[FUG-BR] RES: Problemas com P2P
Sim chequei o comportamento da conexão neste caso.. e a resposta é que é aleatório em em grande parte do trafego é na porta 80... deve ser algum tipo de modo de burlar o o queue.. trabalho com Proxy transparente desabilitei este recurso e mudei as regras de uma forma mais geral . ex.. Ipfw pipe 20 config bw 200Kbit/s queue 11 Ipfw pipe 21 config bw 200Kbit/s queue 11 Ipfw add 100 pipe 20 ip from 10.0.0.20 to any in via xl0 Ipfw add 101 pipe 22 ip from any to 10.0.0.20 out via xl0 Neste caso não é o script que uso ... por padrão .. tentei fechar mesmo de foram mais grossa possível tipo não usei layer2 já testei com ela Tb.. e geralmente nas regras se usa a interface do Nat neste caso não usei Tb.. mas já testes varias formas. . todas ate agora .. sempre em trabalho normal o controle funciona perfeitamente.. Com o Ares não .. Analisando o trafego do cliente .. tem muito udp mas Tb tem HTTP 80.. ele pode esta mascarando mas pela lógica .. desativei Proxy ou qualquer outro tipo de controle sobre a porta 80.. a qual tenho regras pra que o acesso por ela seja mais rápido .. mas removi e não tive sucesso..! -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de irado furioso com tudo Enviada em: sexta-feira, 29 de agosto de 2008 10:35 Para: freebsd@fug.com.br Assunto: Re: [FUG-BR] Problemas com P2P Em Fri, 29 Aug 2008 10:09:19 -0300 Cobausque [EMAIL PROTECTED], conhecido consumidor de drogas (BigMac's com Coke) escreveu: Estou usando ipfw e com queues defino a banda de meus clientes .. mas quando o cliente usa este Ares ele consegue burlar o controle queue talvez vc possa experimentar com o controle de banda do squid - se vc o usa, claro. Estive lendo aqui http://www.faqs.org/docs/Linux-HOWTO/Bandwidth-Limiting-HOWTO.html e aqui http://www.chezmoi.dk/how_squid.htm (pode ser que haja algo mais atual) e varios bons artigos no VOL http://www.google.com.br/custom?domains=www.vivaolinux.com.brsitesearch=www .vivaolinux.com.brclient=pub-3535276187000580forid=1ie=ISO-8859-1oe=ISO- 8859-1cof=GALT%3A%230066CC%3BGL%3A1%3BDIV%3A%2399%3BVLC%3A336633%3BAH%3 Acenter%3BBGC%3AFF%3BLBGC%3AFF%3BALC%3A0066CC%3BLC%3A0066CC%3BT%3A00 %3BGFNT%3A66%3BGIMP%3A66%3BLH%3A45%3BLW%3A98%3BL%3Ahttp%3A%2F%2F www.vivaolinux.com.br%2Fimagens%2Fbanners%2Flogo_vol_google.jpg%3BS%3Ahttp%3 A%2F%2Fwww.vivaolinux.com.br%3BLP%3A1%3BFORID%3A1%3Bhl=ptq=squid+limit+ban d+%28inurl%3A%2Fartigo%2F+OR+inurl%3AverArtigo.php%29+tipoBusca=artigossa. x=28sa.y=7 bem.. pelo menos deve dar algumas idéias (P2P é dificil mesmo) mas aí, vem a curiosidade: como é que a limitação de banda não funciona pra esse treco aí? será que vc limitou tcp e a coisa vem por udp ou algo assim? -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Problemas com P2P
Em Fri, 29 Aug 2008 10:43:43 -0300 Cobausque [EMAIL PROTECTED], conhecido consumidor de drogas (BigMac's com Coke) escreveu: Sim chequei o comportamento da conexão neste caso.. e a resposta é que é aleatório em em grande parte do trafego é na porta 80... deve ser algum tipo de modo de burlar o o queue.. trabalho com Proxy transparente desabilitei este recurso e mudei as regras de uma forma mais geral . ex.. então vale mesmo a sugestão de usar o delay-pool do squid (IMHO, claro), pq sendo a maioria das conexões na porta 80, isso funcionaria. btw, salvo engano, esses soft incomuns são do tipo que buscam portas viáveis, talvez convenha vc só permitir as portas comuns (icq, msn,irc,smtp,pop3,imap.. ) pelo menos pra essa criatura aí. bom divertimento, acho que vc já tá ansioso pra quebrar a cabeça com esse problema (fora o tempo que já passou fazendo isso) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Problemas com P2P
Amigo, Tive problemas com controle desse protocolo no Linux. Foi resolvido alterando o MTU da classe do controle de banda para um valor maior, que nunca será utrapassado. Verifique se é possivel alterar o MTU da sua classe, não conheço a fundo o QOS do FreeBSD, não sei se é possivel. Linux resolveu meu problema. Poste resultados. Abraço, 2008/8/29 irado furioso com tudo [EMAIL PROTECTED] Em Fri, 29 Aug 2008 10:43:43 -0300 Cobausque [EMAIL PROTECTED], conhecido consumidor de drogas (BigMac's com Coke) escreveu: Sim chequei o comportamento da conexão neste caso.. e a resposta é que é aleatório em em grande parte do trafego é na porta 80... deve ser algum tipo de modo de burlar o o queue.. trabalho com Proxy transparente desabilitei este recurso e mudei as regras de uma forma mais geral . ex.. então vale mesmo a sugestão de usar o delay-pool do squid (IMHO, claro), pq sendo a maioria das conexões na porta 80, isso funcionaria. btw, salvo engano, esses soft incomuns são do tipo que buscam portas viáveis, talvez convenha vc só permitir as portas comuns (icq, msn,irc,smtp,pop3,imap.. ) pelo menos pra essa criatura aí. bom divertimento, acho que vc já tá ansioso pra quebrar a cabeça com esse problema (fora o tempo que já passou fazendo isso) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Problemas com P2P
Não alterei não .. como comentaram acho estranho o firewall permitir este descontrole sendo que chego a usar a síntese ALL ex.. ipfw add 100 pipe 200 ip from any to 10.0.0.10 via xl0 Ou seja desrevi IP.. e o danado consegue.. ultrapassar .. tentei Tb . Ipfw add 100 pipe 200 ip from any to 10.0.0.20 not layer2 out via xl0 Mesma coisa.. mesmo comportamento .. lógico que mesmo que houvesse algum tipo de criptografia .. não deveria haver o estouro da banda . -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Eduardo Schoedler Enviada em: sexta-feira, 29 de agosto de 2008 14:46 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Problemas com P2P Não interessa o que tem no pacote. Ele lê os headers (layer 3). Ipfw add 100 pipe 20 IP FROM 10.0.0.20 to any in via xl0 Ipfw add 101 pipe 22 IP from any TO 10.0.0.20 out via xl0 Você alterou o parâmetro net.inet.ip.fw.one_pass ? Se alterou, ele pode estar pegando uma regra mais abaixo, menos restritiva. Veja: net.inet.ip.fw.one_pass: 1 When set, the packet exiting from the dummynet(4) pipe or from ng_ipfw(4) node is not passed though the firewall again. Other- wise, after an action, the packet is reinjected into the firewall at the next rule. Abraços. -- From: Breno Vale [EMAIL PROTECTED] Subject: Re: [FUG-BR] Problemas com P2P Amigo, Ares usa criptografia quando fecha o P2P. Sendo assim as regras não conseguem identificar que o pacote é P2P. Ares é melhor bloquear do que tentar controlá-lo. []'s Breno Cobausque escreveu: Pessoal estou tendo problemas com um comportamento de um programa P2P o Ares.. Estou usando ipfw e com queues defino a banda de meus clientes .. mas quando o cliente usa este Ares ele consegue burlar o controle queue e se ele tem 200K pega bem mais tipo o que tiver disponível em minha rede .. Alguém já teve semelhante problema ??? Gostaria de alguns exemplos de script pra fazer comparações .. testei varias variações de scripts ... não funcionaram bem .. - Histórico: [1]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd -- [cid:part1.09070908.06080105@brenovale.com.br] References 1. http://www.fug.com.br/historico/html/freebsd/ 2. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Problemas com P2P
Só por curiosidade... o ip do seu cliente é 10.0.0.10 ou 10.0.0.20 ? Abraço. -- From: Cobausque [EMAIL PROTECTED] Sent: Friday, August 29, 2008 5:49 PM To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' freebsd@fug.com.br Subject: [FUG-BR] RES: Problemas com P2P Não alterei não .. como comentaram acho estranho o firewall permitir este descontrole sendo que chego a usar a síntese ALL ex.. ipfw add 100 pipe 200 ip from any to 10.0.0.10 via xl0 Ou seja desrevi IP.. e o danado consegue.. ultrapassar .. tentei Tb . Ipfw add 100 pipe 200 ip from any to 10.0.0.20 not layer2 out via xl0 Mesma coisa.. mesmo comportamento .. lógico que mesmo que houvesse algum tipo de criptografia .. não deveria haver o estouro da banda . -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Eduardo Schoedler Enviada em: sexta-feira, 29 de agosto de 2008 14:46 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Problemas com P2P Não interessa o que tem no pacote. Ele lê os headers (layer 3). Ipfw add 100 pipe 20 IP FROM 10.0.0.20 to any in via xl0 Ipfw add 101 pipe 22 IP from any TO 10.0.0.20 out via xl0 Você alterou o parâmetro net.inet.ip.fw.one_pass ? Se alterou, ele pode estar pegando uma regra mais abaixo, menos restritiva. Veja: net.inet.ip.fw.one_pass: 1 When set, the packet exiting from the dummynet(4) pipe or from ng_ipfw(4) node is not passed though the firewall again. Other- wise, after an action, the packet is reinjected into the firewall at the next rule. Abraços. -- From: Breno Vale [EMAIL PROTECTED] Subject: Re: [FUG-BR] Problemas com P2P Amigo, Ares usa criptografia quando fecha o P2P. Sendo assim as regras não conseguem identificar que o pacote é P2P. Ares é melhor bloquear do que tentar controlá-lo. []'s Breno Cobausque escreveu: Pessoal estou tendo problemas com um comportamento de um programa P2P o Ares.. Estou usando ipfw e com queues defino a banda de meus clientes .. mas quando o cliente usa este Ares ele consegue burlar o controle queue e se ele tem 200K pega bem mais tipo o que tiver disponível em minha rede .. Alguém já teve semelhante problema ??? Gostaria de alguns exemplos de script pra fazer comparações .. testei varias variações de scripts ... não funcionaram bem .. - Histórico: [1]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd -- [cid:part1.09070908.06080105@brenovale.com.br] References 1. http://www.fug.com.br/historico/html/freebsd/ 2. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Problemas com P2P
Mais uma coisa. Coloque a última regra como deny log from any to any. E veja no /var/log/security o que está passando que você não consegue capturar. Abraço. -- From: Eduardo Schoedler [EMAIL PROTECTED] Subject: Re: [FUG-BR] RES: Problemas com P2P Só por curiosidade... o ip do seu cliente é 10.0.0.10 ou 10.0.0.20 ? Abraço. -- From: Cobausque [EMAIL PROTECTED] Subject: [FUG-BR] RES: Problemas com P2P Não alterei não .. como comentaram acho estranho o firewall permitir este descontrole sendo que chego a usar a síntese ALL ex.. ipfw add 100 pipe 200 ip from any to 10.0.0.10 via xl0 Ou seja desrevi IP.. e o danado consegue.. ultrapassar .. tentei Tb . Ipfw add 100 pipe 200 ip from any to 10.0.0.20 not layer2 out via xl0 Mesma coisa.. mesmo comportamento .. lógico que mesmo que houvesse algum tipo de criptografia .. não deveria haver o estouro da banda . -Mensagem original- De: Eduardo Schoedler Assunto: Re: [FUG-BR] Problemas com P2P Não interessa o que tem no pacote. Ele lê os headers (layer 3). Ipfw add 100 pipe 20 IP FROM 10.0.0.20 to any in via xl0 Ipfw add 101 pipe 22 IP from any TO 10.0.0.20 out via xl0 Você alterou o parâmetro net.inet.ip.fw.one_pass ? Se alterou, ele pode estar pegando uma regra mais abaixo, menos restritiva. Veja: net.inet.ip.fw.one_pass: 1 When set, the packet exiting from the dummynet(4) pipe or from ng_ipfw(4) node is not passed though the firewall again. Other- wise, after an action, the packet is reinjected into the firewall at the next rule. Abraços. -- From: Breno Vale [EMAIL PROTECTED] Subject: Re: [FUG-BR] Problemas com P2P Amigo, Ares usa criptografia quando fecha o P2P. Sendo assim as regras não conseguem identificar que o pacote é P2P. Ares é melhor bloquear do que tentar controlá-lo. []'s Breno Cobausque escreveu: Pessoal estou tendo problemas com um comportamento de um programa P2P o Ares.. Estou usando ipfw e com queues defino a banda de meus clientes .. mas quando o cliente usa este Ares ele consegue burlar o controle queue e se ele tem 200K pega bem mais tipo o que tiver disponível em minha rede .. Alguém já teve semelhante problema ??? Gostaria de alguns exemplos de script pra fazer comparações .. testei varias variações de scripts ... não funcionaram bem .. - Histórico: [1]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd -- [cid:part1.09070908.06080105@brenovale.com.br] References 1. http://www.fug.com.br/historico/html/freebsd/ 2. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Problemas com P2P
POderia postar todo o seu firewall.rules para podermos ter uma melhor base para analise do problema. Fica complicado, pois como já descrito aqui poderá ser erro de semântica no arquivo. Coloque junto as opções que compilou o seu sistema com relação ao firewall. 2008/8/29 Eduardo Schoedler [EMAIL PROTECTED] Mais uma coisa. Coloque a última regra como deny log from any to any. E veja no /var/log/security o que está passando que você não consegue capturar. Abraço. -- From: Eduardo Schoedler [EMAIL PROTECTED] Subject: Re: [FUG-BR] RES: Problemas com P2P Só por curiosidade... o ip do seu cliente é 10.0.0.10 ou 10.0.0.20 ? Abraço. -- From: Cobausque [EMAIL PROTECTED] Subject: [FUG-BR] RES: Problemas com P2P Não alterei não .. como comentaram acho estranho o firewall permitir este descontrole sendo que chego a usar a síntese ALL ex.. ipfw add 100 pipe 200 ip from any to 10.0.0.10 via xl0 Ou seja desrevi IP.. e o danado consegue.. ultrapassar .. tentei Tb . Ipfw add 100 pipe 200 ip from any to 10.0.0.20 not layer2 out via xl0 Mesma coisa.. mesmo comportamento .. lógico que mesmo que houvesse algum tipo de criptografia .. não deveria haver o estouro da banda . -Mensagem original- De: Eduardo Schoedler Assunto: Re: [FUG-BR] Problemas com P2P Não interessa o que tem no pacote. Ele lê os headers (layer 3). Ipfw add 100 pipe 20 IP FROM 10.0.0.20 to any in via xl0 Ipfw add 101 pipe 22 IP from any TO 10.0.0.20 out via xl0 Você alterou o parâmetro net.inet.ip.fw.one_pass ? Se alterou, ele pode estar pegando uma regra mais abaixo, menos restritiva. Veja: net.inet.ip.fw.one_pass: 1 When set, the packet exiting from the dummynet(4) pipe or from ng_ipfw(4) node is not passed though the firewall again. Other- wise, after an action, the packet is reinjected into the firewall at the next rule. Abraços. -- From: Breno Vale [EMAIL PROTECTED] Subject: Re: [FUG-BR] Problemas com P2P Amigo, Ares usa criptografia quando fecha o P2P. Sendo assim as regras não conseguem identificar que o pacote é P2P. Ares é melhor bloquear do que tentar controlá-lo. []'s Breno Cobausque escreveu: Pessoal estou tendo problemas com um comportamento de um programa P2P o Ares.. Estou usando ipfw e com queues defino a banda de meus clientes .. mas quando o cliente usa este Ares ele consegue burlar o controle queue e se ele tem 200K pega bem mais tipo o que tiver disponível em minha rede .. Alguém já teve semelhante problema ??? Gostaria de alguns exemplos de script pra fazer comparações .. testei varias variações de scripts ... não funcionaram bem .. - Histórico: [1]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd -- [cid:part1.09070908.06080105@brenovale.com.br[EMAIL PROTECTED] ] References 1. http://www.fug.com.br/historico/html/freebsd/ 2. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosamente Paulo Henrique. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
