Страница 1 из 1
ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 2:09:41
at
ситуация такая
хочу шейпит трафик средсктвами ipfw dummynet по протоколам как входяший как и сходяший
с исходящим как бы проблеме не вижу, есть порт назначени для 99% случев для данного протокола по нему можно ориентироваться, а там делать что вздумается,
с входящими соедениями как быть?
как узнаит что этот входящий трафик http, а не чтото другое и соответственно его зарезать так как я этого хочу?
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 2:45:56
Covax
Есть ещё и порт источника. По нему и резать.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 7:08:41
zg
at писал(а):как узнаит что этот входящий трафик http, а не чтото другое и соответственно его зарезать так как я этого хочу?
а как он без открытого соединения к тебе пойдёт, чтоб его тут приняли нужно чтоб порт этот кто-нить слушал? а чтоб открыть соединение, нужен запрос на определённый порт сервера. А если порт нестандартный, то только через снифер.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 13:41:09
at
и какой порт источника для входящего трафика трафика с http сервера
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 14:29:37
paradox
рубить весь трафик http
к примеру
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 17:16:10
Covax
at писал(а):и какой порт источника для входящего трафика трафика с http сервера
Как ни странно, но стандартно 80.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 20:50:22
at
Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого
так что пока невижу адекватного решеия как запознать http трафик, не входящй а ответ с http сервера
как по мне проблема вроди как очевидная, шейпер по протоколам выше чем tcp/ip
но решания пока невижу
может кто занает как прижать p2p трафик средсквами freebsd? это таже проблема но с другой стороны
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 20:53:32
paradox
Код: Выделить всё
клиент any port1 -> сервер 80
сервер 80 -> клиент any port1
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-21 21:01:56
Covax
at писал(а):Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого
Это где ты такое увидел?
Если ответ приходит с друго порта, то значит что серверу необходимо устанавливать новое соединение с клиентом, а этим только ftp грешит. Если запрос ушёл на 80 порт то и ответ придёт с 80.
Здесь ты наверное путаешь порт клиента, который при коннекте выбирается случайно из динамического диапазона, но при входящем пакете это будет порт назначения, а порт источника по любому будет 80 (если запрос был на него)
at писал(а):не входящй а ответ с http сервера
Т.е. есть пакет, ответ от сервера, но не являющийся входящим? Это как?
И в подтверждение:
Код: Выделить всё
ipfw add allow tcp from me to any 80 out via $ext_if
ipfw add allow tcp from any 80 to me in via $ext_if
пропускает весь http трафик по 80 порту.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 6:55:03
zg
at писал(а):Covax ты не путай трафик на сервер и с ответ сервера, на сколько я увидел ситуацию на сервер уходит строго на 80 но возврашается с лбого другого
только проблема в том, что чтобы он вернулся надо сделать запрос на 80 порт. Если запроса нет, то это паразитка и с уверенностью сказать, что это именно http нельзя. С 80 порта ничего впринципе возвращаться не может, потому что после коннекта подключение перебрасывается на свободный порт, 80 порт только слушает.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 17:16:11
at
есть такая вот скатейка
http://nuclight.livejournal.com/122098.html
кто что думает по этому поводу
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 17:22:01
alex3
С 80 порта ничего впринципе возвращаться не может, потому что после коннекта подключение перебрасывается на свободный порт, 80 порт только слушает.
не знал. интересно... на работе послежу...
Если ответ приходит с друго порта, то значит что серверу необходимо устанавливать новое соединение с клиентом, а этим только ftp грешит. Если запрос ушёл на 80 порт то и ответ придёт с 80.
Здесь ты наверное путаешь порт клиента, который при коннекте выбирается случайно из динамического диапазона, но при входящем пакете это будет порт назначения, а порт источника по любому будет 80 (если запрос был на него)
а если у клиента внешний прокси?
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 17:59:21
Гость
как это не возращаеться с 80 ??
вы еще скажите что и с pptp порта не возращаеться
и с 3128 не возращаеться
а что же тогда такое tcp ????
а вот ftp да
там два режима
пассивный и активный
читайте документацию
о том в чем их различия
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 18:00:23
Covax
Дамы и господа! Перестаньте нести чушь! Смешно уже, ей богу. Как говорится: учите матчасть!
Что бы не быть голословным и отсечь большенство глупых вопросов и утверждений несколько примеров:
1. сделайте следующий конфиг ipfw:
Код: Выделить всё
ipfw add 1 allow tcp from me to any 80
ipfw add 2 allow tcp from any 80 to me
ipfw add 3 deny all from any to any
Попробуйте зайти на любой сайт по IP (т.к. dns зарезан будет) и вы с удивлением заметите, что всё работает! Про какие ответы со случайных портов может идти речь?
2. если надо разрешить http трафик на наш сервер:
Код: Выделить всё
ipfw add 1 allow tcp from any to me 80
ipfw add 2 allow tcp from me 80 to any
ipfw add 3 deny all from any to any
И если на нашем сервере http будет висеть на 80 порту, то опять всё будет работать!
Был упомянут внешний прокси. Тут ситуация точно такая же как и с 80 портом, просто надо пропускать не на 80 порт, а на порт прокси.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 18:09:30
Alex Keda
Код: Выделить всё
hosting$ sockstat | grep httpd | grep -v "*:*"
www httpd 43919 153tcp4 77.221.149.162:80 87.250.213.237:4907
www httpd 43335 153tcp4 77.221.149.162:80 77.66.166.168:50020
www httpd 43334 153tcp4 77.221.149.162:80 66.249.73.107:59075
www httpd 42685 153tcp4 77.221.149.162:80 85.113.203.245:49376
www httpd 42659 153tcp4 77.221.149.166:80 66.249.73.107:53273
www httpd 41099 153tcp4 77.221.149.162:80 85.113.203.245:58185
www httpd 41098 153tcp4 77.221.149.166:80 80.84.118.41:1620
www httpd 40992 153tcp4 77.221.149.162:80 77.66.166.168:50902
www httpd 40430 153tcp4 77.221.149.162:80 87.117.170.18:43206
с этого сервера.
Боюсь, только 80-м портом не обойдёшься.
=======
сорри если засветил чей-то адрес..
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 18:13:29
Covax
lissyara писал(а):
с этого сервера.
Боюсь, только 80-м портом не обойдёшься.
Почему не обойдёшься? Все запросы то идут на 80 порт. Это разве не достаточно?
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 19:27:01
Alex Keda
проглядел про ответы.
Имелось ввиду что ответы на рандомные порты.
ну да не суть.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-22 21:02:34
Covax
lissyara писал(а):проглядел про ответы.
Имелось ввиду что ответы на рандомные порты.
ну да не суть.
Ну так да. Ответы идут на рандомный порт, но с 80, а этого достаточно для контроля трафика.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-24 10:02:58
schizoid
Covax писал(а):lissyara писал(а):
с этого сервера.
Боюсь, только 80-м портом не обойдёшься.
Почему не обойдёшься? Все запросы то идут на 80 порт. Это разве не достаточно?
не достаточно, так как есть еще и 443-й порт, и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м порту
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-24 12:29:23
zg
schizoid писал(а):и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м порту
то что они работею как веб, кроме них никто не знает, ты можешь только обрезать все попытки зацепиться на такие порты. Я так вижу решение траблы - блокируешь 80 порт и любые попытки выбраться в нет, а пропускаешь только проксю (можно прозрачную) и установленные соединения. Таким образом, те, кому можно, будут качать без проблем, кому низя будут сидеть без нета.
Re: ipfw dummynet http/ftp и прочие протоколы
Добавлено: 2008-06-24 14:24:10
Covax
schizoid писал(а):не достаточно, так как есть еще и 443-й порт, и т.д. и т.п. многие качалки, которые работают через веб работают не на 80-м порту
Тут я не спорю. Это было как пример чтобы показать, что ответы идут с 80 порта, а не через рандомный, как утверждало приличное колличество людей!