LINUX.ORG.RU
ФорумAdmin

SQUID : неравный бой с интернет-радио.


0

2

Доброго времени суток.

Подскажите пожалуйста, что предпринять:

Задача - закрыть юзерам все развлекаловки, что можно найти на http через браузер. Выбрал Squid. Закрыл аудио, видео, флэш, сайты порезал. Не могу никак справиться с надоедливым радио-онлайн. Все возможные комбинации предлагаемые гуглом перепробовал. Все равно бренчит. Может быть кто-то сталкивался с сией историей. Поделитесь пожалуйста конфигом либо подскажите куда рыть. Не очень хочется рузать сайты вручную.

P.S. : http://all-radio.ru/

Большое спасибо.

Я на работе сделал просто - на юзера в неделю выделяется 250 мегабайт. После превышения - ничерта не работает и пишет «Превышен входящий траффик». Все согласовано с начальством. Юзверям об этом рассказал, намекнув, что если после превышения они придут ко мне с вопросом «АЙ ПАЧИМУ У МИНЯ ИНТЕРНЕТ НИ РАБОТАЕТ?!?!?!?!111», будут посылаться на три буквы прямым текстом, так было рассказано про траффик заранее. Сейчас по статистике смотрю - ССЗБ, добравшиеся до 250, сидят молча на местах и не идут. Видать поняли.

Zhbert ★★★★★ ()
Ответ на: комментарий от Zhbert

А дальше мне как бы все равно - превысил в первый день - ССЗБ, растянул на всю неделю - молодец. И они понимают, что виноваты сами, если что. Ну и просмотреть свой трафик можно в веб-статистике.

Zhbert ★★★★★ ()

юзай iptables: руби соединения connlimit по превышению определенного лимита или string-match-ем руби первоначальные пакеты на радио, да есть еще 100500 вариантов...

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Эм, забыл совсем. ОСЬ - FreeBSD 8.2 x86, поэтому iptables не пойдут. IPFW вроде насколько я помню не умеет со строчками работать.

Zhbert - совет классный. Но тут дело в другом :

1). Я счастливый обладатель безлимитного интернета в офисе))) 2). В офисе каждый день дым коромыслом, просто конвеер, который не останавливаеца по 12 часов в день (а то и более), и если я юзверушке отрублю нантернетама - получу по шапке я, потому как ой мля мне должно срочно письмо прийти и бла бла, сопли, слюни, жалобы, крики и тд. Этот головняк как то не хочется на себя брать. А бывает что юзер кушает в месяц до 30 гигов!!!. Трудно определить необходимый обьем трафика. 3). Руководство - ну как говорится бывших офицеров не бывает, из разряда путаю клавиатуру и мышу. С ними обговаривать вариант выделения лимита просто бестолку (!!! НО сижу и рубаю все развлекухи по их же требованию !!!). Там при слове «траффик» - необходимо принести кучу бумаг что же это все таки такое и зачем оно нужно, и после этого будет совещание стоит оно того или нет. НО блин требуют же, вынь да полож!!!

В общих чертах обрисовал)))

Фух выговорился)))

Подскажите пожалуйста нет ли аналога решения например как я зарубил аудио :

acl CLOSED_AUDIO_STREAM  rep_mime_type -i ^audio/
http_access deny LOCALNET CLOSED_AUDIO_STREAM

А вот это не пойдет??

acl webRadioReq1 req_mime_type -i ^video/x-ms-asf$
acl webRadioReq2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl webRadioReq3 req_mime_type -i ^application/x-mms-framed$
acl webRadioRep1 rep_mime_type -i ^video/x-ms-asf$
acl webRadioRep2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl webRadioRep3 rep_mime_type -i ^application/x-mms-framed$

http_access deny webRadioReq1 webRadioReq2 webRadioReq3 webRadioRep1 webRadioRep2 webRadioRep3

Заранее благодарю. Спасибо большое

sss-man ()
Ответ на: комментарий от sss-man

> Эм, забыл совсем. ОСЬ - FreeBSD 8.2 x86, поэтому iptables не пойдут. IPFW вроде насколько я помню не умеет со строчками работать.
Вообще-то, если мы боремся именно с интернет-радио, то это мультикастовые сервисы. Поэтому если рубить IP адреса класса D - 224.0.0.0/28( http://ru.wikipedia.org/wiki/Классовая_адресация ) то порубишь все мультикастовые сервисы, включая радио, IPTV и т. п. Уверен что ipfw умеет рубить пакеты по IP адресам. Кроме того, в таких сервисах используется протокол IGMP, хотя не уверен что если его рубить, то это решит проблему. Но простой сниффер на шлюзе ответит на этот вопрос.

Kroz ★★★★★ ()
Ответ на: комментарий от Kroz

если радио с внешки слушается, а пользователь за роутером - какой к черту мультикаст, простите? IGMP исключаем...

Pinkbyte ★★★★★ ()
Ответ на: комментарий от sss-man

>А бывает что юзер кушает в месяц до 30 гигов!!!

костыльный вариант: зашейпь весь трафик(dummynet, pipes, хз честно как это во фряхе делается), что идет не на 80/443 порт по самое небалуйся(64 килобита) - тогда радио будет работать так, что юзер взвоет

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

> какой к черту мультикаст

Уважаемый, Pinkbyte

Вы, вероятно, путаете multicast (адреса 224.0.0.0/28) с broadcast (там где вместо номера хоста стоят бинарные единички, как например 10.255.255.255). Что-то я очень сомневаюсь, что рутер разбивает мультикаст на отдельный потоки и отправляет каждому хосту индивидуально. А если за рутером 100 хостов смотрят IPTV - это ж сеть умрет сразу! Жаль я на работе и не могу проверить, но на 99% убежден, что рутер мультикаст транслирует прозрачно.

ТС предлагаю поставить сниффер на рутер на внутренни интерфейс и посмотреть какие пакетики там бегают когда кто-то слушает радио. Обращать особое внимание на пакеты c destination ip в интервале с 224.0.0.0 по 239.255.255.255

Kroz ★★★★★ ()

некоторое «радио» просто отдает mp3 и идет воспроизведение. но большинство, по моим наблюдениям, работает по 8000 порту. dump трафик и смотри, устанавливай критерии отбора.

uspen ★★★★★ ()
Ответ на: комментарий от Kroz

еще раз, обьясните мне, уважаемый, при чем здесь интернет-радио( работающее по http-протоколу) и радио, работающее через мультикаст в одном или несколько сегментах локальной сети(IGMP)? По-моему, безусловно скромному, мнению это 2 АБСОЛЮТНО разные технологии.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Kroz

>Что-то я очень сомневаюсь, что рутер разбивает мультикаст на отдельный потоки и отправляет каждому хосту индивидуально

индивидуально


ничего роутер конечно не разбивает, а насчет индивидуально - смотри
http://ru.wikipedia.org/wiki/IGMP

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

ЕЕЕ))) Холливар.

С 8000 портом - это идея. Щас попробуемс

sss-man ()
Ответ на: комментарий от sss-man

Не не катит. Походу придется все так flash-плееры рубать и сайты ручками. Например сайт all-radio.ru. Траффик с разных портов идет.

sss-man ()
Ответ на: комментарий от sss-man

а не проще сделать

iptables -A FORWARD -p tcp -s 192.168.0.X/32 -m multiport --dports 80,443,25,110,993,143,etc -j ACCEPT

policy DROP

uspen ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Pinkbyte

С вами тяжело спорить, так как вы повторяете мои слова :) По крайней мере про IGMP

Первоначально под интернет-радио я понимал именно IP мультикаст - так играют все winamp, mplayer и иже с ними. Как играют всякие плагины на WEB страницах - не задумывался. По HTTP говорите? Допускаю что так можно, но сомневаюсь что нормальные IP-радио это используют. Причина - если к такой ip-радио подключаться 100 клиентов, то от сервера будет идти 100 потоков абсолютно одинакового содержания, что абсолютно нелогично. Намного логичней - мультикаст. Прийду домой - буду проверять, сейчас пишу по памяти и могу ошибаться.

Еще раз топикстартеру: поставь сниффер на рутер на внутренни интерфейс и посмотри пакеты c destination ip в интервале с 224.0.0.0 по 239.255.255.255 в то время когда играет радио! Если на рутере накладно - поставь проигрывание радио на своем компе и мониторь трафик своего порта!

P. S. Если все же там нет мультикаста и используется HTTP - AFAIK в сквиде можно фильтровать HTTP трафик вдоль и поперек, например по Content-Type . Блин если там HTTP то опять же поставь сниффер и смотри что передается!!!

Kroz ★★★★★ ()
Ответ на: комментарий от Kroz

Нет там у топикстартера никакого мультикаста. Вы уж лучше сами сниффер запустите и посмотрите что там идет когда радио играет.

ventilator ★★★ ()

http://rejik.ru/

Не? Разбираться - час максимум, полчаса поработать на благо сообщества (без этого свежие бан-листы не получишь :-P), ещё полчаса на определение что резать, а что нет, - и всё, наступило админское щасье. Также в природе есть пара скриптов для автоматического обеспечения запрещёнными ресурсами работников ночных служб (если таковые имеются). Если интересно - пиши, поделюсь)

nbw ★★★ ()
Ответ на: комментарий от ventilator

Включил. И правда HTTP! Капец!

Ну так даже проще.

Вот что отдает этот сервер:

HTTP/1.0 200 OK
Content-Type: audio/mpeg
icy-br:64
ice-audio-info: bitrate=64
icy-description:Europaplus Saint-Peterburg 100.5 FM
icy-genre:Varios
icy-name:Europaplus Saint-Peterburg
icy-pub:0
icy-url:http://europaplus.spb.ru/
Server: Icecast 2.3.2
Cache-Control: no-cache

Значит фаервол нам не нужен, фильтруем по content-type примерно вот так:

acl mime_media rep_mime_type audio/mpeg
deny_info TCP_RESET mime_media

А вообще, sss-man, вот тебе готовое решение: http://www.imho.ws/archive/index.php?t-100629.html

Kroz ★★★★★ ()
Ответ на: комментарий от sss-man

А бывает что юзер кушает в месяц до 30 гигов!!!. Трудно определить необходимый обьем трафика. 3). Руководство - ну как говорится бывших офицеров не бывает, из разряда путаю клавиатуру и мышу. С ними обговаривать вариант выделения лимита просто бестолку (!!! НО сижу и рубаю все развлекухи по их же требованию !!!). Там при слове «траффик» - необходимо принести кучу бумаг что же это все таки такое и зачем оно нужно, и после этого будет совещание стоит оно того или нет. НО блин требуют же, вынь да полож!!!

Не страдай фигней. Ибо все не закроешь или же наоборот, закроешь нужное - будут закономерные вопли. Мониторишь сайты-развлекаловки, просмотр видео (чем радио то провинилось? 30 гигов оно не накачает) и т.д. И пишешь письмо руководству, что тот-то и тот-то использует служебную оргтехнику в личных развлекательных целях в рабочее время, а именно сидит целый день на сайте супер-онлайн-игра.ру. Я еще отправляю подобное письмо самому сотруднику и сообщаю, что интернет отключается и будет включен только по согласованию с руководством. Чего как правило уже не происходит или происходит через месяц-другой. Данный способ прекрасно работает в большом холдинге, в бане только вконтакт по прямым адресам, но народ уже через пару месяцев никуда не ходит, в т.ч. через анонимайзеры. Ибо сечется :)

Davyd ★★ ()
Ответ на: комментарий от Kroz

>сомневаюсь что нормальные IP-радио это используют

прикинь, используют. Причем - повсеместно. Мультикаст нужен только в локалках для снижения объема трафика. А заморачиваться маршрутизацией мультикаст-трафика или городить туннели для его пропускания практически не имеет смысла.

P.S. Я сейчас говорю о чисто HTTP-радио. Если используются различные плагины и плееры на страницах, то там во внутренностях может быть: как правило - тот же мультикаст.

P. S. Если все же там нет мультикаста и используется HTTP


бинго, Интернет-радио практически все так и работают. Подключение к мультикаст-группе - дико не распространенный метод(хотя возможный, взять тот же MBONE, да и в IPv6-сетях этот метод еще сыграет нужную роль).

AFAIK в сквиде можно фильтровать HTTP трафик вдоль и поперек, например по Content-Type . Блин если там HTTP то опять же поставь сниффер и смотри что передается!!!


а вот тут вы абсолютно правы

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.