stvol 4 Опубликовано: 2010-02-16 01:55:03 Share Опубликовано: 2010-02-16 01:55:03 Возникла такая проблема.Один из абонентов как водится завел себе торент.Да не простой,а золотой.Потому как много у меня торентщиков но все было нормально скорость установленная в пайпе не привышалась.Но теперь когда он его заряжает вместо положенных 256кбит он прет на весь канал.Человек честный сказал что делал и как.Действительно поставил у себе та же байда.Нужно просто в поле скорости оставить без лимита.Изрыл форум подобной проблемы не нашел. Вот настройки пайпа.Ткните плз носом буду благодарен. pipe 560 config bw 256Kbit/s pipe 560 tcp from any to 192.168.0.45 divert 8668 ip from 192.168.0.45 to any Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2010-02-16 05:06:33 Share Опубліковано: 2010-02-16 05:06:33 pipe 560 config bw 256Kbit/s pipe 560 all from any to 192.168.0.45 pipe 560 all from 192.168.0.45 to any divert 8668 ip from 192.168.0.45 to any sysctl net.inet.ip.fw.one_pass=0 Ссылка на сообщение Поделиться на других сайтах
nightfly 1 237 Опубліковано: 2010-02-16 09:23:37 Share Опубліковано: 2010-02-16 09:23:37 во первых from user to any from any to user как уже сказал alex_o а во вторых вырабатывайте практику всегда явно указывать интерфейс, это всегда помагает избежать лишних проблем from user to any via iface in from any to user via iface out Ссылка на сообщение Поделиться на других сайтах
Al G 0 Опубліковано: 2010-02-16 09:47:23 Share Опубліковано: 2010-02-16 09:47:23 pipe 560 tcp from any to 192.168.0.45 http://ru.wikipedia.org/wiki/ΜTorrent µTorrent начиная с версии 1.8.1 стал поддерживать протокол обмена µTP (Micro Transport Protocol). Полноценная работа протокола возможна при работе с версией µTorrent 2.0. Работа µTP между µTorrent 1.8.1 невозможна. µTP предназначен для более быстрого скачивания, так как работает по протоколу UDP, в котором обмен данными происходит быстрее, чем через протокол TCP. Ускорение достигается за счёт того, что торрент-клиент берёт на себя выполнение нужных функций, отсутствующих в UDP, например, клиент перепроверяет целостность данных и, если блок неверен, скачивает его заново. Также, провайдерам намного сложнее блокировать передачу данных через µTP. Ссылка на сообщение Поделиться на других сайтах
Sanito 129 Опубліковано: 2010-02-16 09:55:57 Share Опубліковано: 2010-02-16 09:55:57 pipe 560 tcp from any to 192.168.0.45 Должно быть pipe 560 ip from any to 192.168.0.45 ну и про интерфейсы и явные блоки всё верно Ссылка на сообщение Поделиться на других сайтах
stvol 4 Опубліковано: 2010-02-16 11:04:47 Автор Share Опубліковано: 2010-02-16 11:04:47 Благодарю участников за ответы.Выставил все работает. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2010-02-16 11:36:23 Share Опубліковано: 2010-02-16 11:36:23 эт так можно было и на ицмп пакетах халявный интернет надыбать)) Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2010-02-16 14:26:52 Share Опубліковано: 2010-02-16 14:26:52 Благодарю участников за ответы.Выставил все работает. Нечего ты там не сделаеш. Читай что такое плавающее окно в протоколе TCP, возможно поймеш почему протоколу UDP побарабану пайпы. Запрещай UDP, add 6 skipto 10 udp from any to any 53 in via vlan130 add 6 deny udp from any to any in via vlan130 и будет тебе счасте. Если хочеш пропустить скайп, глушы маладцов выборочно. Ссылка на сообщение Поделиться на других сайтах
Elisium 10 Опубліковано: 2010-02-17 20:34:10 Share Опубліковано: 2010-02-17 20:34:10 Нечего ты там не сделаеш. Читай что такое плавающее окно в протоколе TCP, возможно поймеш почему протоколу UDP побарабану пайпы. Запрещай UDP, add 6 skipto 10 udp from any to any 53 in via vlan130 add 6 deny udp from any to any in via vlan130 и будет тебе счасте. Если хочеш пропустить скайп, глушы маладцов выборочно. Что за бред ???? "Запрещай UDP и будет тебе счасте." ... И это пишет провайдер или сварщик-доярка ?? Пользователи могут помахать ручкой потоковому радио, видео, сервакам контры и еще куче всего, что работает через УДП. Заодно они могут помахать ручкой такому прову, который режет УДП на корню. Апд. п.с. Посмотрел на сайты в подписи - не провайдер. Но это все равно не делает тот пост менее бредовым. Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2010-02-21 14:51:11 Share Опубліковано: 2010-02-21 14:51:11 Нечего ты там не сделаеш. Читай что такое плавающее окно в протоколе TCP, возможно поймеш почему протоколу UDP побарабану пайпы. Запрещай UDP, add 6 skipto 10 udp from any to any 53 in via vlan130 add 6 deny udp from any to any in via vlan130 и будет тебе счасте. Если хочеш пропустить скайп, глушы маладцов выборочно. Что за бред ???? "Запрещай UDP и будет тебе счасте." ... И это пишет провайдер или сварщик-доярка ?? Пользователи могут помахать ручкой потоковому радио, видео, сервакам контры и еще куче всего, что работает через УДП. Заодно они могут помахать ручкой такому прову, который режет УДП на корню. Апд. п.с. Посмотрел на сайты в подписи - не провайдер. Но это все равно не делает тот пост менее бредовым. Читай http://local.com.ua/forum/topic/20354-torent-pochemu-ego-tak-ne-ljubjat-provaideri/page__gopid__150915 тебе посвятил! И если с чем то не согласен, приводи доводы. Ссылка на сообщение Поделиться на других сайтах
Sanito 129 Опубліковано: 2010-02-21 15:30:01 Share Опубліковано: 2010-02-21 15:30:01 Имхо под бредом имелась ввиду фраза "Запрещай UDP, а не что-либо касаемо шейпов и торрентов. Насчет того, что udp надо запрещать, так это действительно бред. Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2010-02-21 16:34:11 Share Опубліковано: 2010-02-21 16:34:11 Имхо под бредом имелась ввиду фраза "Запрещай UDP, а не что-либо касаемо шейпов и торрентов. Насчет того, что udp надо запрещать, так это действительно бред. Сори, похоже я не так понял фразу "Возникла такая проблема" тем более если проблема на таких скоростях "заряжает вместо положенных 256кбит", Подумал что проще проблему оператиыно закрыть, а потом спокойно разбиратся с рюшечками. Практика показывает что один бешеный торент может положть маленькую сеть с внешним каналом до 10мегабит, да и 20 положит. Ссылка на сообщение Поделиться на других сайтах
mr.Dream 164 Опубліковано: 2010-02-21 17:43:03 Share Опубліковано: 2010-02-21 17:43:03 Практика показывает что один бешеный торент может положть маленькую сеть с внешним каналом до 10мегабит, да и 20 положит. Никто никого не ложит, даже на роутере+шейпере работающем на Винде А то что на некоторых трекерах заряжается по 25 тыщ сессий - это уже зло, в первую очередь для юзера, который получает больший процент заголовков пакетов чем полезной в них инфы. По этому я себе для класса пользовтелей "хоум юзер" сделал лимит 200 сессий. И если недовольный юзер звонит что страницы открываються через раз - культурно обьяснить, чтобы в своем торрент-клиенте в настройках установил некоторый лимит. Мне странно, куда девают инфу качки? Есть пара юзеров, которые в месяц по полтора терабайта нагребаю себе. Винты то не резиновые? Я бы даже заплатил, чтобы они ушли к другому провайдеру ))) Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2010-02-21 17:48:58 Share Опубліковано: 2010-02-21 17:48:58 Интерфейс на котором висит пайп самое то , что прописал доктор . Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2010-02-21 17:51:44 Share Опубліковано: 2010-02-21 17:51:44 Интерфейс на котором висит пайп самое то , что прописал доктор . 200 сессий на юзера это мало и вообще я лично против , а вот хотел бы я посмотреть на юзеровскую машину , которая открывает 200000 сесий - реально это флуд , наверное при этом шлепер даже мышью дернуть не могет Да и вообще если канал небольшой в 10-20 мегабит стоит разметить трафик на фтп , веб , войп , п2п и присвоить ему соответствующий приоритет . Тут и будет щастье ибо забить канал , выданный провом "под завязку" и обеспечить удовлетворительное качество довольно трудно . Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2010-02-21 18:21:57 Share Опубліковано: 2010-02-21 18:21:57 Практика показывает что один бешеный торент может положть маленькую сеть с внешним каналом до 10мегабит, да и 20 положит. Никто никого не ложит, даже на роутере+шейпере работающем на Винде А то что на некоторых трекерах заряжается по 25 тыщ сессий - это уже зло, в первую очередь для юзера, который получает больший процент заголовков пакетов чем полезной в них инфы. По этому я себе для класса пользовтелей "хоум юзер" сделал лимит 200 сессий. И если недовольный юзер звонит что страницы открываються через раз - культурно обьяснить, чтобы в своем торрент-клиенте в настройках установил некоторый лимит. Мне странно, куда девают инфу качки? Есть пара юзеров, которые в месяц по полтора терабайта нагребаю себе. Винты то не резиновые? Я бы даже заплатил, чтобы они ушли к другому провайдеру ))) Хм. А вот prototip с тобой не согласен! "а вот хотел бы я посмотреть на юзеровскую машину , которая открывает 200000 сесий - реально это флуд , наверное при этом шлепер даже мышью дернуть не могет " Осталось определить грань, до которой можно сказать не ложит, после которой все же ложит! Ссылка на сообщение Поделиться на других сайтах
Sergek 123 Опубліковано: 2010-02-22 21:06:46 Share Опубліковано: 2010-02-22 21:06:46 Сегодня поднял похожую тему на наге http://forum.nag.ru/forum/index.php?showtopic=55025&st=0 Дааа торренты дают прикурить провайдерам с софтовыми маршрутизаторами, многим прийдется прибегнуть к крайним мерам.... Ссылка на сообщение Поделиться на других сайтах
Elisium 10 Опубліковано: 2010-02-26 03:05:42 Share Опубліковано: 2010-02-26 03:05:42 Имхо под бредом имелась ввиду фраза "Запрещай UDP, а не что-либо касаемо шейпов и торрентов. Насчет того, что udp надо запрещать, так это действительно бред. Был в отьезде и адекватно ответить не успел, уж простите )) Прошу прощения за резкий тон к тов. pavlaborу, но уж как Вы высказались, такой ответ и получИте. Да, само собой я имел ввиду фразу "Запрещай УДП", ведь и судя, навскидку, Ваши правила add 6 skipto 10 udp from any to any 53 in via vlan130add 6 deny udp from any to any in via vlan130 пропускают только удп днс и пристреливают все остальное удп, даже несмотря на открытый выборочно скайп. п.с. тему про торренты и удп читал. п.п.с. и на наге и отзывы на хабре и торру ) п.п.п.с. кстати, похожую проблему замечаю и у себя. Снифига шейпер, теоретически рассчитаный прожевать еще с сотни четыре активных клиентов, ВДРУГ с около начала февраля стал просто захлебываться. боюсь, что ноги проблемы растут изза торрентов, ибо качальщиков в сети у нас огого ... качальщиков и любителей КС - криков, чуствую, будет от обоих ... Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2010-02-28 13:53:52 Share Опубліковано: 2010-02-28 13:53:52 Сегодня поднял похожую тему на наге http://forum.nag.ru/forum/index.php?showtopic=55025&st=0 Дааа торренты дают прикурить провайдерам с софтовыми маршрутизаторами, многим прийдется прибегнуть к крайним мерам.... От твоей статьи, не кислый движняк пошол! http://nag.ru/news/newsline/17886/provaydery-spasayut-internet-ot-torrent-klientov.html Ссылка на сообщение Поделиться на других сайтах
Sergek 123 Опубліковано: 2010-02-28 14:33:06 Share Опубліковано: 2010-02-28 14:33:06 Дааа движ конкретный... Певым обратил внимание на неладное Jugernault дальше поспрашали у ктого кто подобное мониторит и подозрения потдвердились. Тогда решили задать вопрос на наге! И тут понеслась... Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2010-03-10 12:20:55 Share Опубліковано: 2010-03-10 12:20:55 Такая же фигня с протоколом этим гребаным уТП от мюторрента. В общем.... http://www.opennet.ru/tips/info/2304.shtml http://nuclight.livejournal.com/125372.html В итоге, после прочтения сделал себе вот это: # cat /etc/rc.d/utp-block.sh #!/bin/sh ngctl mkpeer ipfw: bpf 2 main ngctl name ipfw:2 utp_filter ngctl msg utp_filter: setprogram '{ thisHook="main" ifMatch="matched" ifNotMatch="main" bpf_prog_len=36 bpf_prog=[ { code=0xb1 } { code=0x40 } { code=0x54 k=4286578687 } { code=0x15 jf=31 k=805406731 } { code=0x50 k=1 } { code=0x54 k=128 } { code=0x74 k=5 } { code=0x4 k=12 } { code=0xc } { code=0x7 } { code=0x48 } { code=0x15 jf=3 k=65283 } { code=0x87 jf=3 } { code=0x4 k=2 } { code=0x7 } { code=0x50 } { code=0x15 jf=3 } { code=0x87 jf=3 } { code=0x4 k=1 } { code=0x7 } { code=0x50 } { code=0x15 jf=13 k=33 } { code=0x87 jf=3 } { code=0x4 k=1 } { code=0x7 } { code=0x50 k=9 } { code=0x15 jf=8 k=17 } { code=0x50 } { code=0x54 k=15 } { code=0x64 k=2 } { code=0xc } { code=0x7 } { code=0x40 k=20 } { code=0x15 jf=1 k=2147483647 } { code=0x6 k=65535 } { code=0x6 } ] }' ipfw add 2 netgraph 2 udp from any to any iplen 0-128 Вот мои правила фаервола: [root@billing /usr]# ipfw show 00002 1355685 80276269 netgraph 2 udp from any to any iplen 0-128 00003 7382 1965789 deny udp from any to any dst-port 30000-65535 00010 1278122610 557667190206 allow ip from any to any via vr1 00011 104 4988 allow ip from any to 10.10.1.1 dst-port 80 00012 0 0 allow ip from 10.10.1.1 to any dst-port 80 00308 1428062 131754408 allow udp from any to 10.10.1.1 dst-port 5555 via vr0 00309 2732565 805668465 allow udp from 10.10.1.1 to any via vr0 00312 1018458 338976062 allow tcp from 10.10.1.1 to any via vr0 00313 103101 34506679 allow udp from any 67,68 to any 00314 907 317500 allow udp from any to any dst-port 67,68 00340 384247450 233967126839 allow ip from 10.10.0.0/16 to 10.0.0.0/8 00341 509838991 643925593815 allow ip from 10.11.0.0/16 to 10.0.0.0/8 00342 56780747 42488006317 allow ip from 10.12.0.0/16 to 10.0.0.0/8 05566 303202 29010120 allow ip from any to any via lo0 05570 1634654 1540666068 allow ip from any 5555 to any 05570 1009763 69446694 allow ip from any to any dst-port 5555 10013 213788 21175996 pipe 10012 ip from 10.10.2.9 to any 10014 214826 192109855 pipe 10011 ip from any to 10.10.2.9 11958 95325 8953020 pipe 11957 ip from 10.11.2.7 to any 11959 103918 36180601 pipe 11956 ip from any to 10.11.2.7 11968 1077 68488 pipe 11967 ip from 10.10.2.34 to any 11969 1211 1598245 pipe 11966 ip from any to 10.10.2.34 11983 122462 15928753 pipe 11982 ip from 10.10.2.174 to any 11984 104243 69782794 pipe 11981 ip from any to 10.10.2.174 11988 719 48106 pipe 11987 ip from 10.10.2.4,10.10.2.151 to any 11989 115 9474 pipe 11986 ip from any to 10.10.2.4,10.10.2.151 12078 1737247 145562292 pipe 12077 ip from 10.10.2.20 to any 12079 2209774 1867732239 pipe 12076 ip from any to 10.10.2.20 50041 2598 954368 allow ip from any to 10.10.0.7 50041 3035 295691 allow ip from 10.10.0.7 to any 50045 1434020 155724661 pipe 50046 ip from 10.240.1.3 to any 50046 1508663 1505774300 pipe 50045 ip from any to 10.240.1.3 65535 55 3333 deny ip from any to any Вот собственно после проделанных операций кусок тспдампа, удп более, чем дофига: 10.10.2.180.24639 > 89-178-172-233.broadband.corbina.ru.57018: [udp sum ok] UDP, length 29 14:26:59.444521 IP (tos 0x0, ttl 127, id 38129, offset 0, flags [none], proto UDP (17), length 57) 10.10.1.24.10940 > 94.19.45.156.pool.sknt.ru.64704: [udp sum ok] UDP, length 29 14:26:59.444661 IP (tos 0x0, ttl 122, id 61455, offset 0, flags [none], proto UDP (17), length 1251) 95.69.218.17.50063 > 10.10.1.55.35537: UDP, length 1223 14:26:59.444669 IP (tos 0x0, ttl 127, id 53679, offset 0, flags [DF], proto TCP (6), length 52) 10.10.2.107.3370 > 94.103.86.78.http: Flags [.], cksum 0x036f (correct), seq 4091414910, ack 82107357, win 65535, options [nop,nop,sack 1 {315:1743}], length 0 14:26:59.444706 IP (tos 0x0, ttl 127, id 38097, offset 0, flags [none], proto UDP (17), length 201) 10.10.1.24.10940 > h95-110-42-253.dyn.bashtel.ru.59653: UDP, length 173 14:26:59.444717 IP (tos 0x0, ttl 127, id 39024, offset 0, flags [none], proto UDP (17), length 131) 10.10.1.52.29634 > d75-155-115-176.bchsia.telus.net.49445: UDP, length 103 14:26:59.445328 IP (tos 0x0, ttl 120, id 31927, offset 0, flags [none], proto UDP (17), length 351) 94.244.173.202.nash.net.ua.53719 > 10.11.5.28.40121: [no cksum] UDP, length 323 14:26:59.445415 IP (tos 0x0, ttl 121, id 23068, offset 0, flags [DF], proto TCP (6), length 72) 94.45.81.36.40536 > 10.11.5.28.3074: Flags [P.], cksum 0xdf56 (correct), seq 1428:1460, ack 1, win 63733, length 32 14:26:59.445691 IP (tos 0x0, ttl 127, id 30646, offset 0, flags [none], proto UDP (17), length 51) 10.10.1.55.35537 > 92-244-124-170.kievnet.com.ua.63004: [udp sum ok] UDP, length 23 14:26:59.445951 IP (tos 0x0, ttl 54, id 40357, offset 0, flags [DF], proto TCP (6), length 1468) hosted-by.leaseweb.com.http > 10.10.2.107.3306: Flags [.], seq 3423078846:3423080274, ack 253727357, win 28014, length 1428 14:26:59.446262 IP (tos 0x0, ttl 120, id 15454, offset 0, flags [none], proto UDP (17), length 651) 93-127-11-112.static.vega-ua.net.55332 > 10.11.2.90.50810: UDP, length 623 14:26:59.446665 IP (tos 0x0, ttl 127, id 38098, offset 0, flags [DF], proto TCP (6), length 48) 10.10.1.24.14419 > 87-124-93-178.pool.ukrtel.net.45394: Flags [s], cksum 0xae3a (correct), seq 2534546006, win 65535, options [mss 1460,nop,nop,sackOK], length 0 14:26:59.446687 IP (tos 0x0, ttl 115, id 7125, offset 0, flags [none], proto UDP (17), length 1466) 94.19.45.156.pool.sknt.ru.64704 > 10.10.1.24.10940: UDP, length 1438 14:26:59.446689 IP (tos 0x0, ttl 127, id 4552, offset 0, flags [DF], proto TCP (6), length 52) 10.10.2.7.11706 > fx-in-f82.1e100.net.http: Flags [.], cksum 0xac8e (correct), seq 3803354095, ack 3749443334, win 65535, options [nop,nop,sack 1 {1431:8581}], length 0 14:26:59.446706 IP (tos 0x0, ttl 127, id 25306, offset 0, flags [none], proto UDP (17), length 131) 10.11.5.28.40121 > 87.228.110.50.62356: UDP, length 103 14:26:59.446962 IP (tos 0x0, ttl 119, id 14843, offset 0, flags [DF], proto UDP (17), length 201) p5B3143D4.dip.t-dialin.net.26784 > 10.10.1.55.35537: UDP, length 173 14:26:59.447215 IP (tos 0x0, ttl 119, id 14844, offset 0, flags [DF], proto UDP (17), length 201) p5B3143D4.dip.t-dialin.net.26784 > 10.10.1.55.35537: UDP, length 173 14:26:59.447315 IP (tos 0x0, ttl 127, id 65177, offset 0, flags [none], proto UDP (17), length 51) 10.11.4.2.49501 > 195-65-135-95.pool.ukrtel.net.25786: [udp sum ok] UDP, length 23 14:26:59.448213 IP (tos 0x0, ttl 111, id 24061, offset 0, flags [DF], proto TCP (6), length 1468) host-77-41-95-41.qwerty.ru.65525 > 10.10.2.91.2180: Flags [.], seq 46876490:46877918, ack 3434374556, win 64396, length 1428 Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2010-03-15 08:23:24 Share Опубліковано: 2010-03-15 08:23:24 Че-то все неприлично молчат, или все просто забили на эту проблему? Ссылка на сообщение Поделиться на других сайтах
andryas 1 059 Опубліковано: 2010-03-15 08:57:29 Share Опубліковано: 2010-03-15 08:57:29 Фильтровать UDP (кроме DNS и игровых) от клиентов, юзающих UTP, предварительно вежливо предложив отказатся от его использования. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас