[Sysadmins] Борьба с торрентами на роутере с помощью iptables

Mikhail lists на mishel.tk
Пт Мар 25 19:01:10 UTC 2011 

Здравствуйте, Yuri.

Вы писали 25 марта 2011 г., 16:48:08:

> Подскажите пожалуйста, может кто сталкивался?

Сталкивался.

> Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat
> (iptables), чтобы не грузили канал торрентами?

Одним  пакетником  не  справится. Нужен еще шейпер, и очень желательно
прокси.

Первую   проблему  создаст  скайп.  Отличить  его  от  торрент клиента,
проблематично. Но скайп можно завернуть через проксю.

Торрент   клиент,   должен  подключатся  к  торрент  трекерам.   Можно
отследить  эти трекеры, и забанить.  Это ручная работа.  Если еще HTTP
пустить  через  проксю, то можно вычислить и торрент серверы, и банить
их автоматом на лету, основываясь на разборе адреса.  Проблему создаст
DHT.  Вот с ним я бороться не пробовал, но возможно то же способ есть.

> Вариант с ограничением скорости конкретным юзерам не подходит - им
> чаще всего нужно для работы что-то быстро скачать.

"Что-то"  быстро  скачать,  обычно  HTTP/FTP,  или  у  вас  что-то  не
типичное, и качает по другим протоколам/портам?

Вот  тут  делается  шейпер,  для входящего. Весь "легитимный" проходит
шейпер  без  ограничений,  а весь остальной трафик, использует, то что
остается.  Или  не  резать  скорость, а просто пересортировать трафик.
"легитимное" идет в первую очередь.

Для  исходящего,  кроме  ограничения  скорости  шейпера,  ставите  еще
пересортировку  пакетов.  Весь  легитимный  трафик,  проходит шейпер в
первую очередь, и если очередь пуста, то идет весь остальной трафик.

> С проксей тоже не особо получается - для этого надо перед роутером с
> nat   ставить   отдельный   сервак  с  прозрачной  прокси.   От  nat
> отказываться  нельзя  -  через ipt_NETFLOW по цепочке FORWARD трафик
> считается...

Существует  мнение,  что  прокси  нужно  ставить  на  машину  с  двумя
интерфейсами.   Один   смотрит   в   локалку,  а  второй  наружу.  Это
заблуждение.   Прокси   прекрасно   будет  работать  на  любой  машине
подключенной  к  локальной  сети, и имеющей один интерфейс.

А почему нельзя поставить прокси на машину с NAT?

И почему обязательно прозрачный? Для скайпа лучше именно не прозрачный
и  стоящий  на  шлюзе, тогда скайп сам найдет этот прокси, и запретить
ему так делать у меня не получается.

И  почему  обязательно  считать  трафик  в форвард цепочке? Есть более
другие места для этого. Тогда и прокси не будет мешать считать трафик.
И вообще, с какой целью считается трафик?

И  трафик  прокси  то  же  можно  посчитать.  И добавить его к трафику
посчитанному в форвард цепочке.

-- 
С уважением,
 Mikhail                          mailto:lists на mishel.tk

Подробная информация о списке рассылки Sysadmins