Controle de Trafego

**standart** · 08-01-2006, 23:15

Ola pessoal,

Estou precisando implementar a seguinte solução mas em alguns pontos do processo naum sei como fazer:

Bom, tenho uma rede wireless....Onde interligo 18 pontos, e por estes pontos serem externos não tenho como estar de olho na utilização de programas como por exemplo o kazaa...e tambem naum tenho como evitar que o cliente deixe sua maquina baixando imensos programas na internet....Mas ai alguns poderiam me dizer "E porque naum coloca controle de banda para cada maquina...?" E digo que seria uma otima,,,Mas infelismente nuam poderei porque todas as maquinas precisam de muita velocidade no link para que os usuarios cumpram sua missoes. Ai minha ideia seria....:

Ja tenho o l7-filter instalado e funcionando no gateway o que ja me dá a possiilidade de realizar fitro de identificação de trafego do kazaa po exemplo. Mas além de identificar eu queria limitar o trafego de kazaa usando o HTB...e tbem de trafego relativos a .exe, zip e outros formatos reconhecidos pelo l7-filter.

Se alguem tiver ideia de como fazzer este procedimento ajuda ai....Grato..

Standart

**standart** · 16-01-2006, 17:48

E ai galera, ninguem sabe nada que possa ajudar-me?
VAleu!!

loki · 17-01-2006, 10:23

Põem filtro nas portas usadas pelo kazaa ou simplismente da um drop...
Ou sei lá, fecha tudo e abre so as portas que os usuarios precisam, assim nem presiza usar controle de banda ou muito pouco....

**standart** · 17-01-2006, 11:11

Essa com certeza seria a mais facil das opções, mas infelismente não coloquei aqui no topico, neste grupo de consumidores tem algumas pessoas quie tem altos previlegios...Inclusive o chefe..hehehehhe...E ja ficou claro que isso é um problema meu administrar esse consumo.

Portanto, nem todos vao usar ja estou dropando, mas previlegiados vão usar mas com o controle de banda para este tipo de trafego..

Valeu..

Standart

Postado originalmente por loki

Põem filtro nas portas usadas pelo kazaa ou simplismente da um drop...
Ou sei lá, fecha tudo e abre so as portas que os usuarios precisam, assim nem presiza usar controle de banda ou muito pouco....

leosimas · 17-01-2006, 11:53

Olá seguinte tinha o mesmo problema que vc, como que eu resolvi..

eu intalei um servidor em FreeBSD com controle de banda via IPFW, o IPFW do Free é nativo dele mesmo então ele permite um controle bem melhor de banda que i HTB e CBQ do linux, ele permite fazer um tunel so para portas especificas da uma pesquisada que vc nao vai se arrepender!

Valeu

**standart** · 17-01-2006, 12:27

Olá meu brother Leosimas,

Com toda certeza que não a arrependeria, mas a empresa aqui é muito criteriosa, eles não permitem essas mudanças porque não se sentem tranquilos em colocar um sistema que apenas um outro saiba administrar. Por aqui profissionais que trebalham com BSD é raro. Portanto eles não aceitariam essas mudanças...Uma certa vez mensionei isso, mas foi descartado de cara.

Mas valeu pela otima dica.

Standart

Postado originalmente por leosimas

Olá seguinte tinha o mesmo problema que vc, como que eu resolvi..

eu intalei um servidor em FreeBSD com controle de banda via IPFW, o IPFW do Free é nativo dele mesmo então ele permite um controle bem melhor de banda que i HTB e CBQ do linux, ele permite fazer um tunel so para portas especificas da uma pesquisada que vc nao vai se arrepender!

Valeu

**vioflas** · 18-01-2006, 16:54

Vc pode usar também um rádio Kodama que ele tem controle de banda. Você pode acessar o site da AmericaExplorer que eles comercializam.

Avenger · 18-01-2006, 20:13

Ora, se o lance é avançado, você pode fazer o seguinte; separando os pacotes de kazaa pelo layer7, você pode fazer uma marquinha neles (connmark/-J MARK) e mandar os filtros do HTB ao invés de catar por porta/protocolo, caçar essa 'marquinha' dos pacotes para então, estes pacotes marcados serem submetidos à filtragem que deseja. Dessa forma você integra totalmente o layer7 com o HTB.

Daí prá frente sou ignorante. Apesar de já ter feito uma vez um script direto em TC prá implementar o HTB, ele nunca funcionou direito e eu fiquei com o shaper no final das contas (emulador de interface). Não sei se no htb/cbq init (aquele shell script) tem a opção de você filtrar pela CONNMARK, mas no tc qdisc... blahblah... vai ter, sim...

A propósito, dois minutos googlezando me deu isso:

Código :

#!/bin/bash
#Limitando a Banda P2P
iptables -F
iptables -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark
iptables -A PREROUTING -t mangle -p tcp -m mark ! --mark 0 -j ACCEPT
iptables -A PREROUTING -t mangle -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j MARK --set-mark 1
iptables -A PREROUTING -t mangle -p tcp -m mark --mark 1 -j CONNMARK --save-mark
 
tc qdisc del dev eth0 root
tc qdisc add dev eth0 root handle 1: htb default 2
tc class add dev eth0 parent 1: classid 1:1 htb rate 256Kbit ceil 256Kbit
tc class add dev eth0 parent 1:1 classid 1:2 htb rate 200Kbit ceil 256Kbit
tc class add dev eth0 parent 1:1 classid 1:3 htb rate 56Kbit ceil 256Kbit
tc filter add dev eth0 parent 1:0 protocol ip prio 4 handle 1 fw classid 1:3

Origem: http://www.linuxit.com.br/section-viewarticle-753.html

Agora acho que você tá com a faca e o queijo na mão prá fazer do jeitinho que quer (se é que eu entendi a sua pergunta desde o princípio).

Avenger · 18-01-2006, 20:16

Postado originalmente por standart

E ai galera, ninguem sabe nada que possa ajudar-me?
VAleu!!

Até que ter gente que sabe, tá cheio. O problema é ter saco de responder os outros, uma vez que sempre que a gente faz uma pergunta, ninguém responde. Pelo menos comigo isso quase sempre acontece qdo eu próprio faço um post de uma dúvida minha. Daí começa uma reação em cadeia que acaba ninguém mais respondendo nada. Sabendo disso, sempre procuro tirar um tempinho prá responder o povo esperando que assim, um dia que eu realmente precisar de uma resposta a algo que não consigo concluir, eu o consiga aqui.

**sergio** · 18-01-2006, 22:53

Postado originalmente por Avenger

Postado originalmente por standart

E ai galera, ninguem sabe nada que possa ajudar-me?
VAleu!!

Até que ter gente que sabe, tá cheio. O problema é ter saco de responder os outros, uma vez que sempre que a gente faz uma pergunta, ninguém responde. Pelo menos comigo isso quase sempre acontece qdo eu próprio faço um post de uma dúvida minha. Daí começa uma reação em cadeia que acaba ninguém mais respondendo nada. Sabendo disso, sempre procuro tirar um tempinho prá responder o povo esperando que assim, um dia que eu realmente precisar de uma resposta a algo que não consigo concluir, eu o consiga aqui.

Hummmm... o problema não é bem esse; ter saco para responder... é que muitas dessas questões já foram respondidas aqui no forum mesmo N vezes. Temos que ter saco também para usar o botãozinho ali em cima "Pesquisar"... Pesquisa de 1 segundo aqui no Underlinux com as palavras chaves p2p+htb:

https://under-linux.org/modules.php?...hlight=p2p+htb

Para adaptar para o layer7 é só trocar ipp2p por layer7 nas regras do iptables.

**GrayFox** · 18-01-2006, 23:49

Bem, a turma falo dos p2p, quanto a download de arquivos (extensoes)
voce faz com o squid mesmo.
Pode fazer muita coisa. Se voce tiver 2 links, voce pode até fazer o seguinte:
No primeiro link fica p2p e downloads de arquivos (exe,zip,avi,divx,mp3).
No segundo link, fica os php, html, jpg....

A navegacao vai ficar muito rapida....

6)

**Savio** · 19-01-2006, 09:05

Postado originalmente por GrayFox

Bem, a turma falo dos p2p, quanto a download de arquivos (extensoes)
voce faz com o squid mesmo.
Pode fazer muita coisa. Se voce tiver 2 links, voce pode até fazer o seguinte:
No primeiro link fica p2p e downloads de arquivos (exe,zip,avi,divx,mp3).
No segundo link, fica os php, html, jpg....

A navegacao vai ficar muito rapida....

6)

concordo com o amigo,
se vc quer ter o controle de banda vc prescisa deixa esse link debaixo de um squid com um firewall , aproveita e poe o mrtg e tenha o gereciamento da sua banda...
grande abraço
pense nisso..
Savio

Controle de Trafego

Ferramentas de Tópicos