[Solved] Пользователь обходит pipe, как его поймать.

[FilosofBeer]

Ситуация такая: Есть кучка пользователей из локалки, для которых выделен инет. Выход настроен через ipfw+nat, для ограничения скорости использованы pipe. ТАк вот, один из пользователей ходит в инет в обход pipe, и поэтому не имеет никаких ограничений. Это ИП 152, который во второй таблице. Если его отключить то инет пропадает, а если включить, то он ходит в обход ограничений.

Код: Выделить всё

/usr/home/fill/>vi /etc/firewall
table 1 add  10.1.1.34/32 2
table 1 add  10.1.1.62/32 2
table 1 add  10.1.1.68/32 2

table 2 add  10.1.1.15/32 5
table 2 add  10.1.1.17/32 6
table 2 add  10.1.1.20/32 6
table 2 add  10.1.1.151/32 6
table 2 add  10.1.1.187/32 6

table 2 add  10.1.1.59/32 2
table 2 add  10.1.1.202/32 2
table 2 add  10.1.1.152/32 2

pipe 2 config bw 164Kbit/s mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
pipe 5 config bw 820Kbit/s mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
pipe 6 config bw 82Kbit/s mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1

add 998 setfib 0 ip from table(1) to any in recv vr0
add 999 setfib 1 ip from table(2) to any in recv vr0

add 1000 allow ip from table(1) to any via vr0
add 1001 allow ip from any to table(1) via vr0
add 1005 allow ip from table(2) to any via vr0
add 1006 allow ip from any to table(2) via vr0
add 1040 deny ip from any to any via vr0

nat 1 config if vr1 reset same_ports deny_in
nat 2 config if vr2 reset same_ports deny_in

add 10130 nat 1 tcp from any to any out xmit vr1 limit src-addr 80
add 10131 allow tcp from any to any out xmit vr1
add 10140 nat 1 ip from any to any out xmit vr1
add 10141 allow all from any to any out xmit vr1

add 20130 nat 2 tcp from any to any out xmit vr2 limit src-addr 80
add 20131 allow tcp from any to any out xmit vr2
add 20140 nat 2 ip from any to any out xmit vr2
add 20141 allow all from any to any out xmit vr2

add 20150 nat 1 ip from any to any in recv vr1
add 20151 nat 2 ip from any to any in recv vr2

add 30151 pipe tablearg ip from any to table(1) in recv vr1
add 30152 pipe tablearg ip from any to table(2) in recv vr2

add 30160 allow all from any to any
add 65534 deny all from any to any

Вывод:

Код: Выделить всё

/usr/home/fill/>ipfw pipe show
00002: 164.000 Kbit/s    0 ms   60 sl. 8 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  8 ip           0.0.0.0/0          10.1.1.202/0     88215 107553013  0    0 3917
 32 ip           0.0.0.0/0           10.1.1.34/0     86571 113214638  9 10821 5282
 60 ip           0.0.0.0/0           10.1.1.62/0     20515 22103607  0    0 405
00005: 820.000 Kbit/s    0 ms   60 sl. 1 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
 13 ip           0.0.0.0/0           10.1.1.15/0     16525 19590520  0    0   0
00006:  82.000 Kbit/s    0 ms   60 sl. 2 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
 19 ip           0.0.0.0/0           10.1.1.17/0     134673 10849530  0    0 54647
 22 ip           0.0.0.0/0           10.1.1.20/0     11605  9266113  0    0 158
/usr/home/fill/>

Кто поможет его выловить ??? Может он какой эксплойт использует ?? Система FreeBSD 7.2-RELEASE

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mediamag]

в sysctl что?

[iye]

Эм ... а как вы его "отключаете" ?

[FilosofBeer]

Код: Выделить всё

net.inet.ip.fw.one_pass=0

Эм ... а как вы его "отключаете" ?

Код: Выделить всё

....
# table 2 add  10.1.1.152/32 2
....

Дальше ребут, и инет у него неработает.

[iye]

Ну вобщем логично что у него не работает инет. Сдаеца мне что проблема у вас с путоницей интерфейсов и применением таблиц. 152 случаем не со стороны vr1 сидит ?

[FilosofBeer]

Ну вобщем логично что у него не работает инет. Сдаеца мне что проблема у вас с путоницей интерфейсов и применением таблиц. 152 случаем не со стороны vr1 сидит ?

Инет у него работает, только без ограничений, как у всех остальных. Поэтому пользователь пользует канал инета на полную, и не говарит об этом никому.
Интерфейсы vr1 и vr2 внешнии, это инет каналы.
Интерфейс vr0 локальная сеть, ИП 152 оттуда идет.

[terminus]

ворос всему народу: у ipfw pipe show нет ограничений на количесутво строк выводимой информации?

Не может быть что этот чувак в трубах, но его просто не показывает?

[QuAzI]

Не понятно, по ходу, если пользователи не попали в таблицы маршртизации, они не пользуются лимитами?
Вывод ifconfig тоже думаю не помешает, может вы их "забриджевали" и они всё-таки в одной сети?

[FilosofBeer]

Не понятно, по ходу, если пользователи не попали в таблицы маршртизации, они не пользуются лимитами?

Если пользователи непопали в таблицы 1 и 2, то инет работать небудет. Я ремил ИП 152 в таблице, и инет пропадал у него.
Прописывал его в таблице 1 и 2 поочереди, никакого эффекта, он в трубу не попадал, и инет был без ограничений.

Вывод ifconfig:

Код: Выделить всё

/usr/home/fill/>ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:02:90:58
        inet 10.1.1.252 netmask 0xffffff00 broadcast 10.1.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:24:01:02:b0:5c
        inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:22:b0:df:b0:5f
        inet 192.168.2.3 netmask 0xffffff00 broadcast 192.168.2.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
/usr/home/fill/>

[terminus]

Код: Выделить всё

sysctl net.inet.ip.dummynet.expire=0

попробуйте

[FilosofBeer]

Ничего не получилось.
Я даже пробовал для него отдельный pipe, но он туда тоже не попадает.
Есть еще какие мысли по этому поводу ???

[terminus]

Код: Выделить всё

00002: 164.000 Kbit/s    0 ms   60 sl. 8 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  8 ip           0.0.0.0/0          10.1.1.202/0     88215 107553013  0    0 3917
32 ip           0.0.0.0/0           10.1.1.34/0     86571 113214638  9 10821 5282
60 ip           0.0.0.0/0           10.1.1.62/0     20515 22103607  0    0 405

вот мне интересно - он показывает что создано 8 queues но в выврде видно только 3

[FilosofBeer]

Я сократил несколько ИП, что бы меньше читать и места занимало.

Код: Выделить всё

/usr/home/fill/>ipfw pipe show
00002: 164.000 Kbit/s    0 ms   60 sl. 8 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  4 ip           0.0.0.0/0            10.1.1.6/0     57513 68118765 26 20372 270
  7 ip           0.0.0.0/0            10.1.1.5/0     22949 23722686  0    0 315
  8 ip           0.0.0.0/0          10.1.1.202/0     74750 48286319 34 43693 1326
 12 ip           0.0.0.0/0           10.1.1.14/0     12154  3384591  0    0  10
 32 ip           0.0.0.0/0           10.1.1.34/0     65961 78887573  0    0 6141
 49 ip           0.0.0.0/0          10.1.1.243/0        7     4858  0    0   0
 53 ip           0.0.0.0/0          10.1.1.247/0     61900 76925104 13 18460 3172
 60 ip           0.0.0.0/0           10.1.1.62/0        2      120  0    0   0
00005: 820.000 Kbit/s    0 ms   60 sl. 1 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
 13 ip           0.0.0.0/0           10.1.1.15/0     13089 15216516  0    0   0
00006:  82.000 Kbit/s    0 ms   60 sl. 3 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
 19 ip           0.0.0.0/0           10.1.1.17/0     6933  6477724  0    0  79
 22 ip           0.0.0.0/0           10.1.1.20/0     8759 10248780  0    0   5
 57 ip           0.0.0.0/0          10.1.1.187/0     12499  9430504  0    0 486
/usr/home/fill/>

[iye]

Код: Выделить всё

ipfw pipe 2 show

[FilosofBeer]

Код: Выделить всё

/usr/home/fill/>ipfw pipe 2 show
00002: 164.000 Kbit/s    0 ms   60 sl. 9 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  4 ip           0.0.0.0/0            10.1.1.6/0     64185 76468887 21 28440 319
  6 ip           0.0.0.0/0           10.1.1.68/0      569   445422  2 2840   0
  7 ip           0.0.0.0/0            10.1.1.5/0     23022 23731918  0    0 315
  8 ip           0.0.0.0/0          10.1.1.202/0     79797 54790942  6 7038 1361
 12 ip           0.0.0.0/0           10.1.1.14/0     12767  3508727  0    0  10
 32 ip           0.0.0.0/0           10.1.1.34/0     68198 80965418 57 71328 6154
 49 ip           0.0.0.0/0          10.1.1.243/0        7     4858  0    0   0
 53 ip           0.0.0.0/0          10.1.1.247/0     68980 85832970 10 12820 3524
 60 ip           0.0.0.0/0           10.1.1.62/0        2      120  0    0   0
/usr/home/fill/>

[FilosofBeer]

ВНИМАНИЕ !!!!!
Пользователь сменил ИП на 153, и ничего не изменилось. Инет работает, а в выводе его нету.

Код: Выделить всё

/usr/home/fill/>ipfw pipe show
00002: 164.000 Kbit/s    0 ms   60 sl. 8 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  4 ip           0.0.0.0/0            10.1.1.6/0     2125  2685689 52 71098   2
  6 ip           0.0.0.0/0           10.1.1.68/0     2289  1480671  0    0  86
  7 ip           0.0.0.0/0            10.1.1.5/0       46    11017  0    0   0
  8 ip           0.0.0.0/0          10.1.1.202/0      970   824467  2 2840   0
 12 ip           0.0.0.0/0           10.1.1.14/0      751   174998  0    0   0
 32 ip           0.0.0.0/0           10.1.1.34/0      406   461163  0    0   0
 53 ip           0.0.0.0/0          10.1.1.247/0     3432  4348380 19 17320 137
 60 ip           0.0.0.0/0           10.1.1.62/0      373    41815  0    0   0
00005: 820.000 Kbit/s    0 ms   60 sl. 1 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
 13 ip           0.0.0.0/0           10.1.1.15/0      680   801822  0    0   0
00006:  82.000 Kbit/s    0 ms   60 sl. 2 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
 19 ip           0.0.0.0/0           10.1.1.17/0       22     3516  0    0   0
 57 ip           0.0.0.0/0          10.1.1.187/0        6      240  0    0   0
/usr/home/fill/>

Или меня водят занос, или слишком умный юзер появился в сети.

[BirdGovorun]

А прокся есть?

[Гость]

начнем с

Код: Выделить всё

ipfw show

Код: Выделить всё

netstat -an

Код: Выделить всё

sockstat -4

[FilosofBeer]

А прокся есть?

Какая прокся ??? Расширте вопрос поконкретнее. Какая, где, как ??

У пользователя система ВинХР и антивир Аваст
Из чата с пользователем:

Код: Выделить всё

ОН> щя проверял сначало когда качать начал было 100 потом упала до 40. инет вроде работает нормально
> 
Я> > и инет хорошо работает ??? Какая скорость ??

Получается, что он забирает весь оставшийся канал после остальных пользователей. Прыжки скорости это эффект настройки queue.

Код: Выделить всё

/usr/home/fill/>ipfw show
00100    48     3530 allow ip from any to any via lo0
00200     0        0 deny ip from any to 127.0.0.0/8
00300     0        0 deny ip from 127.0.0.0/8 to any
00998 38310  5434656 setfib 0 ip from table(1) to any in recv vr0
00999 13359  3394075 setfib 1 ip from table(2) to any in recv vr0
01000 38310  5434656 allow ip from table(1) to any via vr0
01001 47615 49876393 allow ip from any to table(1) via vr0
01005 13359  3394075 allow ip from table(2) to any via vr0
01006 16816 17720584 allow ip from any to table(2) via vr0
01040  5462   439615 deny ip from any to any via vr0
10130 34550  5244730 nat 1 tcp from any to any out xmit vr1 limit src-addr 80
10131 34550  5244730 allow tcp from any to any out xmit vr1
10140  3861   200265 nat 1 ip from any to any out xmit vr1
10141  3861   200265 allow ip from any to any out xmit vr1
20130 12646  3340151 nat 2 tcp from any to any out xmit vr2 limit src-addr 80
20131 12646  3340151 allow tcp from any to any out xmit vr2
20140    19     1833 nat 2 ip from any to any out xmit vr2
20141    19     1833 allow ip from any to any out xmit vr2
20150 49060 51474777 nat 1 ip from any to any in recv vr1
20151 16669 18013841 nat 2 ip from any to any in recv vr2
30151 48194 51236698 pipe tablearg ip from any to table(1) in recv vr1
30152 16661 18011585 pipe tablearg ip from any to table(2) in recv vr2
30160 64000 67488835 allow ip from any to any
65534     0        0 deny ip from any to any
65535    15     2568 deny ip from any to any
/usr/home/fill/>

Код: Выделить всё

/usr/home/fill/>netstat -an
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0     52 10.1.1.252.22          10.1.1.14.9504         ESTABLISHED
tcp4       0      0 *.22                   *.*                    LISTEN
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 *.53                   *.*                    LISTEN
udp4       0      0 *.53                   *.*
udp4       0      0 *.514                  *.*
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
c23a9b28 stream      0      0        0 c23aa000        0        0
c23aa000 stream      0      0        0 c23a9b28        0        0
c23a90a8 stream      0      0        0 c23a9150        0        0
c23a9150 stream      0      0        0 c23a90a8        0        0
c23a91f8 stream      0      0        0 c23a92a0        0        0
c23a92a0 stream      0      0        0 c23a91f8        0        0
c23a9348 stream      0      0        0 c23a93f0        0        0
c23a93f0 stream      0      0        0 c23a9348        0        0
c23a9498 stream      0      0        0 c23a9540        0        0
c23a9540 stream      0      0        0 c23a9498        0        0
c23a9c78 stream      0      0 c23ad78c        0        0        0 /var/run/devd.pipe
c23a9690 dgram       0      0 c23cd114        0        0        0 /var/run/logpriv
c23a9738 dgram       0      0 c23cd228        0        0        0 /var/run/log
/usr/home/fill/>

Код: Выделить всё

/usr/home/fill/>sockstat -4
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
fill     sshd       897   3  tcp4   10.1.1.252:22         10.1.1.14:9504
root     sshd       894   3  tcp4   10.1.1.252:22         10.1.1.14:9504
root     sshd       838   3  tcp4   *:22                  *:*
unbound  unbound    709   3  udp4   *:53                  *:*
unbound  unbound    709   4  tcp4   *:53                  *:*
unbound  unbound    709   5  tcp4   127.0.0.1:953         *:*
root     syslogd    691   6  udp4   *:514                 *:*
/usr/home/fill/>

[Гость]

Код: Выделить всё

ipfw table 1 list
ipfw table 2 list

[FilosofBeer]

Код: Выделить всё

/usr/home/fill/>ipfw table 1 list
10.1.1.5/32 2
10.1.1.6/32 2
10.1.1.14/32 2
10.1.1.34/32 2
10.1.1.62/32 2
10.1.1.68/32 2
10.1.1.235/32 2
10.1.1.243/32 2
10.1.1.247/32 2
/usr/home/fill/>
/usr/home/fill/>ipfw table 2 list
10.1.1.15/32 5
10.1.1.17/32 6
10.1.1.20/32 6
10.1.1.59/32 2
10.1.1.151/32 6
10.1.1.152/32 2
10.1.1.153/32 2
10.1.1.187/32 6
10.1.1.202/32 2
/usr/home/fill/>

Очень интересные команды, надо будет их запомнить.
вот тот который ИП 153 ходит в обход ограничений, раньше он был ИП 152, но для эксперемента сменил ИП.

[Гость]

таксь
еще раз одновременно

Код: Выделить всё

ipfw pipe 2 show && ipfw table 2 list

[terminus]

добавте в правила

Код: Выделить всё

ipfw add 1 count all from any to any via vr0 frag

[FilosofBeer]

Код: Выделить всё

/usr/home/fill/>ipfw pipe 2 show && ipfw table 2 list
00002: 164.000 Kbit/s    0 ms   60 sl. 8 queues (64 buckets)
          GRED w_q 0.001999 min_th 10 max_th 30 max_p 0.099991
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  4 ip           0.0.0.0/0            10.1.1.6/0     30861 38669922 19 17351 298
  6 ip           0.0.0.0/0           10.1.1.68/0     18488 16091569  0    0 608
  7 ip           0.0.0.0/0            10.1.1.5/0     4602  4681057 22 28610  48
  8 ip           0.0.0.0/0          10.1.1.202/0     20522 23598367  0    0 245
 12 ip           0.0.0.0/0           10.1.1.14/0     3947   923601  0    0   0
 32 ip           0.0.0.0/0           10.1.1.34/0     2096  1932432  0    0   0
 53 ip           0.0.0.0/0          10.1.1.247/0     34632 41891288 14 17150 1556
 60 ip           0.0.0.0/0           10.1.1.62/0     9931  1073592  0    0   0
10.1.1.15/32 5
10.1.1.17/32 6
10.1.1.20/32 6
10.1.1.59/32 2
10.1.1.151/32 6
10.1.1.152/32 2
10.1.1.153/32 2
10.1.1.187/32 6
10.1.1.202/32 2
/usr/home/fill/>

[BirdGovorun]

Прокся
http://ru.wikipedia.org/wiki/Squid
Одно время развлекался, всех на прокси, а себя родимого через NAT, чтоб никто не видел.
Я бы так обошёл ограничение, на компе table 2 add 10.1.1.15/32 5 сделал бы нат и ходил,
единственная проблема доступ к этому компу.