ipfw dummynet http/ftp и прочие протоколы

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
at
мл. сержант
Сообщения: 74
Зарегистрирован: 2008-06-13 0:35:22

ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение at » 2008-06-21 2:09:41

ситуация такая
хочу шейпит трафик средсктвами ipfw dummynet по протоколам как входяший как и сходяший
с исходящим как бы проблеме не вижу, есть порт назначени для 99% случев для данного протокола по нему можно ориентироваться, а там делать что вздумается,
с входящими соедениями как быть?
как узнаит что этот входящий трафик http, а не чтото другое и соответственно его зарезать так как я этого хочу?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Covax » 2008-06-21 2:45:56

Есть ещё и порт источника. По нему и резать.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение zg » 2008-06-21 7:08:41

at писал(а):как узнаит что этот входящий трафик http, а не чтото другое и соответственно его зарезать так как я этого хочу?
а как он без открытого соединения к тебе пойдёт, чтоб его тут приняли нужно чтоб порт этот кто-нить слушал? а чтоб открыть соединение, нужен запрос на определённый порт сервера. А если порт нестандартный, то только через снифер.

at
мл. сержант
Сообщения: 74
Зарегистрирован: 2008-06-13 0:35:22

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение at » 2008-06-21 13:41:09

и какой порт источника для входящего трафика трафика с http сервера

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение paradox » 2008-06-21 14:29:37

Код: Выделить всё

add deny tcp from any to any 80
рубить весь трафик http
к примеру

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Covax » 2008-06-21 17:16:10

at писал(а):и какой порт источника для входящего трафика трафика с http сервера
Как ни странно, но стандартно 80.

at
мл. сержант
Сообщения: 74
Зарегистрирован: 2008-06-13 0:35:22

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение at » 2008-06-21 20:50:22

Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого

так что пока невижу адекватного решеия как запознать http трафик, не входящй а ответ с http сервера

как по мне проблема вроди как очевидная, шейпер по протоколам выше чем tcp/ip
но решания пока невижу

может кто занает как прижать p2p трафик средсквами freebsd? это таже проблема но с другой стороны :smile:

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение paradox » 2008-06-21 20:53:32

Код: Выделить всё

клиент any port1  -> сервер 80
сервер 80 -> клиент any port1

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Covax » 2008-06-21 21:01:56

at писал(а):Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого
Это где ты такое увидел?
Если ответ приходит с друго порта, то значит что серверу необходимо устанавливать новое соединение с клиентом, а этим только ftp грешит. Если запрос ушёл на 80 порт то и ответ придёт с 80.
Здесь ты наверное путаешь порт клиента, который при коннекте выбирается случайно из динамического диапазона, но при входящем пакете это будет порт назначения, а порт источника по любому будет 80 (если запрос был на него)
at писал(а):не входящй а ответ с http сервера
Т.е. есть пакет, ответ от сервера, но не являющийся входящим? Это как?

И в подтверждение:

Код: Выделить всё

ipfw add allow tcp from me to any 80 out via $ext_if
ipfw add allow tcp from any 80 to me in via $ext_if
пропускает весь http трафик по 80 порту.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение zg » 2008-06-22 6:55:03

at писал(а):Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого
только проблема в том, что чтобы он вернулся надо сделать запрос на 80 порт. Если запроса нет, то это паразитка и с уверенностью сказать, что это именно http нельзя. С 80 порта ничего впринципе возвращаться не может, потому что после коннекта подключение перебрасывается на свободный порт, 80 порт только слушает.

at
мл. сержант
Сообщения: 74
Зарегистрирован: 2008-06-13 0:35:22

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение at » 2008-06-22 17:16:11

есть такая вот скатейка

http://nuclight.livejournal.com/122098.html

кто что думает по этому поводу

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение alex3 » 2008-06-22 17:22:01

С 80 порта ничего впринципе возвращаться не может, потому что после коннекта подключение перебрасывается на свободный порт, 80 порт только слушает.
не знал. интересно... на работе послежу...
Если ответ приходит с друго порта, то значит что серверу необходимо устанавливать новое соединение с клиентом, а этим только ftp грешит. Если запрос ушёл на 80 порт то и ответ придёт с 80.
Здесь ты наверное путаешь порт клиента, который при коннекте выбирается случайно из динамического диапазона, но при входящем пакете это будет порт назначения, а порт источника по любому будет 80 (если запрос был на него)
а если у клиента внешний прокси?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Гость
проходил мимо

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Гость » 2008-06-22 17:59:21

как это не возращаеться с 80 ??
вы еще скажите что и с pptp порта не возращаеться
и с 3128 не возращаеться
а что же тогда такое tcp ????

а вот ftp да
там два режима
пассивный и активный
читайте документацию
о том в чем их различия

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Covax » 2008-06-22 18:00:23

Дамы и господа! Перестаньте нести чушь! Смешно уже, ей богу. Как говорится: учите матчасть!
Что бы не быть голословным и отсечь большенство глупых вопросов и утверждений несколько примеров:
1. сделайте следующий конфиг ipfw:

Код: Выделить всё

ipfw add 1 allow tcp from me to any 80
ipfw add 2 allow tcp from any 80 to me
ipfw add 3 deny all from any to any
Попробуйте зайти на любой сайт по IP (т.к. dns зарезан будет) и вы с удивлением заметите, что всё работает! Про какие ответы со случайных портов может идти речь?
2. если надо разрешить http трафик на наш сервер:

Код: Выделить всё

ipfw add 1 allow tcp from any to me 80
ipfw add 2 allow tcp from me 80 to any
ipfw add 3 deny all from any to any
И если на нашем сервере http будет висеть на 80 порту, то опять всё будет работать!

Был упомянут внешний прокси. Тут ситуация точно такая же как и с 80 портом, просто надо пропускать не на 80 порт, а на порт прокси.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35469
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Alex Keda » 2008-06-22 18:09:30

Код: Выделить всё

hosting$ sockstat | grep httpd | grep -v "*:*"
www      httpd      43919 153tcp4   77.221.149.162:80     87.250.213.237:4907
www      httpd      43335 153tcp4   77.221.149.162:80     77.66.166.168:50020
www      httpd      43334 153tcp4   77.221.149.162:80     66.249.73.107:59075
www      httpd      42685 153tcp4   77.221.149.162:80     85.113.203.245:49376
www      httpd      42659 153tcp4   77.221.149.166:80     66.249.73.107:53273
www      httpd      41099 153tcp4   77.221.149.162:80     85.113.203.245:58185
www      httpd      41098 153tcp4   77.221.149.166:80     80.84.118.41:1620
www      httpd      40992 153tcp4   77.221.149.162:80     77.66.166.168:50902
www      httpd      40430 153tcp4   77.221.149.162:80     87.117.170.18:43206
с этого сервера.
Боюсь, только 80-м портом не обойдёшься.
=======
сорри если засветил чей-то адрес..
Убей их всех! Бог потом рассортирует...

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Covax » 2008-06-22 18:13:29

lissyara писал(а): с этого сервера.
Боюсь, только 80-м портом не обойдёшься.
Почему не обойдёшься? Все запросы то идут на 80 порт. Это разве не достаточно?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35469
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Alex Keda » 2008-06-22 19:27:01

проглядел про ответы.
Имелось ввиду что ответы на рандомные порты.
ну да не суть.
Убей их всех! Бог потом рассортирует...

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Covax » 2008-06-22 21:02:34

lissyara писал(а):проглядел про ответы.
Имелось ввиду что ответы на рандомные порты.
ну да не суть.
Ну так да. Ответы идут на рандомный порт, но с 80, а этого достаточно для контроля трафика.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение schizoid » 2008-06-24 10:02:58

Covax писал(а):
lissyara писал(а): с этого сервера.
Боюсь, только 80-м портом не обойдёшься.
Почему не обойдёшься? Все запросы то идут на 80 порт. Это разве не достаточно?
не достаточно, так как есть еще и 443-й порт, и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м порту
ядерный взрыв...смертельно красиво...жаль, что не вечно...

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение zg » 2008-06-24 12:29:23

schizoid писал(а):и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м порту
то что они работею как веб, кроме них никто не знает, ты можешь только обрезать все попытки зацепиться на такие порты. Я так вижу решение траблы - блокируешь 80 порт и любые попытки выбраться в нет, а пропускаешь только проксю (можно прозрачную) и установленные соединения. Таким образом, те, кому можно, будут качать без проблем, кому низя будут сидеть без нета.

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: ipfw dummynet http/ftp и прочие протоколы

Непрочитанное сообщение Covax » 2008-06-24 14:24:10

schizoid писал(а):не достаточно, так как есть еще и 443-й порт, и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м порту
Тут я не спорю. Это было как пример чтобы показать, что ответы идут с 80 порта, а не через рандомный, как утверждало приличное колличество людей!