Зарезан торрент

[Skydreem]

Наконец-то, после долгих мучений с "добросовестными клиентами", беседы с которыми о просьбе не качать торрент в часы пик не возымела желаемого результата, пролистав многочисленные форумы по решению проблемы и не найдя нормальног совета, благодаря Дмитрию нашлось решение закрыть их принудительно. А вы ещё не закрыли торрент???
Тогда это решение для Вас!)

http://www.adminsehow.com/2011/04/block ... -iptables/
Спасибо огромное, Дмитрий. Теперь осталось как-то автоматизировать процесс изменения правил в зависимости от времени суток..

[Roman]

Да, действительно полезное правило, кстати на iptables я даже и не сомневался!
Автоматизацияю можно сделать через CRON, принцип работы описан в инструкции, но я свои задания еще не делал.
Я думаю через CRON можно задать, чтобы в нужное время патчить правила и перезапускать фаервол.
Думаю в сети где-то есть решение, по любому кто-то задавался этим вопросом.
Я просто еще не делал, пока нет необходимости, но принцип работы такой должен быть.
На сервере через CRON в заданое время делается много вещей, очистка логов, удаление файлов и прочее.

[Dmitry]

Еще одно правило, которое вроде как режет тот самый протокол "мю"-ТP, который в "мю-торренте" придумали, и который сильно перегружает шлюзы обилием мелких пакетов:

Код: Выделить всё

iptables -A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 -m statistic --mode random --probability 0.90 -j DROP
iptables -A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 -j DROP

найдена сразу в нескольких источниках
Ссылка 1
Ссылка 2
Думаю, можно найти и в других местах.
сам не проверял.

[Skydreem]

Нужно все тоже самое, только чтобы входящий торент работал а исходящий нет. Можно так?

[Dmitry]

Можно попробовать в строки, "зарезающие" торрент, добавить указание назначения пакетов:

Код: Выделить всё

-s 192.168.182.0/24

-s - "источники" (т.е., пакеты, идущие от указанных адресов
или

Код: Выделить всё

-d 192.168.182.0/24

-d - "назначение" (пакеты, идущие к указанным адресам)

[Aleksander]

Всем привет. Ткните носом барана, пожалуйста, в какое именно место в файле firewall.iptables вставлять строки

iptables -N LOGDROP > /dev/null 2> /dev/null
iptables -F LOGDROP
iptables -A LOGDROP -j LOG --log-prefix "LOGDROP "
iptables -A LOGDROP -j DROP

#Torrent
iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "peer_id=" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string ".torrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "torrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "announce" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "info_hash" -j LOGDROP

# DHT keyword
iptables -A FORWARD -m string --string "get_peers" --algo bm -j LOGDROP
iptables -A FORWARD -m string --string "announce_peer" --algo bm -j LOGDROP
iptables -A FORWARD -m string --string "find_node" --algo bm -j LOGDROP

iptables -A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 -m statistic --mode random --probability 0.90 -j DROP
iptables -A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 -j DROP

?
Пробовал несколько вариантов, но после задействования правил получаю ошибку

/usr/src/easyhotspot/firewall/firewall.iptables: 41: -F: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 42: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 43: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 46: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 47: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 48: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 49: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 50: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 51: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 52: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 53: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 56: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 57: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 58: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 60: -A: not found
/usr/src/easyhotspot/firewall/firewall.iptables: 61: -A: not found

И нужно ли добавлять в начало каждой строки символ $

Спасибо

[Aleksander]

Разобрался. Оказывается, зря $ подставлял. Теперь экспериментирую)

[Skydreem]

На сервере ставишь? Я тоже так пробовал, торент отключался но толку мало было, торент-клиенты всё-равно мелкими запросами засыпали и легче не становилось, проще говоря количество подключений не уменьшалось.
Некоторое время мне помогал конлимит для борьбы с торентом, позже и от этого отказался. С ними война бесполезна, ничего существенного не выйдет. Как вариант только приоритезация трафика помогает.

[alexandrnew]

я когда то с торрентами боролся на фряхе.
шейпер + задержка пакетов + потери до 70%.... результат - грузится локалка - для нее не проблемма , и грузится конечная машина (клиент)....

[Skydreem]

А сейчас какой метод борьбы если не секрет?