IPFW: ограничения на объем передаваемых файлов и скорост

[Данила]

У меня бесплатный хост - регистрироваться может любой желающий. Возникла серьезная проблема - некоторые юзеры качают при помощи всяких RapidGET скриптов файлы чуть ли не по 5 гигов каждый. Хочется обломать все это дело. Но вот проблема - я не умею работать с IPFW (FreeBSD 5.4 Release) - не так давно всем занимаюсь. Немогли бы подсказать команды, желательно с пояснением и подкинуть ссылки на хорошее разъяснение по этому фаирволу.

Нужно запретить входящий/исходящий трафик более 20 МБ + ограничить скорость скачивания.

Буду весьма благордарен.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

что значит

бесплатный хост

???

[Данила]

Бесплатный хостинг (как narod.ru токо с php и mysql) - регистрироваться может любой желающий

[Alex Keda]

ладно. спрошу по другому - куда качают?

[zorg]

Если качают так сказать на твой бесплатный хостинг, то просто включи квотирование по пользователям и всё! 5.4 уже это позволяет.

[Данила]

Давайте тогда опустим момент о моем сервисе. Перефразирую. Нужно запретить пользователям разместившим сайты на моем сервере закачивать себе на сайты файлы больше 20 МБ. Сделать это они могут по ФТП и через специальные пхп скрипты (шелл я не даю). Нужно ввести указанные ограничения. То есть ввести правила для фаирвола. Подскажите как это сделать и проблема будет решена. Также нужно ввести ограничение на скорость скачивания, чтобы не забивать линию.

[Alex Keda]

файрволл не знает, что такое файлы. он знает тока про пакеты, идущие от одного компа к другому по каким-то протоколам и портам. Содержимое пакетов, его не интересует.

=========
man login.conf - ключевое слово "filesize"
=========
также, пример реализации почитай тут - http://www.lissyara.su/?id=1066

[Данила]

У меня хостинг крутится под cPanel. Панелька такая. Она сама создает аккуанты, в этом есть сложность. Также есть сложность в том, что пользователь может скриптом отправить письмо с вложенным файлом весом в пару гигов. Такое решение его не остановит. Может быть все таки можно ограничить как то фаирволом? Уверен что можно, подскажите плз как.


p.s Кстати, в описанном методе приведен скрипт создающий новых пользователей. Можно ли как то распространить ограничения на всех пользователей в системе, если они не были созданы этим скриптом. Я сделал как написано (внес изменения в login.conf) однако апач как крутился под nobidy так и крутится(

[Alex Keda]

ну так добавь nobody в соответствующий класс пользователей.
и про 2 гига - где они лежат? Если на локальной машине, где апач, так их туда положить не смогут.

[Данила]

Они могут лежать у пользователя в домащней директории. Да даже не два гига. Пусть те же 20 МБ. Пару сотен писем и можно так трафик нагнать, дай боже. Поэтому так хочется ограничить это дело. Поверьте, я перебрал много вариантов - крыть фаирволом - самый приемлимый.

Хм.... а как это сделать, добавить nobody в класс webuser? Будет ли это приемлимо. Ведь получится что мы выставили лимит на пользователя, из под которого выполняются все скрипты на сервере. Ведь получится что мы ограничиваем сразу всех, причем ограничиваем по отношению к системе, а не по отношению друг к другу. И даже тогда, по идеи все равно апач будет вертеться под nobody. Я не прав?

[Alex Keda]

ещё раз - файрволл хнает лишь о заголовках пакетов.
он не знает о файлах, и их размерах.
=========
заведи отдельного пользователя под апач. а лучше каждому юзеру выдавай системную учётку, без шелла.

[zorg]

А почему забываем о квотах?? тамже можно как количество файлов, так и суммарный размер задавать!! Постваишь 20 Мб и всё больше записать ни под каким аккаунтом не смогут!!! поставишь ещё при этом 10 файлов то более 10 файлов не смогут записать, чего выдумывать то???
Как ты фаером сможешь это закрыть?? Им можно попытаться скокрость порезать Ю но куда дальше то у тя и так АДСЛ!
Почитай что фаер делает!! Тебе Лис дело говорит!!
А для квот не важно чем ты задаёшь этих юзеров, если они заводятся в базу, для квот можно сразу указать диапазон UID, тогда они будут автоматом применяться для вновь создаваемых юзеров, это чтобы не отслеживать при создании есть квота или нет!

[Данила]

Меня опять не поняли. Даю ссылку _http://onepage.ru/ . Сервер в америке, канал 100 Mbps. Что ограничивать есть. Подскажите команду для этого плз...

Я размещаю сайты. Под это даю неограниченное место, под базу данных и страницы, но не под файлы в 500 МБ. Понимаете о чем речь идет? Если квоты позволяют установить максимальный размер файла, то это в принципе выход. И то, тогда надо придумат так чтобы ограничение распространялось только на папку /home. Если это возможно, буду очень благодарен, если вы поможете узнать как это сделать.


Насчет фаирвола. Я понимаю что фаир не понимает что такое файл. Просто думал что можно что-нить придумать по этому поводу.

Спасибо, надеюсь на помощь

[Alex Keda]

нелхя ничё придумать с фаером.
ставь квты. на папку поставить нельзя, на раздел можно.

[Данила]

Понятно. Так все же, никто не подскажет команду для замедления скорости передачи файлов (пакетов)? Например в 5 кб/сек?

[Alex Keda]

http://www.lissyara.su/?id=1071