[BiWiS]

т.е. синфлуд получается снаружы на абонента? о.0

[В Густелёв]

т.е. синфлуд получается снаружы на абонента? о.0

ну типа да :)

[BiWiS]

Позвоните ему, спросите о том, что у него на компе крутится :) Скорее всего действительно туева хуча торрент раздач, притом они должны быть весьма-популярны.

[snark]

ставить SCE только ради ограничения сессий на абонента это мегаоверкилл

 

SCE - это не только ценный мех резалка сессий, но еще и очень умный шейпер, а т.к. у ТС уже есть отдельный шейпер, то после установки SCE его мощности он сможет как нить иначе использовать.

[hRUst]

попробуйте закрыть на бордере 6881 порт :) и помониторьте ситуацию с недельку

[В Густелёв]

сейчас клиент походу выключил комп, поэтому поиграться с ним не получается.

 

Вечером думаю попробовать что-то типа pipe 666 ip from any to ВНЕШНИЙ_ИП in recv vlan158 tcpflags syn

где pipe 666 - например 100 kbit/s

При размере пакета в 40 байт получаем 300 syn-пакетов в секунду, остальное дропать.

[bos9]

Не в курсе на bsd обязательно нужно, чтобы весь нат пул был повешан на ip интерфейсы сервера? Если можно, как snat на linux, то весь нат пул завернуть в unreachable и если нет нужной трансляции в conntrack, то привет.

[nuclearcat]

да, тоже уже получил результаты анализа

какие будут предложения, коллега, если учитывать, что у нас два freebsd сервера? Шейпить syn-пакеты?

Я с freebsd не очень знаком. По идее т.к. NAT, можно вообще зарезать SYN извне на паблик IP.

Я не в курсе, попадают ли они вообще в freebsd в states, по всей логике - не должны. Наверное можно глянуть список всех states и проверить?

[Tosha]

а на freebsd нет каких-либо уже готовых модулей в т.ч. Netgraph чтобы ограничить количество соединений с одного IP?

 

Если нет - взять код генерации NetFlow и на его примере сделать конироллер количества потоков.

[nuclearcat]

Там судя по всему флуд на паблик ip не ассоциируемый прямо с юзером.

[Ivan_83]

UDP порт для DHT: 6881

в rtorrent, в других хз.

[Diamont]

Это полюбому Kein...

Звоните клиенту и просите чтоб DHT отключил))

[Kein]

Звоните клиенту и просите чтоб DHT отключил))

А если клиент спросит на каком основании он должен это делать?

[MMM]

один коллега решал проблемы с перегруженным nat использованием ng_nat.

может и вам подойдёт...

[Diamont]

Звоните клиенту и просите чтоб DHT отключил))

А если клиент спросит на каком основании он должен это делать?

На том основании, что это мешает работе оборудования провайдера, тем самым нанося компании материальные убытки.

Изменено 31 мая, 2013 пользователем Diamont

[Kein]

На том основании, что это мешает работе оборудования провайдера, тем самым нанося компании материальные убытки.

В договоре написано что клиент не имеет права пользоваться DHT?

[nuclearcat]

Если клиент будет как Kein, к нему на следующий день прийдут полиция и правообладатели. Учитвая количество раздал, сидеть он будет лет 7.

[sherwood]

На том основании, что это мешает работе оборудования провайдера, тем самым нанося компании материальные убытки.

Провайдер сделал тарифы по 100Мбит\с, поставил в ядро роутер Dlink DIR-100 для NAT, подключил к нему 500 абонентов и включил все это в сеть, "мега" роутер упал еще не загрузившись до конца, после чего провайдер начал отключать абонентов с мотивировкой - мешаете работать оборудованию провайдера и тем самым наносите ему вред и убытки.

"Всемирная история банк Империал"

Тем самым Вы признаетесь в бессилии перед абонентом.

Что то как то не могу представить себе как все его запросы могут обойти, например у нас, ограничение по количеству соединений TCP и сессий UDP. В местах где еще стоят на доступе мыльницы абоненты периодически кладут их, в том плане, что от них что то идет (естественно проверить нельзя так как мыльница) и мыльница в дауне, после замены на cisco или dlink L2 проблема решается сама собой, потому как вся хрень в виде вирусов и неких DoS режется еще на доступе, до ядра уже не долетает.

[Kein]

Если клиент будет как Kein, к нему на следующий день прийдут полиция и правообладатели. Учитвая количество раздал, сидеть он будет лет 7.

За что 7 лет, если по статье 146 часть 3 до 6 лет. Вы бы перед тем как говорить хоть бы законы почитали

[nuclearcat]

6 намного лучше? :)

[Kein]

nuclearcat 6 лет это максимальное наказание. Да и еще не факт что эти действия подпадают под 146 статью. Корыстной заинтересованности нет. Такие преступления труднодоказуемы, при наличии грамотного адвоката дело развалиться

Изменено 1 июня, 2013 пользователем Kein

[nuclearcat]

Вопрос в том, у кого лучше связи :)

[snark]

За что 7 лет, если по статье 146 часть 3 до 6 лет.

 

По совокупности. Вы же не думаете, что будете сидеть всего по одной статье?

[Kein]

Тем самым Вы признаетесь в бессилии перед абонентом.

Что то как то не могу представить себе как все его запросы могут обойти, например у нас, ограничение по количеству соединений TCP и сессий UDP. В местах где еще стоят на доступе мыльницы абоненты периодически кладут их, в том плане, что от них что то идет (естественно проверить нельзя так как мыльница) и мыльница в дауне, после замены на cisco или dlink L2 проблема решается сама собой, потому как вся хрень в виде вирусов и неких DoS режется еще на доступе, до ядра уже не долетает.

Поддерживаю!

Сначала ставят копеечное оборудование а потом жалуются!!!

[murzik_one]

За что 7 лет, если по статье 146 часть 3 до 6 лет. Вы бы перед тем как говорить хоть бы законы почитали

topic off: Не парься, тебе еще добавят 242, и по совокупности будет и более 7и лет =)

 

Сначала ставят копеечное оборудование а потом жалуются!!!

то есть вы считаете, что сервер за 200+ килорублей копеечное оборудование?