Analyza poctu spojeni

Zbyněk Burget zburget at burgnet.cz
Wed Dec 10 18:18:06 CET 2008

Previous message: Analyza poctu spojeni
Next message: Analyza poctu spojeni
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Na tohle odpovim jen kvuli ujasneni situace - tohle je zde uz dost tezce OT

Vilem Kebrt napsal(a):
> Zdravim...neni preci problem pridat do firewallu na mikrotiku pravidlo 
> ktere povoli urcity pocet spojeni per ip...

Tohle samozrejme mam nastaveno, ale:
1. ne vzdy to funguje spolehlive a to zd uvodu, ze vetsinu AP nemam v 
modu routeru, ale bridge. A v teto konfiguraci to proste nepracuje tak, 
jak bych si predstavoval.
2. Nefunguje pro UDP provoz, takze torrentisti se tomuhle budou jenom smat.
3. nechutne drsne to zatezuje procesor na tech routerboardech, takze to 
musim mit udelano tak, ze se to zapina jen ve chvilich, kdy je zatizeni 
procesoru nizsi.

> Jinak mi pomerne slusne funguje rozpoznani provozu p2p ...primo 
> integrovano opet v mikrotiku...proste to omarkuju(delam to teda na 

bohuzel se spolehlivosti rozpoznavani p2p provozu na RouterOS mam 
pomeren rozpacite zkusenosti. Pro jistotu tedy nepouzivam vubec a resim 
na jinymi cestami na centralnim routeru (FreeBSD).

> rozpozna...jedinej problem je v okamziku kdy klient ma trosku v hlave a 
> prepne na sifrovany spojeni p2p(napr v bittorentu), ale to zase poresi 
A o tohl emi jde, ostatni mne zase tak moc nemrzi.

> to pravidlo x spojeni per ip...

neporesi - protoze pak tam leti UDP provoz a cele pravidlo je na dve veci.


Co je ale zasadni pruser, tak je to, ze se torrent snazi navazat velka 
kvanta spojeni smerem ven (tedy v situaci, kdy si "nekdo" chce stahnout 
neco od klienta z me site). Shaper na routeru sice ten provoz hezky 
usmerni, ale neuzsi hrdlo je na trase klient - AP a tam se ty spojeni 
omezit nedaji. Kdyz jsme zkouseli uplne cokoli, proste to osetrit nejde. 
I kdymy fungovalo pravidlo na max. pocet spojeni na mikrotiku, nezabrani 
to klientovi v tom, aby se nesnazil odesilat stovky az tisice SYN 
packetu za sekundu, cimz pak totalne "umlati" pripojny bod a cela sit na 
tom bode prestava fungovat. Jedine reseni je takoveho klienta natvrdo 
odpojit. Kdyz jsem se snazil rozchodit pocitani poctu spojeni, mel jsem 
udelany automat, ktery klienta odpojoval. Problem je, ze to ty spojeni 
nepocitalo prilis regulerne a diky tomu to obcas odpojilo i toho, koho 
nemelo. A pruser byl na svete. Pozdeji se ukazal i problem s 
pretezovanim CPU, kdyz bylo vyrobeno providlo pocitajici pocet spojeni a 
cele to prakticky letelo do kose.

Proto hledam jine reseni, kterak nejak spolehliveji pocitat spojeni na 
routeru, neni problem, abych pak na dalku automaticky prislusneho 
klienta sestrelil a poslal si o tom informaci, abych jej mohl upozornit 
na to, co se stalo.

Zbynek

Previous message: Analyza poctu spojeni
Next message: Analyza poctu spojeni
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list