Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Veřejnost / Všeobecná diskuse / p2p
- - Od Aftanas Dne 2015-01-16 12:01 Upraveno 2015-01-16 13:12
Dobrý den,
prosím o radu/pomoc s následujícím problémem:
Jeden z uživatelů připojených k mému turrisu má velké množství přijatých/poslaných dat (za posledních 10 dni: 71GB příchozí / 36GB odchozí), a to prakticky cely den (téměř konstantní rychlosti stahovaní/nahrávaní). Můj předpoklad je, že mu běží sdílení pres p2p (torrent).

Co bych rád:
1) omezit provoz pro jednotlivé uživatele
Je možné nastavit nějaké filtry, které budou limitovat rychlost v závislosti na MAC adrese? případně v závislosti na IP adrese (pro své počítače (MAC adresu mých počítačů) mam nastaven jiny rozsah přidělovaných IP adres)?
2) omezit provoz pro p2p
Je možné nastavit nějaký limit na p2p sdílení? Já sám jej nevyužívám vůbec, a i když chápu, že je možné jej využívat naprosto legálním způsobem, uvazuji o tom jej omezit/zablokovat. Pokud vím, tak nelegální je pouze sdílení (nikoliv stahovaní) hudby/filmu. Rad bych tedy (preventivně) zakázal jakékoliv sdílení (a dovolil pouze stahování, a to jen s limitovanou rychlosti).

Snažil jsem se vyhledat nějakou radu na internetu. Dočetl jsem se o 'Layer 7 filtering' (další varianty byly 'ipp2p' a 'OpenDPI', ale jak se zda, tak už jsou oba tyto programy nevyvíjené.). Dal jsem v turrisu jsem nasel toto:
   l7-protocols   2009-05-28-1   l7-filter classifies packets based on patterns in application layer data. This allows correct classification of P2P traffic that uses unpredictable ports as well as standard protocols running on non-standard ports.
   iptables-mod-filter   1.4.20-1   iptables extensions for packet content inspection. Includes support for: Matches: - layer7 - string
   kmod-ipt-filter   3.10.18+3a38986a4e5e869c1bdacc2a0ad7aa0f-1   Netfilter (IPv4) kernel modules for packet content inspection Includes: - layer7 - string


Má prosba:
A) Mate někdo zkušenost s tímto (Layer 7 filtering) řešením? Jak jej implementovat (příkazové řádky se nebojím a rad se něco nového naučím)?
B) Omezeni datového toku pro jednotlivé uživatele. Asi zkusím přečíst a pochopit OpenWRT packet scheduler, a pak upravit uvedené příklady... Nějaké jiné doporučení?

Jak řešit problém 'uživatel možná sdílí hubdu/filmy'? To, že jde hlavně o společenský problém (a domluvu - o kterou jsem se snažil) chápu… Rozmýšlím, zda není nakonec nejlepší daného uživatele zcela odpojit (důkazy nemám, a ani je hledat nechci).
Díky!
Nadřazený - - Od lzita (>) Dne 2015-01-18 02:46
Než začnete paušalizovat, tak si prosím uvědomte, že p2p je standadrdní způsob pro sdílení ČEHOKOLIV a pouze média tyto protokoly démonizují, protože jsou oblíbené i z pohledu nelegálního sdílení. Pomocí p2p se mimo jiné zcela legálně šíří například linuxové distribuce, freeware atd.
Jinak samozřejmě pokud jste Vy vlastníkem linky, tak záleží pouze jenom a jenom na Vás jaká pravidla a dohody s připojenými uživateli máte. Dejte si ovšem pozor, zda sdílením internetového připojení neporušujete svoji smlouvu s Vaším providerem. Kabeloví poskytovatelé mají většinou v podmínkách, že budete poskytovat konektivitu pouze v rámci Vaší domácnosti.
Nadřazený - - Od Aftanas Dne 2015-01-18 08:16 Upraveno 2015-01-18 09:46
Vážím si toho, že jste věnoval čas odpovědi, nicméně přesně směrem, kterému jsem se chtěl vyhnout. Problém jsem popsal od počátku, abych mohl dostat radu nejenom na téma „jak omezit p2p“, případně „jak omezit datový tok pro jednotlivé uživatele“, ale i zda je má logika filtrování/omezení správná (jediná možná). Tím jsem se ale, bohužel, mohl (čistě hypoteticky) dostat do situace, ve které bych tvrdil, že vím o páchání trestné činnosti (a pokud vím, tak by v tom případě bylo mou povinností situaci hlásit na policii). Vadí mi, pokud někdo porušuje dohodu, a to navíc v poměrně velkém měřítku (mám log jen za 10 dní (přes 30GB), a nikoliv za celý půl rok – má chyba byla přílišná důvěra a neprověřování). Na mé jméno je zakázaná činnost (čistě hypoteticky samozřejmě) páchána. O přínosech a démonizování p2p vím, proto nejsem uplně nadšený jej (cokoliv) zakazovat, nevím ale o lepší variantě (s vyjímkou odpojení uživatele) – budu rád za radu.

Ohledně legality/porušování dohod z mé strany diskuze není třeba – pokud na to neexistuje nějaký zvláštní zákon (o žádném nevím), tak dohodu s mým poskytovatelem neporušuji.

Pokud byste měl radu k technické stránce mého dotazu, budu Vám velmi vděčný. Jak omezit/zablokovat uživatele, který stahuje/sdílí několik GB linuxových distribucí každý den?

EDIT: Ta osoba dokonce ví, že jsem součástí projektu Turris (provoz je sledovaný). Byla dokonce požádána, aby (v případě, že je aktivním užvatelem p2p sítí) data na internetu nesdílela.
Nadřazený - Od lzita (>) Dne 2015-01-18 18:57
Bohužel, s technickou stránkou Vám neumím pomoci. Pokud ovšem máte pocit, že někdo porušuje Vaši dohodu a ještě páchá Vaším jménem trestnou činnost je opravdu nejlepším řešením ho prostě fyzicky odpojit. Osobně bych v takovém případě amni minutu neváhal.
Nadřazený - Od S.hort.Y Dne 2015-08-20 14:36
Přišel jste na nějaké řešení?
- Od Osral Dne 2015-09-27 23:49
A to je takový problém dát za Turrise třeba Zywall USG 20 ten umí docela schopně korigovat rychlost připojení ne každou adresu. :lol:
Nahoru Téma Veřejnost / Všeobecná diskuse / p2p

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill