SS7 blog

Горна Диканя hi-tech

Най лесния начин за озаптяването на p2p трафика е маркирането на всички tcp пакети със src port > 1024 и dst port > 1024. Аз лично маркирам за dst port > 8500 , защото на 1000-10 000 port има и полезни приложения .

Това става така :

/ ip firewall mangle
add chain=prerouting protocol=tcp src-port=1025-65535 dst-port=1025-65535 src-address-list=joro action=mark-packet \
new-packet-mark=high_port_out passthrough=yes comment=”” disabled=no
add chain=prerouting protocol=tcp src-port=1025-65535 dst-port=1025-65535 dst-address-list=joro action=mark-packet \
new-packet-mark=high_port_in passthrough=yes comment=”” disabled=no
add chain=prerouting protocol=udp action=mark-packet new-packet-mark=udp passthrough=yes comment=”” disabled=no

Целия трафик от и към портове > 1025 е маркиран със high_port .

Остава да го ошейпим :)

/ queue simple

add name=”kr_high” dst-address=0.0.0.0/0 interface=vk2center-5g parent=none \
packet-marks=high_port_out,high_port_in direction=both priority=8 queue=default-small/default-small limit-at=0/0 \
max-limit=8000000/4000000 total-queue=default-small disabled=no

Готово, голяма част от p2p трафика е овладян. Разни хитреци могат да заобиколят това ограничение, но за това по-нататък :)

arenabg.com и

3 comments

гоненето на тоя що клати гората.

Тия дни във форума на arenabg.com имаше една тенденциозна и преднамерена тема (нещо се мъти, ама още не знам какво). Та темата е за маркирането и шейпенето на p2p трафика.

Имаше 1-2 смислени поста, обаче пълчищата торентаджии изобщо не вденаха за какво иде реч. Та с две думи:

Основната цел на всеки доставчик е клиентите му да са щастливи. Това е трудно постижимо, и ако за това се налага p2p трафика да бъде ошейпен, то той ще бъде и разни писаници по форуми изобщо няма да помогнат, а напротив – най-много да влошат нещата. Т.нар. “торентаджии” са около 10% от всички потребители на интернет, а правят 90% от download-a и почти 100% от уплоада. Точно в момента в който тези 10% почнат да пречат на щастието на останалите 90% , p2p трафика ще бъде (и е ) маркиран и ошейпен с най-нисък приоритет. И никакво криптиране няма да помогне.

Никой доставчик, ама никой няма да осигури на цената на домашен абонамент гарантирани скорости. Ако някой клиент има претенции – да си купи гарантиран капацитет и тогава (и само тогава) да хленчи, че видиш ли някой незаконно му манипулира трафика.

Дано не се налага “торентаджиите” да разберат тази проста истина по трудния (и болезнен за тях начин). Битката с доставчиците е обречена на провал. СЛед филмовата и музикална индустрия, следващите, които ненавиждат p2p са доставчиците. И само чакат удобен случай да ударят балтията на p2p. Което ще е жалко, защото и аз отвреме на време дъпвам някой филм.

Явно от екипа на arenabg.com са поумнели малко, защото вече темата не се афишира :)

Ето и крайния вариант за защитата – 2 двойни розетки със разрядници и диференциална защита, запоена върху разрядниците :

dsc00633.JPGdsc00632.JPG

Разрядниците са 2x220V (продават ги в Арго-контар) , диодния мост – 2W10M, а transil диода – 1.5KE6V8CA

TrueCrypt

1 comment

Във връзка с всеизвестната напоследък наредба за записване и това онова в интернет, пък и не се знае кога тия с многото качулки и малкото мозък ще почукат (влязат с вратата) я вкъщи , я в офиса (дето още не е готов) , реших да използвам TrueCrypt .

Направих си един локален файл на лаптопа( който truecrypt форматира и mount-ва като локално устройство) и един 100G файл на настолния компютър. Сега имам две криптирани устройства (локално на лаптопа и мрежово на настолния) , където съм бутнал всички недотам легални нещица – филми, музика и т.н.)

Има леко забавяне (особено при мрежовото устройство) , но не е болка за умиране. А предимствата са големи. Поне не могат лесно да ми спретнат обвинение за разпространяване на порно или нещо подобно. Не, че не могат да си го изсмучат от пръстите, ама поне няма да ги улеснявам .

Настроил съм truecrypt-a автоматично да dismount-ва устройствата при затваряне на лаптопа. Все ще успея да бутна екрана, ако недай си боже се наложи някога.

Защита за common mode пренапрежения (към земя) – Разрядници 2x220V директно запоени за двойна розетка.

dsc00629.JPG

Диференциалната защита ще бъде на самите комутатори, или пък върху розетката. Като пристигнат грецовете, ще му мисля.

Диференциалната защита май ще се опрости до максимум. В България вече се намира SAC5.0 -transil диод с нисък капацитет (<50 pF) .

Котката ми обича да спи в чанти – най различни – в случая в найлонова :

dsc00609.jpg

Тук разучава картата на Дупница :

dsc00626.jpg

И малка дрямка на спокойствие:

dsc00605.jpg

Това е оная същата – котката на Шрьодингер – дето една вечер изникна от нищото, чакайки ме пред вратата. И се нанесе все едно винаги си е живяла в къщата.

Тъй като съм циция :) , и пари за глупости не давам, ние не използваме импулсни захранвания за всеки комутатор. Захранването на всички комутатори който съм отварял е импулсно с MC34063 – това е импулсен преобразувател с максимално вх. напрежение 40V . Обаче за икономия в комутаторите са сложени 25V филтриращи кондензатори, т.е. комутатора може да работи максимум до 25V право напрежение (18V променливо – TP-LINK имат изправител на самия комутатор) .

Обаче на 25V захранване може да се пуснат 3-4 комутатора – спада на напрежение в края на кабела е голям и последния комутатор не може да тръгне, т.е. той тръгва, но при токови удари забиват.

Затова ние махаме 25 волтовите кондензатори и слагаме един 470 микроF 50V на тяхно място. Захранваме със 24V променливо – което изправено идва 36-37 V

switch-40v-power.jpg

На теория могат да се захранят около 10-на комутатора с 2 A захранване ( 50W) . Ние повече от 5 нямаме, но тези дни ще сложим още .

Недостатък на метода е, че всички комутатори се пускат едновременно и големия пусков ток пречи за захранването на много switch-ове. Това може да се избегне, като се захранва с постоянно напрежение (не повече от 38V) и се сложи малък филтриращ кондензатор (на комутатора) – от порядъка на 100 mикроF.

1984

1 comment

Ех, войната с тероризма се закучи, затова от народа се иска да жертва “още малко” от личната си свобода.

Другари, Министерството на истината , с единствената цел – да се пребори с тероризма, трябва да знае кога и с кого комуникирате през интернет. Министерството (ака МВР) ще знае кога и кого сте набрали по телефона , къде се намирате всеки момент (ако ползвате GSM) , на кого и кога пращате e-mail, колко любовници имате , кога сте си включили компютъра , евентуално кои порно сайтове гледате, и ооо -да – кога ползвате p2p програми да точите незаконно филми и музика. За целта Министерството на истината (ака МВР) си е спретнало наредба.

Другари, да помогнем в борбата с тероризма (държавния тероризъм над собствените граждани) , като се подпишем под това отворено писмо.

Моя личен принос в борбата е следния :

1. Никога вече, ама НИКОГА не ползвайте базирана в България web поща. Собствениците им ще дават информация на Министерството кога и до кого сте изпращали писма.

2. Направете си поща в google.com и задължително влизайте в нея през httpS !!! . https криптира трафика и не могат да ви гепят username и паролата , съответно да гледат какви ги вършите. Ще може да пишете на любовниците си без проблеми. https май е по-подразбиране в Gmail.

3. Ползвайте си skype на воля. Засега не се знае някой да е прихванал негов трафик. Но имайте едно наум, това, че не се знае, не означава, че не може, нито, че не се е случвало.

4. Не използвайте ICQ , IRC и всякакви други приложения без криптиране.

5. Дори да ползвате Gmail, не забравяйте, че ще имат информация за вас, ако например пишете до човек с поща в abv.bg, mail.bg и т.н. Най -добре изобщо не пишете на хора с поща на български сървъри.

Ще гледам занапред пак да съм полезен с идеи и предложения , с единствената цел, да помогна на Министерството в борбата с тероризма :)

Спор няма – най доброто място за комутатора е на входа на блока, а кабелите до абонатите да минават през тръбите на блоковата слаботокова (звънчева и телефонна) инсталация.

В половината от блоковете точно там са ни комутаторите, засега в пластмасови кутии. Започваме да ги заменяме поетапно със метални, големи (30х40 см) кутии. С планове да има място за оптичен конвертор, сплайс касета и голям комутатор, щото до няколко месеца трябва междублоковата връзка да мине на оптика. В момента е на vdsl и LAN.

Обаче в чудо се виждам с другата половина, където комутаторите са в асансьорните шахти (под покрива) . Поради доста причини не можем да ги сложим на входа . Примирил съм се вече, че ще си останат там, но пак в големи метални кутии. Поне в асансьорните шахти проблема със захранването не е чак толкова голям :) . Пък и има къде да се занулят защитите.
Някой да знае евтини метални кутии ? Че засега съм намерил по 40-50 лв, а ми е скъпичко.

Ако пренасяте стабилен трафик и имате доста интерфейси на микротика , много, ама мноого внимавайте да няма дублирани прекъсвания. Щото става ето това :

bl-82-et-2_last_10800.png

Най различни и произволни загуби , колкото повече трафик, толкова повече и загуби.

Утрепа ми 2 дни за да го открия мамицата му.