Закачка мимо transparent squid

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Закачка мимо transparent squid

Непрочитанное сообщение maradona » 2009-01-15 15:11:56

работает прозрачный сквид с пулами обнаружил такую вещь:

Код: Выделить всё

tcp    Out 192.168.1.106:3700     78.140.147.206:81      ESTABLISHED:ESTABLISHED  01:33:06  23:59:58 107849 72916K
tcp    Out 192.168.1.106:3895     78.108.178.216:92      ESTABLISHED:ESTABLISHED  01:26:58  24:00:00 230644   203M
это адреса ресурса - http://letitbit.net/
тоесть чел гонит мимо сквида ну и в пулы естественно ниче не идет, забирает весь канал, - почему так происходит и как бороться? и как так получиться могло? (сетка домашняя, - NAT присутствует)
Последний раз редактировалось maradona 2009-01-16 15:19:48, всего редактировалось 3 раза.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: squid+http - ESTABLISHED:ESTABLISHED непонятно!

Непрочитанное сообщение maradona » 2009-01-15 15:47:27

скид прозрачный, редирект с помощью PF, толковых юзеров способных обойти сквид - точно нет!

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: Закачка мимо transparent squid

Непрочитанное сообщение maradona » 2009-01-16 15:19:05

трафик вот такой:

Код: Выделить всё

(18:43:24 </>) 0 # tcpdump -i rl0 -vvv host 192.168.1.106
tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
18:43:36.380315 IP (tos 0x0, ttl  52, id 9309, offset 0, flags [DF], proto: TCP (6), length: 1466) 510.upl.cz.npp > 192.168.1.106.4916: . 15599294:15600720(1426) ack 4067041062 win 7353
18:43:36.381427 IP (tos 0x0, ttl 128, id 5572, offset 0, flags [DF], proto: TCP (6), length: 40) 192.168.1.106.4916 > 510.upl.cz.npp: ., cksum 0xba1e (correct), 1:1(0) ack 1426 win 65535
18:43:36.472308 IP (tos 0x0, ttl  52, id 9310, offset 0, flags [DF], proto: TCP (6), length: 1466) 510.upl.cz.npp > 192.168.1.106.4916: . 1426:2852(1426) ack 1 win 7353
18:43:36.563290 IP (tos 0x0, ttl  52, id 9311, offset 0, flags [DF], proto: TCP (6), length: 1466) 510.upl.cz.npp > 192.168.1.106.4916: . 2852:4278(1426) ack 1 win 7353
18:43:36.564292 IP (tos 0x0, ttl 128, id 5578, offset 0, flags [DF], proto: TCP (6), length: 40) 192.168.1.106.4916 > 510.upl.cz.npp: ., cksum 0xaefa (correct), 1:1(0) ack 4278 win 65535
18:43:36.655268 IP (tos 0x0, ttl  52, id 9312, offset 0, flags [DF], proto: TCP (6), length: 1466) 510.upl.cz.npp > 192.168.1.106.4916: . 4278:5704(1426) ack 1 win 7353

Rexx
проходил мимо
Сообщения: 6
Зарегистрирован: 2008-08-22 10:27:12

Re: Закачка мимо transparent squid

Непрочитанное сообщение Rexx » 2009-01-16 17:29:03

Даите правила стенки

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: Закачка мимо transparent squid

Непрочитанное сообщение maradona » 2009-01-16 20:14:12

сетка домашняя все разрешено, стоит задача чисто порезать скорость:
pf.conf

Код: Выделить всё

(19:08:40 </>) 0 # cat /etc/pf.conf

#loop="lo0"
ext_if="tun0"
int_if="rl0"
client1="192.168.1.2"
client2="192.168.1.179"
client3="192.168.1.170"
client4="192.168.1.154"
client5="192.168.1.106"
client6="192.168.1.226"
int_net= "{" $client1 $client2 $client3 $client4 $client5 $client6 "}"
ftp_rdr= "{" $client6 $client5 "}"
www_port="{ 80 8080}"
ftp_port="{21}"
table <ftpvalid> file "/etc/ftpvalid"
table <lamers> file "/etc/lamers"
#MACRO END

#SETING
set loginterface rl0
set optimization normal
set fingerprints "/etc/pf.os"
#END

#RDR
rdr on $int_if inet proto {tcp, udp} from $int_net to any port $www_port -> 192.168.1.158 port 3128
rdr on $int_if inet proto {tcp, udp} from <lamers> to any port $www_port -> 192.168.1.158 port 3128
rdr on $int_if inet proto {tcp, udp} from $ftp_rdr to any port $ftp_port -> 192.168.1.158 port 2121
rdr on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.187 port $ftp_port -> 192.168.1.187 port 4010

#NAT
nat on $ext_if from $int_net to any -> ($ext_if)
nat on $ext_if from <lamers> to any -> ($ext_if)

#RULES
pass in quick on $int_if inet proto {tcp, udp} from <ftpvalid> to 192.168.1.187 port 4010
pass in quick on $int_if inet proto {tcp, udp} from <ftpvalid> to 192.168.1.185 port 4000
block  in log quick on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.187 port 4010
block in log  quick on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.185 port 4000
pass all

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Закачка мимо transparent squid

Непрочитанное сообщение manefesto » 2009-01-17 8:31:04

скажу честно...твой фаер решето.
Вот смотрю в конце написано

Код: Выделить всё

pass all
И что же это значит???? да значит что всех пускать куда угодно.
Как правило в начале фаера пишут

Код: Выделить всё

block all
а дальше разрешают то что надо.
соответстенно

Код: Выделить всё

tcp    Out 192.168.1.106:3700     78.140.147.206:81      ESTABLISHED:ESTABLISHED  01:33:06  23:59:58 107849 72916K
tcp    Out 192.168.1.106:3895     78.108.178.216:92      ESTABLISHED:ESTABLISHED  01:26:58  24:00:00 230644   203M
не попадает под твои правила и срабатывает последнее

Код: Выделить всё

pass all
Короче...учи матчасть
я такой яростный шо аж пиздеЦ
Изображение

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: Закачка мимо transparent squid

Непрочитанное сообщение maradona » 2009-01-17 10:10:17

Код: Выделить всё

не попадает под твои правила и срабатывает последнее
так привилами я ниче не блокирую, домашняя сетка это, вопрос почему конект вивыливается со сквида с ресурса - http://letitbit.net/ и почему так происходит?

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: Закачка мимо transparent squid

Непрочитанное сообщение maradona » 2009-01-17 10:35:16

эксперементировал с получением ссылок - получается конект в диапазоне от 81 до 92 порта (из того что я видел):

Код: Выделить всё

tcp    Out 192.168.1.2:1026       88.208.22.144:84       ESTABLISHED:ESTABLISHED  00:04:17  24:00:00   2024  1728K
как вариант ограничиваю скорость IPFW по этим портам.

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: Закачка мимо transparent squid

Непрочитанное сообщение maradona » 2009-01-17 19:11:05

Мля... все оказалось елементарно, нада было просто на ссылку посмотреть... :(

Код: Выделить всё

http://r19.letitbit.net:86/download9/17-91ae2af0913bfdd94a2eba6939f12f97/6fcf1b245918/stas-pyexa-2008.rar
поэтому завернул 81-99 порты на squid и все идет через delay_pools... :cz2: