近几天研究关于L7 协议拦截BT包的心得
我是新手在 这里先向大家问个好。关于L7拦截BT等协议封包的和限制流量的 文章我看了好多,但是根据我的测试
如下的:
l7-filter 过滤器 就算拦截了封包,把贴10的标送去频宽管制 但是不知道为什么就是控制不了 上传流量!!
(这里我想问 有没有人已经成功控制了BT 上传 和下载的流量)
请高手指教~
iptables -t mangle -A PREROUTING-m layer7 --l7proto bittorrent -j MARK --set-mark 10
( BT上传方向的封包,给予贴标签 10 )
iptables -t mangle -A POSTROUTING-m layer7 --l7proto edonkey -j MARK --set-mark 10
( 驴子 下载方向的封包,给予贴标签 10 )
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
还有这个里面就算丢弃所有的P2P包,也有奇怪的现象 大概可以提供给 有需要知道答案的人。
iptables -t mangle -A PREROUTING -m layer7 --l7proto edonkey -j DROP (这里的DROP 是丢弃)
iptables -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j DROP
iptables -t mangle -A POSTROUTING-m layer7 --l7proto edonkey -j DROP
iptables -t mangle -A POSTROUTING-m layer7 --l7proto bittorrent -j DROP
按道理这样应该可以把BT封死! 你错了!
我还是发现有流量通过BT!还把我的上传资源用光 (%¥·#%¥#%````)
这里我发现连接上我机器的都是 (内网互连)。
在这里我**了一下 是端口的问题 我的内网IP 的 BT端口是22371(只有一个)
外网有很多个IP连进来其中 大部分的IP都拦截了 如果他BT 端口刚好是 (22371)
那么 就可以连接上 然后我只好把 所有 IP 22371 端口 下行的封掉才可以做到 封死BT
以上是我的心得
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
到现在为止我还没做出 Coyote Linux 的限制流量的 脚本
这里以前大大 的帖子 和其他网站的帖子 我都有学习做过 就是没有一个是把整个BTQOS 脚本
发表出来的 希望这里的 高手门可以帮到我 (我已经几天没睡好觉了) 现有的l7的bittorrent的模板不能全部封锁bt流量。因为现有的bitcomet有以下类型的数据包:
dht包 内网互联包 加密传送的数据包 普通的bt包。现有的模板只能封锁或者匹配普通的bt包。
故而会有你说的问题
回复 #2 想得太美 的帖子
那么现在就没技术可以 控制流量了?因为我发现按照 这里站里的 QOS教学 上说的只是针对普通的流量控制
对疯狂是P2P 简直就是没 得办法了。。。。。。悲哀中。
回复 #2 想得太美 的帖子
还有在这里 你是不是可以可以把你的 防火墙 和QOS 设定 贴一份让小弟参考 一下吗? 感激中.......
回复 #5 aijun 的帖子
小弟并不想完全封掉 P2P 毕竟BT之类 软件带给我们的好处是很多的。完全封杀并不合理, 所以很长时间在探访控制 流量的办法 。
AIJUN 你所提到的 L7FILITER 的P2P 最新特征在那里可以升级?
不是要等CL 出新版本吧???? 原帖由 lawson12 于 2006-9-20 19:32 发表
小弟并不想完全封掉 P2P 毕竟BT之类 软件带给我们的好处是很多的。
完全封杀并不合理, 所以很长时间在探访控制 流量的办法 。
AIJUN 你所提到的 L7FILITER 的P2P 最新特征在那里可以升级?
不是要 ...
我自己开发的MINIFW内置P2P过滤模块,没有使用L7FILTER.是别人建议我也在MINIFW中加上L7FILTER. 我也看了它的最新源代码,对80端口的P2P限制做的比较好.
我对流量控制的看法和大家可能有不同:
我的网络带宽据电信说是3-5M,但估计才2M,客户机600台以上,但是同时上网在线计算机250台以上.
按照道理应该使用流量控制,但是流量控制本质上是牺牲一部分的速度,给其他人群.对于1000人以内的办公网络,使用WEB和QQ和软件下载等的人还是多数,使用BT,网络电视的人是少数.所以尽量使用对80端口缓存加速,基本感觉是带宽增加了1M以上,都去访问本地硬盘缓存了. 原帖由 lawson12 于 2006-9-20 19:32 发表
小弟并不想完全封掉 P2P 毕竟BT之类 软件带给我们的好处是很多的。
完全封杀并不合理, 所以很长时间在探访控制 流量的办法 。
AIJUN 你所提到的 L7FILITER 的P2P 最新特征在那里可以升级?
不是要 ...
可以下载最新L7FILTER过滤版本了.
想使用和测试L7filte 最新版本(日期20060910)吗?
L7filte 最新版本(日期20060910),VMWARE5中可测试成功.
编译的时候,使用最新的源程序L7FILTER2.5版本,过滤规则支持该网站定义的最新20060910规则集合.熟悉的网友可以自己更新内部的*.pat文件
为大家测试方便.我内置了最新的100BAO BITTORRENT EDONKEY 规则(明显变化是原来的规则才20个字节,现在变成了100多个字节).
测试环境:VMWARE5 256M内存.2.88M软驱 ,不要用VM4.启动会不认识1.68M软盘的.
user: root password: hajhaj
下载地址:
http://219.223.96.9/minifw_l7
http://219.223.96.9/minifw_l7/minifw_vm_l7.ima
使用*.ima做启动软盘即可.然后
iptables -t mangle -m layer7 --l7proto --bittorrent -j DROP
iptables -t mangle 0m layer7 --l7proto --100bao -j DROP
我不知道MINIFW32是否还和BRW COYOTE兼容.BRW主要做各种IPTABLES扩展了,MINIFW主要做WEB内容过滤和木马检测了.
以上作为MINIFW32的发展版本内容.不要同时启动IPP2P.两者功能类似 tc+l7才是王道! 貌似没多少和ROS有关的 貌似没多少和ROS有关的 本帖最后由 spookyu 于 2009-6-13 03:45 编辑
封BT最实在就是 封了...DHT Tracker 服务器...
这样有Tracker也找不到peers...
比如:封酷狗 就drop搜索服务器...
迅雷也是 直接封 资源服务器... :):):) 严重赞成楼上的,我的BT和KUGOU,迅雷就是这样被我DORP掉的,几乎动弹不得。下几个小时都没流量。
页:
[1]