 25, 2011 at 05:32:13PM +0300, Yuri Khachaturyan wrote:
> > Если безобразик ясен и взаимопонимание с руководством есть,
> > то должно прокатить; если нет -- можно вывесить на видном месте
> > объявление вида "за тормоза вчера благодарим имярек".
> Взаимопонимание есть, но все равно не прокатывает. Производственный
> процесс для руководства важнее и ему все равно какими средствами этот
> процесс движется вперед. Объяснять человеку, что и как делать нельзя -
> бесполезно. Потому хочется глобально что-то решить для всей сети.

Это не решается глобально технически -- если возьмёте
стомегабитный канал и "типа продвинутый" контингент есть,
то обязательно найдётся достаточно наивный/жадный, чтоб
не смочь/додуматься поставить шайбу в торрент-клиенте
и не отсвечивать в общем зачёте.

Если скорее наивный, чем жадный -- можно сперва попробовать
объяснить, что лучше бы он поискал настройки полосы пропускания
в торрент-клиенте и ограничился, скажем, мегабитом и тремя
десятками коннекшенов "на всё".

А если скорее жадный -- то поскольку человек таким образом
не только использует ресурсы фирмы не по назначению, но ещё
и наносит ущерб продуктивности коллег -- вправлять мозги надо
именно на этот счёт.

> > Если меняются -- тогда всё-таки стоит начинать с ограничения
> > хотя бы в 50, но всем.  Только оно и на скайп повлиять может.
> А можно с этого места поподробнее?  50 соедиений на IP - как
> это может сказаться на скайпе? Скайп для нас очень важен -
> многие подводки и телемосты идут только через него...

50 может и не сказаться, а вот при 20/host может уже и не
коннектиться (плюс, помнится, от версии зависело).

Мы проходили нечто подобное с "коробочковым" маршрутизатором,
когда люди банально забывали погасить торрент-клиента на ноуте
и избыточным количеством соединений "захлёбывали" слабенькую
машинку, при этом даже не насыщая сам канал.  Попытки подобрать
разумное ограничение кол-ва соединений показали, что достаточно
эффективное в целях предотвращения DoS (~20) уже влияет на skype
(которым тоже пользуются в т.ч. в служебных целях), а достаточно
безопасное для skype (~50--70) не решает проблему с торрентами,
хотя и облегчает её по сравнению со, скажем, 400 соединений.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Подробная информация о списке рассылки Sysadmins