Vous n'êtes pas identifié(e).
Pages : 1
Hello,
Si mon réseau interne, j'avais bien spécifié : NE PAS UPLOADER avec Edonkey ou kazaa car on a un upload très limité.
J'ai un utilisateur qui upload visiblement beaucoup, saturant pas mal le réseau. ça réponse: "ben j'utilise pas edonkey mais emule".. L'innocent.
Comme j'ai pas envie de m'engueuler avec lui : je lui ai déjà dit 3 fois de couper l'upload mais j'ai encore des problèmes de réseau, j'aimerais simplement faire une règle iptable sur le serveur qui empèche l'upload avec edonkey/emule.
Une idée de comment faire ça ?
A la limite, le mieux, ce serait même de limiter la bande passante de ces logiciels. Je ne sais pas si il y'a moyen.
Ma passerelle est sous Debian.
Je pensais aussi, plutot que de surcharger le réseau interne, installer un outil p2p sur la passerelle, accessible depuis une interface web. ça permettrait aux membres de mon réseau de ne pas à avoir leur PC tout le temps allumé et à moi de pouvoir stopper le p2p quand j'ai besoin de la bande passante. Une idée sur la manière de réaliser ça ?
Si je fais ça, faut aussi couper tous les p2p internes au réseau !
Hors ligne
Tu peux bloquer les ports concernés grâce à iptables, mais saches que :
Il suffit à l'utilisateur de configurer un autre port pour que çà fonctionne de nouveau
Les ports download et upload sont les mêmes, donc si tu bloques ou que tu restreins çà s'appliquera à la fois sur les deux.
Par contre tu peux faire du QOS, perso c'est ce que je fais. Le principe est de limiter à l'aide d'un sceau de type SFQ (limité à un quota sans consessions) tous les paquets montants dont la taille est supérieure à 300-500 bits (car ils véhiculent des données). Tu peux appliquer ces règles sur un port donné.
Pour donner un exemple, voici comment je traite la limitation sur tous les ports en download (160 kbits = 20Ko) et upload pour mon voisin à qui je fourni internet (j'ai un réseau propre pour lui en 192.168.2.0).
La limitation est très restrictive en sortie, mais je lui fourni un proxy pour toutes les applications web, car sinon la navigation rame pas mal dans l'état.
A toi d'adapter l'affaire à tes besoins...
Une bonne doc :
http://www.linux-france.org/prj/inetdoc … qdisc.html
Voici le script
# Configuration des variables. Les débits sont en kbit
voisin="192.168.2.0/24"
DEV2=ppp0
pkb=350
BPIn=160
BPOut=4
#--------------------- Flux montant ppp0 ----------------------
# On marque les paquets concernés : paquets de donnés
iptables -t mangle -A POSTROUTING -s $voisin -o $DEV2 -p tcp -m length --length "$pkb":1500 -j MARK --set-mark 4
# On crée la qdisc et la classe racine en cbq
tc qdisc add dev $DEV2 root handle 1:0 cbq bandwidth 128Kbit avpkt 1000 cell 8
tc class add dev $DEV2 parent 1:0 classid 1:1 cbq
bandwidth 128Kbit rate 110Kbit weight 0.6Mbit
prio 8 allot 1514 cell 8 maxburst 20
avpkt 1000 bounded
# Classe Parent qui limitera le voisin
tc class add dev $DEV2 parent 1:1 classid 1:4 cbq
bandwidth 60Kbit rate "$BPOut"Kbit weight 0.5Mbit
prio 5 allot 1514 cell 8 maxburst 20
avpkt 800 bounded
# Classe SFQ relative et Filtre
tc qdisc add dev $DEV2 parent 1:4 handle 4: sfq
tc filter add dev $DEV2 parent 1:0 protocol ip handle 4 fw flowid 1:4
#--------------------- Flux descendant ppp0 ----------------------
# attache la réglementation d'entrée (ingress policer) :
tc qdisc add dev $DEV2 handle ffff: ingress
# Filtre *tout* , rejette tout ce qui arrive trop
# rapidement :
tc filter add dev $DEV2 parent ffff: protocol ip prio 50 u32 match ip dst
"$voisin" police rate "$BPIn"kbit burst 10k drop flowid :1
"Un logiciel, plus il est cher, plus il a de fonctionnalités, et moins il fonctionne !"
Hors ligne
Il y a aussi un module iptables pour le p2p qui s'appelle ipt_p2p mais y a pas beaucoup de doc dessus :cry:
Si ca peut t'aider.
Hors ligne
Empêcher quelqu'un de sortir sur le net avec kazaa, un edonkey , voir même un simple client ftp, et une mission impossible.
Il y a toujours un moyen détourné de passer un firewall/routeur. Même si on peut compliquer sérieusement la chôse
Par contre il est sur que l'arme parfaite et de limiter l'up et le down total d'un client,
Et si, en plus, on peut lui mettre quelques batons dans les roues faut pas se géner
[img]http://www.danasoft.com/sig/kagou.jpg[/img]
[img]http://edgar.netflint.net/[email protected]&type=image&iconset=phpbb[/img] [email protected]
Hors ligne
Empêcher quelqu'un de sortir sur le net avec kazaa, un edonkey , voir même un simple client ftp, et une mission impossible.
Sous windows oui c'est impossible. Sous Unix par contre c'est tres facile.
Il suffit d'interdir la creation de socket pour l'utilisateur.
Le probleme c'est que sous windows les utilisateurs sont root :shock:
Enfin je suis d'accord avec kagou pour dre que si l'utilisateur peux cree une socket et faire passer de l'information. Il est possible de faite pleins de truc avec des protocoles a prioris inoffensif
X-GPG-Fingerprint: C0F2 AF4F 98ED 08FC 7930 193E DE3B 44D2 5467 94DA
--
http://csquad.org
Hors ligne
le download c'est ce que tu recois (telechargement descendant) en gros 64 ko/s sur un adsl "normal"
l'upload c'est ce que tu envois (telechargement ascendant) en gros 16 ko/s sur un adsl "normal"
(normal entre guillemets parce que bon, free, 9online, etc .. . : )
Hors ligne
Pages : 1