BFW Firewall & Router

[gamba47]

Mirando un poco noto que las conexiones UDP no estan siendo controladas, me fijo en el concheck del ArgentoQoS y tengo tres usuarios (justo los que usan torrents y p2p a morir) que tienen las conexiones UDP por arriba de las 250, se que este valor es algo mentiroso, porque mantiene conexiones que ya han sido cerradas y las establecidas, pero tira alguna idea para ver como estamos.

Lo que noto es que los pings se hacen mucho mas bajos cuando cierro por lo menos la conexion del torrent/ares/eMule de uno de los dos usuarios, asi que el problema esta por ahi.

Yo controlo el conlimit de la siguiente manera:

En ArgentoQoS ==> Editar Conlimit:

Código: Selecionar todos

### Aplicando Conlimit a los Clientes Cableados
conlimit_class_ip 101 192.168.0.101/24 20 50
conlimit_class_ip 102 192.168.0.102/24 20 50 unknow_yes
conlimit_class_ip 103 192.168.0.103/24 20 50 unknow_yes
conlimit_class_ip 104 192.168.0.104/24 20 50 unknow_yes
conlimit_class_ip 105 192.168.0.105/24 20 50
conlimit_class_ip 106 192.168.0.106/24 20 30
conlimit_class_ip 107 192.168.0.107/24 20 50 unknow_yes
conlimit_class_ip 108 192.168.0.108/24 14 30 unknow_yes
conlimit_class_ip 109 192.168.0.109/24 20 50 unknow_yes
conlimit_class_ip 110 192.168.0.110/24 20 50 unknow_yes
conlimit_class_ip 111 192.168.0.111/24 20 50 unknow_yes
conlimit_class_ip 112 192.168.0.112/24 20 50 unknow_yes
conlimit_class_ip 113 192.168.0.113/24 20 50 unknow_yes

### Aplicando Conlimit a los Clientes Wireless
conlimit_class_ip 201 192.168.0.201/24 20 50 unknow_yes
conlimit_class_ip 202 192.168.0.202/24 20 50 unknow_yes
conlimit_class_ip 203 192.168.0.203/24 20 50 unknow_yes
conlimit_class_ip 204 192.168.0.204/24 20 50 unknow_yes
conlimit_class_ip 205 192.168.0.205/24 20 50 unknow_yes
conlimit_class_ip 206 192.168.0.206/24 20 50 unknow_yes
conlimit_class_ip 207 192.168.0.207/24 20 50 unknow_yes
conlimit_class_ip 208 192.168.0.208/24 20 50 unknow_yes
conlimit_class_ip 209 192.168.0.209/24 20 50 unknow_yes
conlimit_class_ip 210 192.168.0.210/24 20 50 unknow_yes

### Limitando conexiones UDP
## Clientes Cableados
ramdomlimit_class_ip 101 udp 192.168.0.101/24 50 10 unknow_yes
ramdomlimit_class_ip 102 udp 192.168.0.102/24 50 10 unknow_yes
ramdomlimit_class_ip 103 udp 192.168.0.103/24 50 10 unknow_yes
ramdomlimit_class_ip 104 udp 192.168.0.104/24 50 10 unknow_yes
ramdomlimit_class_ip 105 udp 192.168.0.105/24 50 10 unknow_yes
ramdomlimit_class_ip 106 udp 192.168.0.106/24 30 10 unknow_yes
ramdomlimit_class_ip 107 udp 192.168.0.107/24 50 10 unknow_yes
ramdomlimit_class_ip 108 udp 192.168.0.108/24 20 10 unknow_yes
ramdomlimit_class_ip 109 udp 192.168.0.109/24 50 10 unknow_yes
ramdomlimit_class_ip 110 udp 192.168.0.110/24 50 10 unknow_yes
ramdomlimit_class_ip 111 udp 192.168.0.111/24 50 10 unknow_yes
ramdomlimit_class_ip 112 udp 192.168.0.112/24 50 10 unknow_yes
ramdomlimit_class_ip 113 udp 192.168.0.113/24 50 10 unknow_yes
ramdomlimit_class_ip 114 udp 192.168.0.114/24 50 10 unknow_yes
ramdomlimit_class_ip 115 udp 192.168.0.115/24 50 10 unknow_yes

## Clientes Wireless
ramdomlimit_class_ip 201 udp 192.168.0.201/24 50 10 unknow_yes
ramdomlimit_class_ip 202 udp 192.168.0.202/24 50 10 unknow_yes
ramdomlimit_class_ip 203 udp 192.168.0.203/24 50 10 unknow_yes
ramdomlimit_class_ip 204 udp 192.168.0.204/24 50 10 unknow_yes
ramdomlimit_class_ip 205 udp 192.168.0.205/24 50 10 unknow_yes
ramdomlimit_class_ip 206 udp 192.168.0.206/24 50 10 unknow_yes
ramdomlimit_class_ip 207 udp 192.168.0.207/24 50 10 unknow_yes
ramdomlimit_class_ip 208 udp 192.168.0.208/24 50 10 unknow_yes
ramdomlimit_class_ip 209 udp 192.168.0.209/24 50 10 unknow_yes
ramdomlimit_class_ip 210 udp 192.168.0.210/24 50 10 unknow_yes

#ramdomlimit_class_ip 777 udp 192.168.0.0/24 100 10 unknow_yes g


En ArgentoQoS no hago nada.

Los clientes que molestan son 3:
192.168.0.101
192.168.0.105
162.168.0.108

Que me estoy olvidando?


Saludos para todos. gamba47

[nachazo]

fijate la tabla mangle a ver cuanto machean las reglas de ramdomlimit...

y si no aumenta el ramdom limit a 90 y fijate que pasa.

saludos.

[gamba47]

Me estoy fijando en el ArgentoQoS, tabla mangle y no aparece ninguna regla llamada randomlimit, no debe estar funcionando.

Código: Selecionar todos

ramdomlimit_class_ip 210 udp 192.168.0.210/24 50 10 unknow_yes

Que quieren decir el 50 y el 10 en la regla???


Saludos. gamba47

[gamba47]

Nacho, lo mas parecido que encontre es esto:

[nachazo]

sacale a las reglas el /24

el 50 es el 50 porciento de coneciones dropeadas el 10 se aplica al qos nocturno, o sea que el 10 porciento...

saludos.

[juancho]

unknow_yes para que sirve?..yo solo limito las tcp..no sabia que podia hacer eso con la udp

[nachazo]

unknow_yes limita tambien el trafico que es desconocido.

Saludos.

[cemaraya]

Yo no se que pasará,

pero cada vez que intento realizar un...

conlimit_class_ip 102 192.168.0.102 30

más ...

simple_ramdomlimit_ip udp 192.168.0.102 60 unknow_yes

en el ArgentoQoS, el sistema se pone leeeeeeennnttooooo....
Se bloquean las radios en linea, la navegacion se pone tediosamente lenta, etc etc etc

Ni bien lo saco, todo comienza a funcionar correctamente.

Salutes

[niraseco]

Cemaraya, realmente para mi todavia esta un poco confuso el uso correcto del conlimit y el random limit en la version de argentoqos beta8. Mira yo utilizo estas sentencias, y hasta donde he sentido la cosa camina bien, pero no miro ke exista dropeo. Te posteo la forma como las utilizo yo, por si sirve de algo, y asi ademas, entre todos aprendemos mas

Código: Selecionar todos

ramdomlimit_class_ip 48 udp 192.168.0.4 60 10 unknow_yes
ramdomlimit_class_ip 49 udp 192.168.0.2 60 10 unknow_yes
ramdomlimit_class_ip 50 udp 192.168.0.194 60 10 unknow_yes
ramdomlimit_class_ip 51 udp 192.168.0.168 60 10 unknow_yes
ramdomlimit_class_ip 52 udp 192.168.0.121 60 10 unknow_yes
ramdomlimit_class_ip 54 udp 192.168.0.251 60 10 unknow_yes
ramdomlimit_class_ip 55 udp 192.168.0.220 60 10 unknow_yes
ramdomlimit_class_ip 56 udp 192.168.0.16 60 10 unknow_yes
ramdomlimit_class_ip 57 udp 192.168.0.18 60 10 unknow_yes
ramdomlimit_class_ip 58 udp 192.168.0.96 60 10 unknow_yes
ramdomlimit_class_ip 59 udp 192.168.0.143 60 10 unknow_yes
ramdomlimit_class_ip 60 udp 192.168.0.148 60 10 unknow_yes
ramdomlimit_class_ip 61 udp 192.168.0.50 60 10 unknow_yes
ramdomlimit_class_ip 62 udp 192.168.0.51 60 10 unknow_yes
ramdomlimit_class_ip 63 udp 192.168.0.170 60 10 unknow_yes
ramdomlimit_class_ip 64 udp 192.168.0.71 70 10 unknow_yes
ramdomlimit_class_ip 65 udp 192.168.0.155 60 10 unknow_yes
ramdomlimit_class_ip 66 udp 192.168.0.22 60 10 unknow_yes
ramdomlimit_class_ip 67 udp 192.168.0.194 60 10 unknow_yes
ramdomlimit_class_ip 68 udp 192.168.0.150 70 10 unknow_yes
ramdomlimit_class_ip 69 udp 192.168.0.246 70 10 unknow_yes


ramdomlimit_class_ip 48 tcp 192.168.0.4 60 10 unknow_yes
ramdomlimit_class_ip 49 tcp 192.168.0.2 60 10 unknow_yes
ramdomlimit_class_ip 50 tcp 192.168.0.194 60 10 unknow_yes
ramdomlimit_class_ip 51 tcp 192.168.0.168 60 10 unknow_yes
ramdomlimit_class_ip 52 tcp 192.168.0.121 60 10 unknow_yes
ramdomlimit_class_ip 54 tcp 192.168.0.251 60 10 unknow_yes
ramdomlimit_class_ip 55 tcp 192.168.0.220 60 10 unknow_yes
ramdomlimit_class_ip 56 tcp 192.168.0.16 60 10 unknow_yes
ramdomlimit_class_ip 57 tcp 192.168.0.18 60 10 unknow_yes
ramdomlimit_class_ip 58 tcp 192.168.0.96 60 10 unknow_yes
ramdomlimit_class_ip 59 tcp 192.168.0.143 60 10 unknow_yes
ramdomlimit_class_ip 60 tcp 192.168.0.148 60 10 unknow_yes
ramdomlimit_class_ip 61 tcp 192.168.0.50 60 10 unknow_yes
ramdomlimit_class_ip 62 tcp 192.168.0.51 60 10 unknow_yes
ramdomlimit_class_ip 63 tcp 192.168.0.170 60 10 unknow_yes
ramdomlimit_class_ip 64 tcp 192.168.0.71 70 10 unknow_yes
ramdomlimit_class_ip 65 tcp 192.168.0.155 60 10 unknow_yes
ramdomlimit_class_ip 66 tcp 192.168.0.22 60 10 unknow_yes
ramdomlimit_class_ip 67 tcp 192.168.0.194 60 10 unknow_yes
ramdomlimit_class_ip 68 tcp 192.168.0.150 70 10 unknow_yes
ramdomlimit_class_ip 69 tcp 192.168.0.246 70 10 unknow_yes


Utilizar conlimit para mi en conjuncion de randonlimit para mi todavia es un misterio. POrque random te controla en udp y tcp.... y entonces .... conlimit..... cual es la funcion?


Saludos

[nachazo]

alguien mira las tablas mangle?

[cemaraya]

Nachazo.
Te cuento que, "yo creía" que el ARES a mi no me molestaba...
Es más, creia que ningun usuario lo podia usar o conectar, y no entendia cómo otros administradores BFW no lograban trabarlo con un simple:
block_l7 ares
Peeeero...
Conecté este cliente "Ares 2.0.9.3030" y si bien me miente, diciendome que "No esta conectado", el Sr baja a mas de 15 KBps...

Varios temas:
a) - En la tabla mangle de ArgentoBr, en donde esta trabado x protocolo L7 Ares, dice que:

Código: Selecionar todos

7500 324K LOG all  --  *   *  0.0.0.0/0  0.0.0.0/0 LAYER7 l7proto ares LOG flags 0 level 6 prefix `EBFW'
7500 324K DROP all  --  *   *  0.0.0.0/0  0.0.0.0/0 LAYER7 l7proto ares

Por lo que entiendo, esta Dropeando todo intento...

Pero, ¿por qué estoy bajando a 10/15 k, si dice que no está conectado, si fue cancelado todo, reiniciado la PC a proposito y demases?

b) - En Argento Qos, tambien lo mandé a bloquear en /argentoqos/class mediante
block_l7 ares

Código: Selecionar todos

    0     0 MARK       all  --  *      *       192.168.21.0/24      0.0.0.0/0           LAYER7 l7proto ares MARK set 0xcd
    0     0 MARK       all  --  *      *       0.0.0.0/0            192.168.21.0/24     LAYER7 l7proto ares MARK set 0xcd

y mas abajo en la misma tabla...

Código: Selecionar todos

    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto ares

c) - Ahora, se me ocurre la idea de "cazar" al usuario que esté usando Ares bajando o subiendo, y me dirijo a la tabla que arroja /argentoqos/concheck
Veamos:

Código: Selecionar todos

192.168.21.226 ..tcp ASSURED:11  TIME_WAIT:11  UNREPLIED:0  udp 13  Bittorrent 0  Ares 0  Edonkey 0  Fasttrack 0

Ares CERO!
O mejor diría... "Ares 20 - Administrador frustrado 0", al mejor estilo futbolistico.
Me esta ganando por goleada.

En ArgentoQos, los porcentajes de ceil los baje, de acuerdo a lo que dicen mas arriba, si bien no me lo traba totalmente, me sle esto muy seguido en el navegador, y es muy molesto para mi y ni hablar para los usuarios, que, felices, no estan...

Código: Selecionar todos

Mientras se intentaba traer el URL: http://www.brazilfw.com.br/forum/portal.php

Ha ocurrido el siguiente problema:

    * Error de lectura

El sistema ha devuelto el siguiente mensaje:

    (104) Connection reset by peer

Ha ocurrido algún problema mientras se leían datos de la red. Por favor, inténtelo de nuevo.

[nachazo]

vuelvo a repetir.... el pattern de ares solo identifica busquedas... (si solo lo que dice search en ares, o sea no podes encontrar material)...

pero no identifica trafico... si tu cliente ares esta descargando por mas que se lo bloquees con el pattern de l7... el ares sigue descargando y en el concheck te pone 0 ya que el usuario no esta realizando busquedas...

Por mas que resettes brazil... el ares va a seguir descargando...

Saludos.

[cemaraya]

Ahora, ¿no hay manera de Sniffear la red para ver que se este descargando con Ares ?
Yo aviso que el Ares me baja sin trabarse, porque confieso que lo destrabé en alguna oportunidad para lograr las busquedas...
Ahora, es cierto que no logro conectarme mas, ni realizar búsquedas en momento alguno.
O sea que la idea seria NO destrabar ARES NUNCA, a fin que la bajada no pueda concretarse, por falta de busquedas...
Bien...
Salutes

[nachazo]

y si lo mas facil wires shark... lo conectas a un hub y listo.....

Voy a ver porque me habia dicho digimat en una oportunidad sobre un soft que trabaja con ncurses (como el iptraf) que te permite cancelar conecciones en vivo....

Saludos.

[digimat]

esta es la direccion Nachazo si pudieras combinarlo
http://www.ipadd.de/binary.html

Info ] [ Manual ] [ cutter ] v1.03 Cut TCP/IP connections.

Info ] [ Manual ] [ iperf ] v2.0.2 Modern tool for measuring TCP and UDP bandwidth performance. Este es interesante puede comprar el ancho de banda que le das a un cliente o verificar cuanto de velocidad puede enviar un AP.

Info ] [ Manual ] [ natdet ] v1.06 NAT detection tool. Con este podemos saber si algun se pone un rouiter o intenta compartir nuestra linea.

[traian]

Pero realmente "conlimit_class_ip 10.0.0.44/24 49 50 10 unknow_yes" funciona ??? Porque yo lo he probado y me devuelve "/argentoqos/class: /argentoqos/class: 892: conlimit_class_ip: not found". Alguien ha comprobado que esto se cargue correctamente???.
También he probado "ramdomlimit_class_ip 49 udp 10.0.0.44/24 50 10 unknow_yes" y no me da ningun mensaje de error, pero tampoco dice que lo cargue bien, simplemente no dice nada. Imagino que tendré que comprobarlo directamente si se ejecuta. Alguien lo ha comprobado?

[cemaraya]

Traian
Fijete que en la tabla mangle, te tira casi al final algo como: "random al 50%

Salutes

[traian]

Perdona, pero la tabla mangle es lo que se muestra cuando pulsas sobre "start qos" verdad??

[cemaraya]

Primero:
Menu: Argento Qos
Item: Editar Conlimit
Agregamos lo que sea o deseemos, en este caso estoy poniendo la IP de mi PC en mi casa.

Código: Selecionar todos

ramdomlimit_class_ip 226 tcp 192.168.21.226 50 unknow_yes

Luego...

Menu: Argento Qos
Item: Ver tabla mangle
Al final de lo que te muestra, están los RANDOM, en este caso los de maquina.

Código: Selecionar todos

0  0 DROP tcp  --  *  *  192.168.21.226  0.0.0.0/0  MARK match 0x8d9 tcp flags:0x16/0x02  random 50%