Comments | nuclight: Фильтрация uTP (Torrent UDP) внутри PPTP GRE

nuclight

Фильтрация uTP (Torrent UDP) внутри PPTP GRE

Feb 28, 2010 23:59

Краткое содержание: как отфильтровать uTP на FreeBSD в теме на Наге уже сказали, однако для случая пакетов внутри туннеля PPTP GRE решения не было, о чем здесь и будет рассказано, но сначала - предыстория.

У вас вдруг стал хуже работать Интернет?..
В конце 2008 года разработчики uTorrent собрались заменить транспортный протокол с TCP на UDP, ( Read more... )

l7, netgraph, объяснение, freebsd, ipfw, админское, сети, идиоты

Comments 21

blacksun_rise February 28 2010, 19:28:30 UTC

я внимательно прочитал ваши статьи ( кстати спасибо за детальную инфу про файервол на фрюхе ) но никак не могу настроить свой файервол ( ... )

blacksun_rise February 28 2010, 19:30:23 UTC

забыл добавить -- у сервера только один интерфейс em0
всё ходит через него

nuclight February 28 2010, 19:56:11 UTC

Так это у вас однорукий роутер, что резко меняет дело. Неясно, какой адрес там под "me", может, что-то пересекается в других правилах. Что такое "работает странно", тоже непонятно. Если дело только в 443, то, учитывая, что его в правилах нигде нет, возможно, что проблема вообще не в файрволе, а в MTU (фиксить MSS) - большие пакеты не пролезают (у ssh интерактивные обычно маленькие, если scp работать откажется, то может быть оно).

Всё же, такие вопросы лучше задавать где-нибудь типа ru_root - вас много, а я один. И по теме поста, а не произвольные.

blacksun_rise February 28 2010, 19:59:59 UTC

спасибо, задам там

iskatel February 28 2010, 22:53:37 UTC

uTP появился в том числе и как ответ на массовое нарушение договоров провайдерами, которые стали применять полисеры, задавливая определенный трафик и прямо нарушая таким образом договора с клиентами и законодательство (тк. они фактически вмешиваются в трафик пользователей).

Также хочется напомнить, что любые фильтры по сигнатурам - прямое нарушение договоров и законодательства.
Если оборудование горе-провайдера ложится - это проблемы горе-провайдера, пусть обновляет.

nuclight February 28 2010, 23:10:21 UTC

"Надо отметить, что провайдеры имеют на это полное моральное право (потому что разработчики долбоебы, см. ниже), но есть и юридическое обоснование, в теме приведена выдержка из Постановления РФ по такому случаю".

Если кому-то ссылки лень целиком читать, не мои проблемы. Ну и у любого грамотного оператора в договоре есть соответствующие положения, так что спорить об этом здесь нет никакого смысла, только демагогию разводить.

l2tp March 1 2010, 09:14:30 UTC

Посмотрите, пожалуйста, договор с провайдером. На наге прямо поминали
Постановление Правительства Российской Федерации от 10 сентября 2007 г. N 575 г. Москва "Об утверждении Правил оказания телематических услуг связи"
Опубликовано 25 сентября 2007 г.

Правил оказания телематических услуг связи
III. Порядок и условия исполнения договора

27. Оператор связи вправе:
приостанавливать оказание телематических услуг связи абоненту и (или) пользователю в случае нарушения абонентом и (или) пользователем требований, предусмотренных договором, а также в случаях, установленных законодательством Российской Федерации;
осуществлять ограничение отдельных действий абонента и (или) пользователя, если такие действия создают угрозу для нормального функционирования сети связи.

Другой вопрос, что это проблема провайдера, что незначительный прирост pps/bps "убивает" ему сеть

kondybas March 1 2010, 19:05:02 UTC

Рост пп/ц вдвое - это пц, а не "..незначительный прирост.."

Thread 10

dbg March 1 2010, 21:28:49 UTC

> Тут и вылезает главная причина увеличения PPS и проблема протокола - это сделано затем, чтобы уменьшить время между перепосылками при потере пакетов - дескать, при шейпинге в буфере модема лучше пусть место кончится для небольших пакетов, меньше перепосылать придется. Более того, BEP-0029 прямо заявляет ( ... )

nuclight March 3 2010, 20:47:52 UTC

> Комментарий прямо противоречит цитате. В цитате речь про serialization delay, а в комментарии про "меньше перепосылать". Совсем не одно и то же ( ... )

_blib March 2 2010, 04:55:59 UTC

вообще то есть SCTP
http://en.wikipedia.org/wiki/SCTP

который давно работает, хорошо проработан и есть поддержка в основных системах (хотя вроде в винде он был потом убрали, не уверен...)

в SCTP есть разбивка по блокам (message based), и блоки могут идти в паралель (multistream), и для каждого из блоков можно указать сколько раз его нужно перепосылать
и пр и пр

nuclight March 3 2010, 20:49:57 UTC

Вы шо таки думаете, я не в курсе про существование SCTP ? Проблема в том, что его в винде вообще никогда и не было. Товарищи пробить изменения в реализациях TCP-то поленились, предпочли сделать велосипед, что уж говорить об отсутствующем протоколе...

поправочка dorowa April 3 2010, 05:34:53 UTC

ipfw add 127 netgraph 127 gre from any to any via ng0
очевидно, здесь вместо ng0 здесь должен быть реальный интерфейс и лучше всего смотрящий в локальную сеть, на ng0 пакеты gre не приходят...

чего тут поправлять-то? nuclight April 3 2010, 19:08:45 UTC

Любой, кто применять будет, и так догадается, что надо подставить тот интерфейс, где ходят. У меня в тестовой инсталляции они именно поверх ng0 ходили.