Senior Member
QoS
а этот layer 7 - полноценный шейпер? дать приоритет web-серфингу над торрентами сможет?Переходите на прошивку энтузиастов. Берете modules от своей прошивки, берете из него xt_layer7.ko, на роутере делаете insmod xt_layer7 ... и все, пользуетесь!
после установки этого модуля какой-нибудь веб-интерфейс будет?
Asus RT-N16 1.9.2.7-rtn-r4051 | Asus O!Play Air 1.09P | Synology DS210j - 2xWD20EADS
Forum Guru
LA_, сам шейпер уже встроен в прошивку, а xt_layer7 - это всего лишь модуль, который позволяет классифицировать пакеты. Cудя по комментариям выше, загрузкой только этого модуля не проблему не решить.
P.S. Сам я не настраивал QoS
ASUS RT-N16 1.9.2.7-rtn, Zotac ZBOXNANO AD12 + WD Green 1Tb USB 3.0 (rtorrent@Ubuntu 13.04)
ASUS WL-500gP 128 Mb продаю
Senior Member
а шейпер без этого модуля работает? (если нет, то зачем он в прошивке?)
Asus RT-N16 1.9.2.7-rtn-r4051 | Asus O!Play Air 1.09P | Synology DS210j - 2xWD20EADS
Junior Member
В pfsens'е layer7 работает отлично. На rt-n16 пока не получается добиться того же самого.
Registered User
Запрет протоколов и портов торрента
Уважаемые гуру. Поделитесь пожалуйста с новичком как в asus wl500g premium забанить порты и протоколы торрентов. Ситуация банальная, через сей девайс раскуриваем yota на 4 человек в офисе. Но есть несознательные люди, думающие, что они хитрее всех. В итоге нет даже простого серфа по страницам((. Заранее благодарен за ссылку на статьи или помощь.
Senior Member
Запрет проброса портов через UPnP исключит раздачу файлов через торрент (если нет прописанных пробросов портов). Скачка идет через протокол TCP и соответственно запретить его нельзя ...Originally Posted by aau6
Анализ трафика, это не для роутера ... ИМХО единственное решение прокси-сервер на роутере (но это отказ от остальных не HTTP/FTP сервисов) да и опять мощности роутера маловато ...
З.Ы. Раз разговор идет про офис, то все проще ... Административные действия (права пользователя на компе, штрафы и т.д.)
Last edited by tempik; 29-03-2011 at 17:25.
The Last Millenium
Если у вас не it-компания, запретите запуск программы по хешу.
Если вам нужно только HTTP\HTTPS, запретите все кроме портов 443 и 80.
Sorry for my bad English.
Покупайте Отечественных Слонов!!!
Senior Member
На скачку можно юзать любые разрешенные на выход порты ... Если есть возможность ставить на клиенте программы уровня ядра-драйвера .... У меня кореш из банка так качал через единственный порт открытый наружу из сети (ICQ для поддержки клиентов), не спрашивайте меня почему там так было задумано (сам так и не понял)... Собственно из-за него и появилась тема http://wl500g.info/showthread.php?p=51624#post51624 так что оптимальное решение "Административное" (будете качать обрежем все)
З.Ы. Для понимания старожилов Mirage-Net это я до аварии ... просто долго оклемывался ... , а потом посчитал что и так сойдет (здесь не торрент рейтинга не нужно
Last edited by tempik; 29-03-2011 at 18:08.
The Last Millenium
Я понимаю, но не так уж много людей открывают 80 и 443 для торрентов.На скачку можно юзать любые разрешенные на выход порты ... Если есть возможность ставить на клиенте программы уровня ядра-драйвера .... У меня кореш из банка так качал через единственный порт открытый наружу из сети (ICQ для поддержки клиентов), не спрашивайте меня почему там так было задумано (сам так и не понял)... Собственно из-за него и появилась тема http://wl500g.info/showthread.php?p=51624#post51624 так что оптимальное решение "Административное" (будете качать обрежем все)
З.Ы. Для понимания старожилов Mirage-Net это я до аварии ... просто долго оклемывался ... , а потом посчитал что и так сойдет (здесь не торрент рейтинга не нужно
А дырку найти всегда можно. "Совсем все" запретить все равно возможно только получив геморрой\получив бесполезный выход в интернет
Sorry for my bad English.
Покупайте Отечественных Слонов!!!
Junior Member
l7-filter
Добрый день!! случилась у меня такая же ситуация. Команду
iptables -I FORWARD -m layer7 --l7proto bittorrent -j DROP
нашел вот таком линке
http://wl500g.info/showthread.php?t=24444
от уважаемого theMIROn
И вот эта команда мне выдала такой же ответ
iptables: No chain/target/match by that name
Предыстория: Расширил wifi соседям на халяву, а соседу присели на torrent и задушили мой хиленький adsl mgts internet с upload в 50кб\с. У меня стоит связка adsl modem asus am604 в режиме роутер(самое узкое место, думаю переключить его в режим бридж, чтобы он вообще не "думал") и за ним rt-n 16, с прошивочкой на нем 1.9.2.7-rtn-r2775
Итак, ошибка решилась вот так - у меня были скаченые давным-давно под мое ядро 2.6.22.19, Лежат они, залинканые на /lib/modules.
подключаем незагруженный модуль
а уже потом добавляем правилоCode:modprobe xt_layer7
И мой iptables схавал его без ошибок.Code:iptables -I FORWARD -m layer7 --l7proto bittorrent -j DROP
Проверяем iptables-save, и вот что ответил
Вижу что правило вставилось, патерн есть. Проверяю скачку торрент через свой linux transmission на моем ноутбуке - качает по максимуму из интернета - проброс работает, проблема моя осталась.Code:*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [935:62573] :OUTPUT ACCEPT [17626:16706305] :BRUTE - [0:0] :MACS - [0:0] :SECURITY - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A INPUT -j DROP -A FORWARD -m layer7 --l7proto bittorrent -j DROP -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -m state --state INVALID -j DROP -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD ! -i br0 -o vlan2 -j DROP -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT -A FORWARD -o br0 -j DROP -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN -A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN -A SECURITY -p udp -m limit --limit 5/sec -j RETURN -A SECURITY -p icmp -m limit --limit 5/sec -j RETURN -A SECURITY -j DROP -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode -A logdrop -j DROP COMMIT
В transmission в настройках стоит шифрование пакетов и отключить его не знаю как, выбрать можно только:
- разрешить шифрование
- предпочитать шифрование
- требовать шифрование
Если я уж свой клиент не могу настроить, то соседи уж точно этого делать не станут.
Последняя надежда это сделать drop по умолчанию всего кроме http, https, ftp и dns. Где-то находил на форуме как это сделать, да вот только потерял - грущу.
Junior Member
а разве modprobe подключает модуль?
у меня в post-boot добавленно insmod xt_layer7.ko,
а в папку /etc/l7-protolols положил bittorrent.pat
ну и IPTABLES -A PREROUTING -t mangle -m layer7 --l7proto bittorrent -j DROP
,
Last edited by AleksandrN; 29-02-2012 at 19:48.
отключите fastnat, иначе не будет работать
nvram set misc_fastnat_x=0 && nvram commit && reboot
ASUS WL5xx: FW 1.9.2.7-d-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | bip irc proxy
ASUS RT-N1x: FW 1.9.2.7-rtn-rXXXX / обсуждение прошивки [RU] / firmware discussion [EN] | fake ident daemon
Member
Конечно. По сути его можно назвать надстройкой над lsmod, rmmod и insmod.
WL-500gP v2 (1.9.2.7-rtn-r3832) / rTorrent 0.8.6 / ruTorrent 3.3 / ImageVue r16 (patched) / lighttpd + ssl + auth
WDTV Gen1 / WDLXTV 0.5.8.1 / D-Link DWA-110 WiFi
WDTV Live / WDLXTV 0.4.7.3
WDTV Live Hub
Member
Подскажите, в какую сторону можно копать...
версия прошивки: 1.9.2.7-rtn-r3936
вывод команды lsmod:
Но при этом правило не работает:Module Size Used by Tainted: P
xt_layer7 14704 0
ipip 9264 0
tcp_vegas 2624 0
ipt_set 1536 2
ip_set_macipmap 3568 1
ip_set 17536 3 ipt_set,ip_set_macipmap
ntfs 117040 0
usb_storage 83328 3
sd_mod 23680 4
scsi_mod 93376 2 usb_storage,sd_mod
usblp 14096 0
ohci_hcd 20048 0
ehci_hcd 38064 0
usbcore 135200 5 usb_storage,usblp,ohci_hcd,ehci_hcd
xt_recent 8560 2
nf_nat_ftp 2304 0
nf_conntrack_ftp 7296 1 nf_nat_ftp
pppoe 11616 4
pppox 2192 1 pppoe
wl 1634048 0
et 52608 0
igs 17552 1 wl
emf 21248 2 wl,igs
xt_HL 2016 0
xt_hl 1472 1
[root@RT-N16 root]$ iptables -A PREROUTING -t mangle -m layer7 --l7proto bittorrent -j DROP
iptables v1.4.9: Couldn't load match `layer7':File not found
Last edited by Omega; 10-03-2012 at 05:26. Reason: а bittorrent.pat загрузили? ;) и fastnat отключили? :) где вывод iptable save? :p не пробовали I FORWARD? :B
Forum Guru
В основном, это потому что вы не хотите читать, ни форум, ни статьи по iptables
- Раз двадцать писал - вы можете установить хоть iptables 11.0, но если они не соответствуют ядру, вы получите жирную фигу. На кой ляд внешние 1.4.9 ?
- L7-filter Kernel Version HOWTO читали? Каталог с паттернами на месте?
Posting Permissions
Reply With Quote
