ipfw: beznych sluzeb od p2p

[Dan Lukes]

Tomi wrote:

>>Na Koleji pak souboj s uzivateli skoncil stanovenim limitu pro
>>*odchozi* data (2GB tydne) (pote, co jsme vzdali dlouhodobe

> ked uz je to spomenute, tak by ma celkom zaujimalo, akym sposobom bol rieseny
> takyto kvotovaci system a co sa potom s tymito hriesnikmi robilo? :-)

	Technicke reseni uz jsem tu zminoval v minulosti (dokonce jsem 
rozesilal zdrojaky) - ipfw mi do "divert" portu posila kopii ("tee") 
vsech relevantnich paketu, pomerne jednoduchy (vlastnorucne napsany, 
nicmene cast pochazi z "natd") daemon data pro jednotlive IP scita a 
jednou za cas (u nas ted 300s) posila sumarizace do MySQL databaze (nebo 
textoveho souboru). Tam probiha dalsi zpracovani (jako napriklad 
pocitani tech plovoucich souctu za poslednich 168 hodin pro kazdou IP).

	Duvod, proc se pouziva kopie paketu, coz je pametove a vykonove 
narocnejsi, je ten, ze i pri pripadnem vypadku "scitaciho daemona" neni 
naruseni "normalni provoz" site.

	A co s hrisniky ? V ipfw se jim zablokuje (typicky na tyden) moznost 
primych spojeni "ven" a "dovnitr". Nicmene, hrisnik muze (dobrovolne) 
pouzivat aplikacni "proxy", ktera mu provoz ven zprostredkuje (WWW/FTP i 
metoda CONNECT). K dispozici ma i SMTP server pres ktery muze i nadale 
odesilat postu. Mimochodem, provoz pres tyto servery se nepocita (ani 
hrisnikum ani komukoli jinemu). Nicmene, u nich jsou zase k dispozici 
relativne presne LOGy o tom, kam kdo lezl - a samo toto vedomi typicky 
staci, ze se uzivatel "mirni" i bez pocitani ...

	Pokud se chcete podivat jak takova statistika vypada v praxi, pak 
http://www.kolej.mff.cuni.cz/traffic.html

						Dan