ipfw dummynet http/ftp и прочие протоколы
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 74
- Зарегистрирован: 2008-06-13 0:35:22
ipfw dummynet http/ftp и прочие протоколы
ситуация такая
хочу шейпит трафик средсктвами ipfw dummynet по протоколам как входяший как и сходяший
с исходящим как бы проблеме не вижу, есть порт назначени для 99% случев для данного протокола по нему можно ориентироваться, а там делать что вздумается,
с входящими соедениями как быть?
как узнаит что этот входящий трафик http, а не чтото другое и соответственно его зарезать так как я этого хочу?
хочу шейпит трафик средсктвами ipfw dummynet по протоколам как входяший как и сходяший
с исходящим как бы проблеме не вижу, есть порт назначени для 99% случев для данного протокола по нему можно ориентироваться, а там делать что вздумается,
с входящими соедениями как быть?
как узнаит что этот входящий трафик http, а не чтото другое и соответственно его зарезать так как я этого хочу?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- мл. сержант
- Сообщения: 131
- Зарегистрирован: 2008-04-27 23:54:31
- Откуда: Витебск, Беларусь
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
Есть ещё и порт источника. По нему и резать.
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: ipfw dummynet http/ftp и прочие протоколы
а как он без открытого соединения к тебе пойдёт, чтоб его тут приняли нужно чтоб порт этот кто-нить слушал? а чтоб открыть соединение, нужен запрос на определённый порт сервера. А если порт нестандартный, то только через снифер.at писал(а):как узнаит что этот входящий трафик http, а не чтото другое и соответственно его зарезать так как я этого хочу?
-
- мл. сержант
- Сообщения: 74
- Зарегистрирован: 2008-06-13 0:35:22
Re: ipfw dummynet http/ftp и прочие протоколы
и какой порт источника для входящего трафика трафика с http сервера
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw dummynet http/ftp и прочие протоколы
Код: Выделить всё
add deny tcp from any to any 80
к примеру
-
- мл. сержант
- Сообщения: 131
- Зарегистрирован: 2008-04-27 23:54:31
- Откуда: Витебск, Беларусь
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
Как ни странно, но стандартно 80.at писал(а):и какой порт источника для входящего трафика трафика с http сервера
-
- мл. сержант
- Сообщения: 74
- Зарегистрирован: 2008-06-13 0:35:22
Re: ipfw dummynet http/ftp и прочие протоколы
Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого
так что пока невижу адекватного решеия как запознать http трафик, не входящй а ответ с http сервера
как по мне проблема вроди как очевидная, шейпер по протоколам выше чем tcp/ip
но решания пока невижу
может кто занает как прижать p2p трафик средсквами freebsd? это таже проблема но с другой стороны
так что пока невижу адекватного решеия как запознать http трафик, не входящй а ответ с http сервера
как по мне проблема вроди как очевидная, шейпер по протоколам выше чем tcp/ip
но решания пока невижу
может кто занает как прижать p2p трафик средсквами freebsd? это таже проблема но с другой стороны
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw dummynet http/ftp и прочие протоколы
Код: Выделить всё
клиент any port1 -> сервер 80
сервер 80 -> клиент any port1
-
- мл. сержант
- Сообщения: 131
- Зарегистрирован: 2008-04-27 23:54:31
- Откуда: Витебск, Беларусь
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
Это где ты такое увидел?at писал(а):Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого
Если ответ приходит с друго порта, то значит что серверу необходимо устанавливать новое соединение с клиентом, а этим только ftp грешит. Если запрос ушёл на 80 порт то и ответ придёт с 80.
Здесь ты наверное путаешь порт клиента, который при коннекте выбирается случайно из динамического диапазона, но при входящем пакете это будет порт назначения, а порт источника по любому будет 80 (если запрос был на него)
Т.е. есть пакет, ответ от сервера, но не являющийся входящим? Это как?at писал(а):не входящй а ответ с http сервера
И в подтверждение:
Код: Выделить всё
ipfw add allow tcp from me to any 80 out via $ext_if
ipfw add allow tcp from any 80 to me in via $ext_if
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: ipfw dummynet http/ftp и прочие протоколы
только проблема в том, что чтобы он вернулся надо сделать запрос на 80 порт. Если запроса нет, то это паразитка и с уверенностью сказать, что это именно http нельзя. С 80 порта ничего впринципе возвращаться не может, потому что после коннекта подключение перебрасывается на свободный порт, 80 порт только слушает.at писал(а):Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого
-
- мл. сержант
- Сообщения: 74
- Зарегистрирован: 2008-06-13 0:35:22
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
не знал. интересно... на работе послежу...С 80 порта ничего впринципе возвращаться не может, потому что после коннекта подключение перебрасывается на свободный порт, 80 порт только слушает.
а если у клиента внешний прокси?Если ответ приходит с друго порта, то значит что серверу необходимо устанавливать новое соединение с клиентом, а этим только ftp грешит. Если запрос ушёл на 80 порт то и ответ придёт с 80.
Здесь ты наверное путаешь порт клиента, который при коннекте выбирается случайно из динамического диапазона, но при входящем пакете это будет порт назначения, а порт источника по любому будет 80 (если запрос был на него)
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.
-
- проходил мимо
Re: ipfw dummynet http/ftp и прочие протоколы
как это не возращаеться с 80 ??
вы еще скажите что и с pptp порта не возращаеться
и с 3128 не возращаеться
а что же тогда такое tcp ????
а вот ftp да
там два режима
пассивный и активный
читайте документацию
о том в чем их различия
вы еще скажите что и с pptp порта не возращаеться
и с 3128 не возращаеться
а что же тогда такое tcp ????
а вот ftp да
там два режима
пассивный и активный
читайте документацию
о том в чем их различия
-
- мл. сержант
- Сообщения: 131
- Зарегистрирован: 2008-04-27 23:54:31
- Откуда: Витебск, Беларусь
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
Дамы и господа! Перестаньте нести чушь! Смешно уже, ей богу. Как говорится: учите матчасть!
Что бы не быть голословным и отсечь большенство глупых вопросов и утверждений несколько примеров:
1. сделайте следующий конфиг ipfw:
Попробуйте зайти на любой сайт по IP (т.к. dns зарезан будет) и вы с удивлением заметите, что всё работает! Про какие ответы со случайных портов может идти речь?
2. если надо разрешить http трафик на наш сервер:
И если на нашем сервере http будет висеть на 80 порту, то опять всё будет работать!
Был упомянут внешний прокси. Тут ситуация точно такая же как и с 80 портом, просто надо пропускать не на 80 порт, а на порт прокси.
Что бы не быть голословным и отсечь большенство глупых вопросов и утверждений несколько примеров:
1. сделайте следующий конфиг ipfw:
Код: Выделить всё
ipfw add 1 allow tcp from me to any 80
ipfw add 2 allow tcp from any 80 to me
ipfw add 3 deny all from any to any
2. если надо разрешить http трафик на наш сервер:
Код: Выделить всё
ipfw add 1 allow tcp from any to me 80
ipfw add 2 allow tcp from me 80 to any
ipfw add 3 deny all from any to any
Был упомянут внешний прокси. Тут ситуация точно такая же как и с 80 портом, просто надо пропускать не на 80 порт, а на порт прокси.
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
Код: Выделить всё
hosting$ sockstat | grep httpd | grep -v "*:*"
www httpd 43919 153tcp4 77.221.149.162:80 87.250.213.237:4907
www httpd 43335 153tcp4 77.221.149.162:80 77.66.166.168:50020
www httpd 43334 153tcp4 77.221.149.162:80 66.249.73.107:59075
www httpd 42685 153tcp4 77.221.149.162:80 85.113.203.245:49376
www httpd 42659 153tcp4 77.221.149.166:80 66.249.73.107:53273
www httpd 41099 153tcp4 77.221.149.162:80 85.113.203.245:58185
www httpd 41098 153tcp4 77.221.149.166:80 80.84.118.41:1620
www httpd 40992 153tcp4 77.221.149.162:80 77.66.166.168:50902
www httpd 40430 153tcp4 77.221.149.162:80 87.117.170.18:43206
Боюсь, только 80-м портом не обойдёшься.
=======
сорри если засветил чей-то адрес..
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 131
- Зарегистрирован: 2008-04-27 23:54:31
- Откуда: Витебск, Беларусь
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
Почему не обойдёшься? Все запросы то идут на 80 порт. Это разве не достаточно?lissyara писал(а): с этого сервера.
Боюсь, только 80-м портом не обойдёшься.
- Alex Keda
- стреляли...
- Сообщения: 35469
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
проглядел про ответы.
Имелось ввиду что ответы на рандомные порты.
ну да не суть.
Имелось ввиду что ответы на рандомные порты.
ну да не суть.
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 131
- Зарегистрирован: 2008-04-27 23:54:31
- Откуда: Витебск, Беларусь
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
Ну так да. Ответы идут на рандомный порт, но с 80, а этого достаточно для контроля трафика.lissyara писал(а):проглядел про ответы.
Имелось ввиду что ответы на рандомные порты.
ну да не суть.
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
не достаточно, так как есть еще и 443-й порт, и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м портуCovax писал(а):Почему не обойдёшься? Все запросы то идут на 80 порт. Это разве не достаточно?lissyara писал(а): с этого сервера.
Боюсь, только 80-м портом не обойдёшься.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- полковник
- Сообщения: 5845
- Зарегистрирован: 2007-12-07 13:51:33
- Откуда: Верх-Нейвинск
Re: ipfw dummynet http/ftp и прочие протоколы
то что они работею как веб, кроме них никто не знает, ты можешь только обрезать все попытки зацепиться на такие порты. Я так вижу решение траблы - блокируешь 80 порт и любые попытки выбраться в нет, а пропускаешь только проксю (можно прозрачную) и установленные соединения. Таким образом, те, кому можно, будут качать без проблем, кому низя будут сидеть без нета.schizoid писал(а):и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м порту
-
- мл. сержант
- Сообщения: 131
- Зарегистрирован: 2008-04-27 23:54:31
- Откуда: Витебск, Беларусь
- Контактная информация:
Re: ipfw dummynet http/ftp и прочие протоколы
Тут я не спорю. Это было как пример чтобы показать, что ответы идут с 80 порта, а не через рандомный, как утверждало приличное колличество людей!schizoid писал(а):не достаточно, так как есть еще и 443-й порт, и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м порту