noDeny 4.32.4 + кеширующий прозрачный прокси

[msky]

Долго мучаюсь, как правильно переписать правила ipfw что бы не пустить весь трафик мимо биллинга... через сквид...

может кто нить поможет...
мне бы пару примеров с комментариями...
ЗЫЖ: Учусь писать правила для ipfw.

[0xbad0c0d3]

Таааак, где мои карты ТАРРО?

[VitalVas]

Долго мучаюсь, как правильно переписать правила ipfw что бы не пустить весь трафик мимо биллинга... через сквид...

может кто нить поможет...
мне бы пару примеров с комментариями...
ЗЫЖ: Учусь писать правила для ipfw.

а зачем тебе сквида?
а man ipfw слабо?

fwd 127.0.0.1,3128 tcp from "table(10)" to any 80

[Elisium]

а зачем тебе сквида?
а man ipfw слабо?

fwd 127.0.0.1,3128 tcp from "table(10)" to any 80

это фикня.

А с заворотом трафа на ДРУГОЙ вэб-сервер с другим ипом ?
Чтобы НЕ держать на шлюзе еще и апач/нгинкс ?

п.с. Признаюсь, сам тему еще не копал, но за пинок/ссылку в нужном направлении буду благодарен )

[stix]

я даж незнаю зачем такие сложности.
что сложного не гонять через биллинг трафик?!
если ты делал копипаст из мануала то просто диверт убери да и все

[Elisium]

Дабы не делать новую тему, думал тут запостить, тем более, что ТС уже примерно пнули в нужном направлении.
Заранее пардон за длинный пост.

Вообщем, ниже пример. Бывал редко, но метко.
Был поставлен один из первых модулей сообщений/перенаправления заблокированых юзеров товарища Cella.
Там все, как он и описывал, просто, как ящеГ.
Форвард определенных юзеров на этот же сервер на порт, где висит апач с красивой страничкой "идите все в .. деньги платить" или "прочитайте смску от админа".

Так вот: с некоторых пор заметил, что РЕДКО, но бывает, что трафик на порту биллинга вместо своих обычных 3-4 МБт прыгает до 20, а то и до 40МБт !!
Посмотрев на сие чудо, увидел, что это столько льется со шлюза нетфлова.
Вообщем, посмотрев в этот самый нетфлов ну и в логи апача, нашли 3-4 тела с торрентом и кучей закачек/раздач в нем. Модуль же перенаправляет юзеров на свою страничку, ЕСЛИ пришло сообщение от администрации, НО клиент при этом НЕ заблокирован.

Получается, что на 80 порт инета сыпется КУЧА запросов от торрентов, а модуль все  их заворачивает на свою страничку.
В этоже время клиент устанавливает ТУЧУ каких то коротких соединений.
Скорее всего, сотни торрентов долбятся на свои трекеры, а получают старничку модуля.
А так как трафик еще не вышел со шлюза, то его за кучу коннектов биллинг не блочит.
Это мое вИдение редко проявляющегося у нас прикола, само собой могу быть в корне неправ.
Биллингу от 20-40 МБт трафа становится плохо, начинает отваливаться база, ключики чернеют - вообщем полный привет ...

Решилось только полным выключением данной фичи - Странички уведомлений/заблокированых юзеров.
Но все же оно было так красиво, что хочется вернуть все обрано, а нельзя - проблема то не решена полностью.

[stix]

актуальное замечание

[0xbad0c0d3]

отключением данной фичи

Я ДИКО извиняюсь, но у ipfw есть такая штукенция, как limit.

fwd 127.0.0.1,1122 tcp from not table(0) to any dst-port 80 limit src-addr 10

Вот что-то типа того

[Elisium]

Нене ..
Вопрос не в куче запросов на 80й порт. Это же шлюз и ему фиолетово, сколько там куда трафа вообще льется.
Вопрос в том, что от кучи нетфлова, который льется СО шлюза в описаном случае, начинает загинаться биллинг.

п.с. аА!! ВООБЩЕ ограничить ИМЕННО форвардящиеся пакеты ??
мысль понял .. попробую ) спасибо ))

[VitalVas]

Получается, что на 80 порт инета сыпется КУЧА запросов от торрентов, а модуль все  их заворачивает на свою страничку.
В этоже время клиент устанавливает ТУЧУ каких то коротких соединений.
Скорее всего, сотни торрентов долбятся на свои трекеры, а получают старничку модуля.
А так как трафик еще не вышел со шлюза, то его за кучу коннектов биллинг не блочит.
Это мое вИдение редко проявляющегося у нас прикола, само собой могу быть в корне неправ.
Биллингу от 20-40 МБт трафа становится плохо, начинает отваливаться база, ключики чернеют - вообщем полный привет ...

на сколько я помню, он написан на php, тогда fix

Код:

if (strpos(getenv('HTTP_USER_AGENT'), 'Torrent') or strpos(getenv('HTTP_USER_AGENT'), 'torrent')) exit();

страдать в таком случае будет только веб-сервер.

[0xbad0c0d3]

А если отдавать в заголовке 404 или 403 или 501 номер ошибки? По идеи закачка должна отвалится

Код:

header("HTTP/1.0 404 Not found");

Код:

header("Status: 404 Not found");

http://php.net/manual/en/function.header.php

[VitalVas]

А если отдавать в заголовке 404 или 403 или 501 номер ошибки? По идеи закачка должна отвалится

update

Код:

if (strpos(getenv('HTTP_USER_AGENT'), 'Torrent') or strpos(getenv('HTTP_USER_AGENT'), 'torrent')) { header('HTTP/1.0 404 Not Found'); exit(); }

отваливается на пол-часа, проверено

[0xbad0c0d3]

Так ты это, проверку на юзерагент убери.
Она тут ни к чему. Браузеру пофигу какой код ошибки. он контент одинаково рендерит.
P.S. Проверка не трушная! Юзай регексп!

Код:

if(preg_match("/torrent/i",getenv('HTTP_USER_AGENT'))){ ... };

[VitalVas]

Так ты это, проверку на юзерагент убери.
Она тут ни к чему. Браузеру пофигу какой код ошибки. он контент одинаково рендерит.
P.S. Проверка не трушная! Юзай регексп!

Код:

if(preg_match("/torrent/i",getenv('HTTP_USER_AGENT'))){ ... };

ты немного идеи фикса не понял
это для модуля Cell-a (http://forum.nodeny.com.ua/index.php?topic=162.0)
дает отпул дла торрент клиента uTorrent а веб-клиентов пускает
ну это уже пошел офф....

[0xbad0c0d3]

Да все я отлично понял! Я ж говорю, что проверка на юзерагент тут ЛИШНЯЯ!
т.к. если чел зайдет через браузер то ему отобразится страница даже если ее ерроркод будет 404 или что другое. А торрет/менеджер загрузок и пр. отвалится, да он получит страницу но один раз.
Делать проверку али нет дело каждого.