Здравствуйте, Yuri. Вы писали 25 марта 2011 г., 16:48:08:
> Подскажите пожалуйста, может кто сталкивался? Сталкивался. > Как бы сделать какое-нибудь ограничение для юзеров, сидящих за nat > (iptables), чтобы не грузили канал торрентами? Одним пакетником не справится. Нужен еще шейпер, и очень желательно прокси. Первую проблему создаст скайп. Отличить его от торрент клиента, проблематично. Но скайп можно завернуть через проксю. Торрент клиент, должен подключатся к торрент трекерам. Можно отследить эти трекеры, и забанить. Это ручная работа. Если еще HTTP пустить через проксю, то можно вычислить и торрент серверы, и банить их автоматом на лету, основываясь на разборе адреса. Проблему создаст DHT. Вот с ним я бороться не пробовал, но возможно то же способ есть. > Вариант с ограничением скорости конкретным юзерам не подходит - им > чаще всего нужно для работы что-то быстро скачать. "Что-то" быстро скачать, обычно HTTP/FTP, или у вас что-то не типичное, и качает по другим протоколам/портам? Вот тут делается шейпер, для входящего. Весь "легитимный" проходит шейпер без ограничений, а весь остальной трафик, использует, то что остается. Или не резать скорость, а просто пересортировать трафик. "легитимное" идет в первую очередь. Для исходящего, кроме ограничения скорости шейпера, ставите еще пересортировку пакетов. Весь легитимный трафик, проходит шейпер в первую очередь, и если очередь пуста, то идет весь остальной трафик. > С проксей тоже не особо получается - для этого надо перед роутером с > nat ставить отдельный сервак с прозрачной прокси. От nat > отказываться нельзя - через ipt_NETFLOW по цепочке FORWARD трафик > считается... Существует мнение, что прокси нужно ставить на машину с двумя интерфейсами. Один смотрит в локалку, а второй наружу. Это заблуждение. Прокси прекрасно будет работать на любой машине подключенной к локальной сети, и имеющей один интерфейс. А почему нельзя поставить прокси на машину с NAT? И почему обязательно прозрачный? Для скайпа лучше именно не прозрачный и стоящий на шлюзе, тогда скайп сам найдет этот прокси, и запретить ему так делать у меня не получается. И почему обязательно считать трафик в форвард цепочке? Есть более другие места для этого. Тогда и прокси не будет мешать считать трафик. И вообще, с какой целью считается трафик? И трафик прокси то же можно посчитать. И добавить его к трафику посчитанному в форвард цепочке. -- С уважением, Mikhail mailto:[email protected] _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
