ipfw: beznych sluzeb od p2p

Dan Lukes dan at obluda.cz
Thu Oct 21 10:03:55 CEST 2004


Milan Cizek wrote:
> <     Jestlize je ed0 vnejsi interface a vnitrni je ed1 a neni na nem 
> jina < sit nez "LAN", pak vhodnejsi je patrne
> < ... ip from any ${FS} to any out recv ed0 xmit ed1
> 
> ed0 je, jak si spravne vydedukoval vnejsi interface, lokalni sit je 
> 10.0.0.0/16, vnitrni interfaci jsou dva (wi0,xl0).

	Dva interface to komplikuji jen minimalne:
... ip from any ${FS} to any out recv ed0 { xmit wi1 or xmit xl1 }

>      No, schazi dodat jeden zasadni postreh. Filtrujeme az "za linkou" 
> - tj. (pripadne) zahazujes az pakety, ktere uz linkou prosly a jeji 
> kapacitu vyuzily.
>      Takove filtrovani ma smysl jen u tech protokolu, ktere maji 
> nejakou flow-control a ktera zareaguje na tuto situaci spravne - tedy 
> snizenim frekvence zasilanych paketu.

> Aha, nevit tedy prozatim co znamena flow-control, ale snad jsem to 
> spravne pochopil. Pokud nebudu v cilovem bode dostatecne rychle pakety 
> odebirat/budu je zahazovat, tak protokol podporujici flow-control rekne 
> odesilateli "posilej jich mene nebo pomaleji". Protokol bez flow-control 
> nijak nezareaguje a pude posilat stale stejne. Tak nejak?

	Mechanismus, jak k omezeni toku dojde v pripade, ze to protokol vubec 
podporuje je obvykle trochu jiny, nicmene princip a vyznam ve kterem 
jsem pouzil slovo "flow-control" jsi pochopil v zasade presne.

> Treba uzivatel navaze p2p spojeni s jinym uzivatelem v netu. Ten bude 
> mit dostatecne rychlou linku, rekneme 512kbps, ale na firewallu pujde 
> tento spoj pres pipe rekneme o sirce 256kbps. Znamena to ze az k memu 
> firewallu bude stale odchazet rychlosti 512 a az tam se orizne. To si 
> asi opravdu prilis nepomuzu.

	Zalezi jaky sofware pro P2P uzivatele pouzivaji. Pomoci si muzes. 
Popravde receno, ciste statisticky, P2P v nejake podobe rizeni toku 
(flow-control) spise mit bude nez nebude. Problematictejsi byvaji 
protokoly pro prenos hlasu nebo dokonce obrazu.

>      Domnivam se, ze "shaping" neni vhodnym nastrojem pokud se nam 
> jedna o vynuceni "fair-use" od uzivatelu, kteri se aktivne snazi pojem 
> "rozumne uziti" ignorovat. Ver mi. Mam v siti 800 uzivatelu ...
> 
> Byl bych docela rad, pokud byste mi mohl napsat, v cem vidite spravnou 
> cestu reseni. V napsanych pravidlech? Organizaci? Restriktivnim krokum 
> proti narusovatelum (zastrasovani ostatnich :))? Nebo v uplatneni jine 
> technologie (QoS)?

	Za vic nez osm let, po ktere ruzne site s velkym poctem uzivatelu 
spravuji, jsem zjistil, ze "technologie" ma jako zbran proti chovani 
lidi jen omezene uplatneni. Tim chci rict, ze QoS vec prilis nezlepsi. 
Jedine snad, ze je zazenes za aplikacni proxy a na paketove urovni 
vlastne primou komunikaci vubec neumoznis - ale to nektera vazna omezeni 
(nejvaznejsi je to, ze pak mohou pouzivat jen ty aplikace, jejichz 
protokol proxy "zna").

	Me se jako jedina cesta zatim osvedcilo mit co nejjasneji domluvena 
pravidla - a pak vynucovat jejich dodrzovani (coz zahrnuje par 
exemplarnich pripadu a tedy tebou zminene "zastrasovani"). Nevim, co je 
to u tebe za sit - je-li to firma, pak pravidla stanovi pracovni predpis 
vydany opravnenym pracovnikem (ten je zavazny pro vsechny zamestnance a 
jeho poruseni je prohreskem proti pracovni kazni), je-li to nejaka forma 
site komunitni, je potreba se na pravidlech dohodnout. Ve vsech 
pripadech je pak treba trvat na jejich dodrzovani.

	On to vlastne bude problem spise na zacatku, v prechodnem obdobi - pak 
se to, obvykle, ustali samo ...

	Ve financni instituci, kde jsem spravoval sit, jsme napriklad WWW a FTP 
komunikaci dovolovali pouze pres aplikacni proxy, ktera o kazdem prenosu 
zanechava LOGy. Rozhodne se to nekontrolovalo porad a "kazdy zaznam", 
ale v okamziku, kdy byla linka pretizen a byla moznost zjistit, kdo 
zrovna co odkud taha - a zda to nejak souvisi s jeho praovnimi 
povinnostmi. Mimo WWW a FTP byly toky typicky tak male, ze na jejich 
sledovani stacil, v pripade potreby, trafshow nebo tcpdump. Mimochodem 
(k tomu zastrasovani) - zamestnanec, ktery opakovane a pres opakovana 
upozorneni v pracovni dobe masivne navstevoval servery opravdu velmi 
nesouvisely s pracovni cinnosti dostal vypoved.

	Na Koleji pak souboj s uzivateli skoncil stanovenim limitu pro 
*odchozi* data (2GB tydne) (pote, co jsme vzdali dlouhodobe probihajici 
pokusy omezit odchozi toky pochazejici predevsim z P2P siti 
technologickymi postupy). Jen pro predstavu, za pul roku prekroci (a 
postihu se docka) stanoveny limit cca 8% uzivatelu, nicmene, odchozi 
toky klesly zhruba na tretinu puvodnich.

	Na tvoji siti mohou byt "nejrozumejsi pravidla" jeste jina - to zalezi 
od jejiho ucelu, struktury uzivatelu a ...


						Dan




More information about the Users-l mailing list