Биллинговая система Nodeny

Главная категория => Курилка => Тема начата: poxy. от 30 Января 2012, 14:06:10



Название: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 30 Января 2012, 14:06:10
Все добрый день. Решили качкам немного насолить...  ;) До этого не имел опыта нарезки, отсюда вопрос:

Кто сколько дает сессий плохим юзерам, и вообще сколько достаточно для нормальной работы?
Если выделять скажем по 100 сессий tcp и 100 udp нормально будет? Спасибо!


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: Efendy от 30 Января 2012, 14:15:09
Все добрый день. Решили качкам немного насолить...  ;) До этого не имел опыта нарезки, отсюда вопрос:

Кто сколько дает сессий плохим юзерам, и вообще сколько достаточно для нормальной работы?
Если выделять скажем по 100 сессий tcp и 100 udp нормально будет? Спасибо!
Если ты имеешь ввиду не одновременные сессии (для резки в фаере), а их общее количество (для блокировки по потокам в самом nodeny), то мало даже для неторенщиков. Если хочешь резать в фаерволе, то учти: сколько бы ты не дал - торрент забивает все и если клиент откроет браузер - скорее всего будет тупить жестко. Тут надо хитрее поступать: на 80й порт давать больше потоков, чем на другие (я уже давал пример настройки pf для такого случая)

P.s. увидел заголовок, что речь идет о портах > 10000, тогда про 80й порт не читай. Кстати, можешь брать >1024 Порта. При 200 потоков на tcp и 100 для udp (без dns запросов) - клиенты не жалуются


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 30 Января 2012, 14:26:31
Резать собрался фаерволом на бордере (микротик). Читал ваши наработки для pf, как в самом нодени резать (чисто для любопытства спрашиваю) ?


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 30 Января 2012, 14:31:21
я пробовал рубить
tcp: 10000 <> 65000
udp: 10000 <> 65000

оооочень большое онлайн игр перестает работать.
вносить в исключения заколебался

забил


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 30 Января 2012, 15:52:33
я пробовал рубить
tcp: 10000 <> 65000
udp: 10000 <> 65000

оооочень большое онлайн игр перестает работать.
вносить в исключения заколебался

забил
Дык я не говорю drop, говорю лимит и то только качкам, коих ~1%.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 30 Января 2012, 16:00:01
я пробовал рубить
tcp: 10000 <> 65000
udp: 10000 <> 65000

оооочень большое онлайн игр перестает работать.
вносить в исключения заколебался

забил
Дык я не говорю drop, говорю лимит и то только качкам, коих ~1%.
я потом начал их маркировать и шейпить


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 30 Января 2012, 17:04:51
Шейпиш качков отдельно? Разъясни плиз


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 30 Января 2012, 17:39:42
Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: Efendy от 31 Января 2012, 12:10:55
Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
т.е. клиенты шейпятся по своим шейпам, а потом еще отдельно высокие порты попадают в общую трубу?


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 31 Января 2012, 12:42:19
Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
т.е. клиенты шейпятся по своим шейпам, а потом еще отдельно высокие порты попадают в общую трубу?
ага
это перед бэкбоном, уже после ната.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 31 Января 2012, 12:52:00
Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
т.е. клиенты шейпятся по своим шейпам, а потом еще отдельно высокие порты попадают в общую трубу?
ага
это перед бэкбоном, уже после ната.
Т.е. грубо говоря для всей ас-ки маркируте порты и в отдельную трубу? Или ток качков?


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 31 Января 2012, 13:15:06
Шейпиш качков отдельно? Разъясни плиз
та не, просто отдельна труба с шейпом от 20 до 50 мбит для этих портов.
ничего смартового
т.е. клиенты шейпятся по своим шейпам, а потом еще отдельно высокие порты попадают в общую трубу?
ага
это перед бэкбоном, уже после ната.
Т.е. грубо говоря для всей ас-ки маркируте порты и в отдельную трубу? Или ток качков?
не, не для всей ас-ки
предварительно посмотрел с каких NAT адресов валит больше всего такого рода трафика, их в ip таблицу и внес.

Таблица mangle: 4 правила prerouting
TCP вход < > выход
UDP вход < > выход

а дальше создаем одну трубу на основе этих промаркированных пакетов для внешнего интерфейса.
я выделил 50 мбит под торренты.

в итоге онлайн игры работают, но правда со скрипом, изза общей трубы, которая вечно под полочку загружена.
но можно неспешно создавать исключения для этого правила.
веб серфинг тоже отлично, народ FullHD смотрит без проблем.
а полоска 50мбит торрент трафика делится как кому повезет, она не критична. если нужно расширю до 75 мбит

Еще достаточно важно исключить порты traceroute, они в верхнем диапазоне, а то будут постоянно сумасшедши задержки при трассировке.

Но буду схему эту кардинально убирать, т.е. хочу перестроить всё на 65 циску с sup2 модулем.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 31 Января 2012, 15:06:52
Мда, придется извращаться с выявлением ип качков, у меня per connection type. 


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 31 Января 2012, 15:19:56
Мда, придется извращаться с выявлением ип качков, у меня per connection type. 
я не парюсь, у меня 32 ip адреса, которые натятся, вот всех туда


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 31 Января 2012, 16:13:44
Мда, придется извращаться с выявлением ип качков, у меня per connection type. 
я не парюсь, у меня 32 ip адреса, которые натятся, вот всех туда
Завидую, у меня /23 натятся  ;)


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 31 Января 2012, 17:51:47
Мда, придется извращаться с выявлением ип качков, у меня per connection type. 
я не парюсь, у меня 32 ip адреса, которые натятся, вот всех туда
Завидую, у меня /23 натятся  ;)
я зажал ip адреса )


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 31 Января 2012, 17:55:02
to stimels, почему шейпиш после ната?
Думаю сделать на внутреннем интерфейсе, шейпить по серым ип.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 31 Января 2012, 17:57:25
to stimels, почему шейпиш после ната?
Думаю сделать на внутреннем интерфейсе, шейпить по серым ип.
роутеры там сильно приседают...


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 31 Января 2012, 18:29:27
to stimels, почему шейпиш после ната?
Думаю сделать на внутреннем интерфейсе, шейпить по серым ип.
роутеры там сильно приседают...
Сколько ппс? Если не секрет.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 31 Января 2012, 20:30:30
to stimels, почему шейпиш после ната?
Думаю сделать на внутреннем интерфейсе, шейпить по серым ип.
роутеры там сильно приседают...
Сколько ппс? Если не секрет.
32-33kpps


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 11:54:22
to stimels, напиши правила мангла для маркировки макетов по портам 10000-65000 плиз, я чето пробовал сегодня, как то мало отлавливает торента.
Пробовал так:
в мангле правило для списка ip, протокол tcp, порты src=dst 10000-65000, action-paket mark-тратата, тоже для udp.
После в куе ти труба под эти пакеты на глобал ин (на этом сервере и нат, и куос) с ограниченной скоростью.
Что не так не пойму
ПС стандартное правило из подставки микротика allp2p отлавливает в пять раз больше трафика  :o


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 12:04:41
ПС стандартное правило из подставки микротика allp2p отлавливает в пять раз больше трафика  :o
оч тугое на самом деле.

/ip firewall mangle
Код:
add action=accept chain=prerouting disabled=no dst-address-list=access-nat src-address-list=notorrent
add action=accept chain=prerouting disabled=no dst-address-list=notorrent src-address-list=access-nat
add action=mark-packet chain=prerouting disabled=no dst-address-list=access-nat dst-port=\
    6000-33433,33536-65535 new-packet-mark=maybetorrent passthrough=yes protocol=udp src-port=\
    6000-33433,33536-65535
add action=mark-packet chain=prerouting disabled=no dst-port=6000-33433,33536-65535 new-packet-mark=\
    maybetorrent passthrough=yes protocol=udp src-address-list=access-nat src-port=\
    6000-33433,33536-65535
add action=mark-packet chain=prerouting disabled=no dst-address-list=access-nat dst-port=\
    6000-33433,33536-65535 new-packet-mark=maybetorrent passthrough=yes protocol=tcp src-port=\
    6000-33433,33536-65535
add action=mark-packet chain=prerouting disabled=no dst-port=6000-33433,33536-65535 new-packet-mark=\
    maybetorrent passthrough=yes protocol=tcp src-address-list=access-nat src-port=\
    6000-33433,33536-65535


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 12:07:45
сейчас попробовал p2p фильтр - 3 мбит скосило, а нужно хотя бы 150-200


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 12:10:25
сейчас попробовал p2p фильтр - 3 мбит скосило, а нужно хотя бы 150-200
Это точно). Спасибо!


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 12:14:00
access-nat тут я так понял все для кого правило работает, а сюда notorrent кого загнал?


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 12:34:12
access-nat тут я так понял все для кого правило работает, а сюда notorrent кого загнал?
да, в access-nat все кому мы режем скорость.

в notorrent я классифицировал ip сети, какие не являются классификаторами торрентов.
там онлайн игры


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 14:35:07
Спасибо, а в куе ти два правила прописать для этих маркированных пакетов? Или что то другое? И если не против кинь в личку свой скайп.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 14:40:04
Или после маркировки фаером режешь?


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 14:42:59
Или после маркировки фаером режешь?
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no dst-address=0.0.0.0/0 interface=vlan111xxx limit-at=50M/50M \
    max-limit=60M/60M name=torrent packet-marks=maybetorrent parent=none priority=8 queue=default/default total-queue=default-small


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 14:44:21
Спасибо, а в куе ти два правила прописать для этих маркированных пакетов? Или что то другое? И если не против кинь в личку свой скайп.
я скайпом не часто пользуюсь )


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 14:49:08
Или после маркировки фаером режешь?
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no dst-address=0.0.0.0/0 interface=vlan111xxx limit-at=50M/50M \
    max-limit=60M/60M name=torrent packet-marks=maybetorrent parent=none priority=8 queue=default/default total-queue=default-small

Не пойму, это правило для фаервола или симпл куе?


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 14:52:17
Или после маркировки фаером режешь?
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no dst-address=0.0.0.0/0 interface=vlan111xxx limit-at=50M/50M \
    max-limit=60M/60M name=torrent packet-marks=maybetorrent parent=none priority=8 queue=default/default total-queue=default-small

Не пойму, это правило для фаервола или симпл куе?
для простой очереди, да.

в файрволе дропать пакеты не комильфо


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 14:54:00
Просто в терминал скопипастил пишет неверный синтаксис, почему за фаер спросил, в куе ти нет dst-address=0.0.0.0/0


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 14:56:38
Все, сорри туплю, симпл куе. Спасибо :)


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 15:21:34
Пришлось сделать отдельные правила на upload и download, с разными интерфейсами. Кстати а в дереве что то используете? У нас куе ти по этому настраивал http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf (http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf), не будет ли влиять настроенное дерево на эти правила для портов?


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 15:25:36
Пришлось сделать отдельные правила на upload и download, с разными интерфейсами. Кстати а в дереве что то используете? У нас куе ти по этому настраивал http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf (http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf), не будет ли влиять настроенное дерево на эти правила для портов?
раньше юзал, теперь нет.
достаточно для временного решения этого

хотя жалоб много по-поводу игр, скайпа


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 16:40:42
Мне и нужно временное решение, дожить до расширения канала... через 2 месяца.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 16:41:40
А когда дропал порты выше 10000, что со скайпом делал? Попробовал просто дроп, скайп не звонит  :o


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 20:48:51
А когда дропал порты выше 10000, что со скайпом делал? Попробовал просто дроп, скайп не звонит  :o
в шейпер
ниче не дропал


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 20:59:33
Ясно, спасибо еще раз.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 21:43:58
Ясно, спасибо еще раз.
не за что )


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 06 Февраля 2012, 22:28:37
И еще вопросик - почему именно так 6000-33433,33536-65535, а не 6000-65535?
ПС карму плюсанул, спс еще раз.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 06 Февраля 2012, 23:09:13
И еще вопросик - почему именно так 6000-33433,33536-65535, а не 6000-65535?
ПС карму плюсанул, спс еще раз.
исключаю порты, используемые трассировкой

часто встречается заблуждение, что traceroute, как и ping, работает только по протоколу ICMP, в связи с этим начинающие администраторы, разрешив в файерволе протокол ICMP, получают рабочий ping и нерабочий traceroute, для этого разрешить в файрволе UDP-пакеты на порты выше 33434 (в некоторых источниках указано, что достаточно указать диапазон портов от 33434 до 33534).


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 07 Февраля 2012, 10:55:57
Понятно, спасибо.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: goletsa от 07 Февраля 2012, 11:35:10
tracert (win) работает через icmp
traceroute (*nix) по умолчанию работает через udp
Чтобы traceroute работал через icmp надо задать ключ -I, но это работает только с правами root


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 07 Февраля 2012, 11:39:34
tracert (win) работает через icmp
traceroute (*nix) по умолчанию работает через udp
Чтобы traceroute работал через icmp надо задать ключ -I, но это работает только с правами root

И вам спс, не знал.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 22 Февраля 2012, 12:19:13
to stimels
Сделал временно нарезку по портам и пошли жалобы на онлай игры (высокий пинг), мир танков и тд.
Если не трудно поделись наработками с номерами портов (игры и сервисы), которые добавлял в исключения.


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 22 Февраля 2012, 12:32:52
to stimels
Сделал временно нарезку по портам и пошли жалобы на онлай игры (высокий пинг), мир танков и тд.
Если не трудно поделись наработками с номерами портов (игры и сервисы), которые добавлял в исключения.
я сделал accept адрес лист, куда вписал не порты, а целые ip сети сервисов.

вот уже пару недель жалоб на скорость нет, веб летает, он лайн игры работают.
торренты хиловато качаются, и остался скайп не решенный.
я хз как его выделить из общего потока


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 22 Февраля 2012, 12:34:24
to stimels
Сделал временно нарезку по портам и пошли жалобы на онлай игры (высокий пинг), мир танков и тд.
Если не трудно поделись наработками с номерами портов (игры и сервисы), которые добавлял в исключения.
я сделал accept адрес лист, куда вписал не порты, а целые ip сети сервисов.

вот уже пару недель жалоб на скорость нет, веб летает, он лайн игры работают.
торренты хиловато качаются, и остался скайп не решенный.
я хз как его выделить из общего потока
Скайп ловлю на L7, вроде норм, поделись списком подсетей плиз  ::)


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 22 Февраля 2012, 12:42:20
notorrent 62.152.57.0/24                 
notorrent 213.252.128.0/18               
notorrent 217.197.112.0/20 

вот и всё )


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 22 Февраля 2012, 12:50:26
notorrent 62.152.57.0/24                 
notorrent 213.252.128.0/18               
notorrent 217.197.112.0/20 

вот и всё )
Спасибо!
PS а это 213.252.128.0/18 ?


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: stix от 22 Февраля 2012, 13:08:40
notorrent 62.152.57.0/24                 
notorrent 213.252.128.0/18               
notorrent 217.197.112.0/20 

вот и всё )
Спасибо!
PS а это 213.252.128.0/18 ?
да какие то игры, я не помню.
всю сеть запулил ниче страшного


Название: Re: Ограничение сессий на порты 10000-65000.
Отправлено: poxy. от 22 Февраля 2012, 13:13:28
Еще раз Спасибо!