Pull to refresh

Comments 16

Это вся заметка. А что можно написать в продолжении? :)
Использование модуля максимально простое:
iptables -A FORWARD -m opendpi --protocol -j DROP
Подставить --protocol из списка iptables -m opendpi --help и все.
наверное это я и хотел увидеть, в развернутом варианте, с картинками и графиками )
Поддерживаю. Интересно пока без установок и проб/ошибок посмотреть на список определяемых типов. В идеале, способы определения.
А вообще, спасибо за статью!
Добавил заявленный список поддерживаемых протоколов.
они давно должны были появиться, просто сейчас вышли на поверхность (к сожалению)
Вы бы исходники посмотрели. Если я именно этот пакет смотрел, то он отлавливал только те трекеры, что работали по http порту и протоколу.
Это именно тот пакет, который вы смотрели. С огромным интересом я бросился смотреть, в надежде на появление стоящей вещи. Моему разочарованию не было предела, когда я увидел исходники. Всё ну очень просто.

Справедливости ради, хочу сказать, что они обещают в коммерческой версии блокировать скайп. Но при взгляде на открытую часть, меня гложат смутные сомнения.
Замечу, что этот проект является open source коммерческого проекта ipoque (http://www.ipoque.com)
Ставим правильно l7-filter в юзерспейс и не боимся уронить ядро на высоких нагрузках:

$ sudo apt-get install l7-filter-userspace l7-protocols
$ sudo 7-filter -f /etc/l7-filter.conf -q 2
$ sudo iptables -t mangle -A PREROUTING -j NFQUEUE --queue-num 2
$ sudo iptables -t mangle -A OUTPUT -j NFQUEUE --queue-num 2 


Profit
Дело в том, что беготня сетевых пакетов из ядра в юзерспейс будет давать много излишней нагрузки на систему.
А также трафик будет обрабатываться с немного большими задержками.
для анализа трафика есть очень хорошая тулза с примечательным именем cnupm
pdp-11.org.ru/~form/cnupm/
ну и прямыми руками конечно парсить данные на выходе
Sign up to leave a comment.

Articles