P2P фильтрация, iptables

0

1

Привет! Подскажите, чем нынче p2p трафик фильтруют? Желательно для ядер от 3 и выше.

Ссылка

←	как включить stp при перезагрузке в archlinux?

ASP.NET MVC под онтопик

→

p2p трафик

слишком широкое понятие. Конкретнее. А то любой внешний трафик можно фильтровать отрубив сетевуху

upcFrost ★★★★★
(12.12.15 01:16:58 MSK)

Ответ на: комментарий от upcFrost 12.12.15 01:16:58 MSK

Уже нашел nDPI. Курю nDPI как замена l7filter

fet4 ★
(12.12.15 12:34:03 MSK) автор топика

Ссылка

l7 + свои правила для сраного uTP.

svr4 ☆
(12.12.15 19:34:03 MSK)

Ответ на: комментарий от svr4 12.12.15 19:34:03 MSK

в openwrt до сих пор поддерживают ядерные патчи для L7, жаль что никто не напоминает, что нужно включать sysctl net.netfilter.nf_conntrack_acct чтоб оно работало.

vel ★★★★★
(12.12.15 22:26:33 MSK)

Ответ на: комментарий от vel 12.12.15 22:26:33 MSK

Vel так что же по вашему мнению лучше работает l7 или ndpi в частности для p2p трафика? Хочется его промаркировать и увести в другой канал. Я так понял l7 только с патчингом ядра?

fet4 ★
(13.12.15 17:11:15 MSK) автор топика

Ответ на: комментарий от fet4 13.12.15 17:11:15 MSK

l7 сейчас лучше ndpi по 2-м параметрам: добавление новых протоколов не требует перекомпиляции, объем кода меньше.

Во всем остальном проигрывает, в том числе и из-за необходимости патча ядра.

vel ★★★★★
(13.12.15 18:24:56 MSK)

Ответ на: комментарий от vel 13.12.15 18:24:56 MSK

Какую версию ndpi посоветуете? Ядро 3.18.23

fet4 ★
(14.12.15 12:51:32 MSK) автор топика

Ответ на: комментарий от fet4 14.12.15 12:51:32 MSK

последнюю с github ветка netfilter.

vel ★★★★★
(14.12.15 15:54:44 MSK)

Ответ на: комментарий от vel 14.12.15 15:54:44 MSK

Делаю

git clone https://github.com/vel21ripn/nDPI.git

Захожу в папку ndpi-netfilter, а там пусто. Так и должно? Скачал zip архив на git и установил.

fet4 ★
(14.12.15 21:41:03 MSK) автор топика

Ответ на: комментарий от fet4 14.12.15 21:41:03 MSK

В подробной инструкции от as_lan видел параметры bt_hash_size, bt_hash_timeout какие выбрать оптимальные значения? Какие еще параметры подкрутить?

fet4 ★
(14.12.15 22:07:19 MSK) автор топика

Ответ на: комментарий от fet4 14.12.15 21:41:03 MSK

«git clone -b netfilter https://github.com/vel21ripn/nDPI.git"

или потом „git checkout -b netfilter origin/netfilter“

vel ★★★★★
(14.12.15 22:23:44 MSK)

Ссылка

Ответ на: комментарий от fet4 14.12.15 22:07:19 MSK

bt_hash_size - число индексов в hash-таблице 1-32 (*1024). Расчет примерно такой - число элементов в хеш-таблице/(bt_hash_size*1024) рекомендуется меньше 300.

в первой строке /proc/net/xt_ndpi/info будет «count XXXX» - это число элементов в хеш-таблице. Зависит оно от трафика и от bt_hash_timeout. Чем больше трафик и bt_hash_timeout, тем больше count.

bt_hash_timeout < 900 ставить не смысла, т.к. по статистике именно в этот интервал наиболее вероятно обращение к пиру. Больше 3600 тоже нет смысла.

на трафике в 300Мбит у меня bt_hash_size=14 bt_hash_timeout=2100

Есть отдельная тема nDPI как замена l7filter [продолжение]

vel ★★★★★
(14.12.15 22:40:15 MSK)