Re: [FUG-BR] controle de banda com controle de conexao simultaneas
2009/8/27 Nilton Jose Rizzo > > > Bom, em primeiro lugar agradeço a todos que responderam, e em segundo > mais duvidas > > Como se faz então para gerenciar esse tipo de coisa? ou não faz! > > Se não faz como calcular ou dimnensionar uma máquina para usar > wireless para conectar uns 40 clientes. > > hoje tenho uma boa máquina rodando com esses 40 usuários, porém > quando uns 25% (10) resolvem fazer download de p2p ele senta bonito > > O que fazer ? > > Nas duas pontas são freebsd 7.2 com drive wireless da placa ra0 > -- > Nilton José Rizzo > 805 Informatica > Disseminando tecnologias > 021 2413 9786 > > Boa tarde. Nilton, talvez o melhor a se fazer nesse cenário é utilizar o snort_inline para detectar tráficos p2p e injetá-los em uma regra especifica, assim você pode impor restrições (bandwidth e limit) somente para esse tipo de tráfico. Acredito que nesse momento seja a forma mais prática e eficaz, já o tráfico normal você deixa fluir normalmente. Faça alguns teste e veja como seu servidor vai se comportar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
Bom, em primeiro lugar agradeço a todos que responderam, e em segundo mais duvidas Como se faz então para gerenciar esse tipo de coisa? ou não faz! Se não faz como calcular ou dimnensionar uma máquina para usar wireless para conectar uns 40 clientes. hoje tenho uma boa máquina rodando com esses 40 usuários, porém quando uns 25% (10) resolvem fazer download de p2p ele senta bonito O que fazer ? Nas duas pontas são freebsd 7.2 com drive wireless da placa ra0 -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
2009/8/27 Nilton Jose Rizzo : >> Cada destino na internet só poderá ter 20 conexões simultaneas, é isso? > > Não não .. seria 30 conexões por IP internet (usuário) Então boa sorte. Acho que você vai ter problemas, conforme o Trober e o Renato disseram. -- Marcelo Rossi "This e-mail is provided "AS IS" with no warranties, and confers no rights." - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
On Thu, 27 Aug 2009 08:33:38 -0300, Marcelo/Porks wrote > 2009/8/27 Trober : > > Olá Nilton. > > > > Respostas in-line. > > > >> Discordo de sua opnião em gênero número e grau, vamos lá: > > Pelo que entendi ele vai limitar as conexões pelo servidor destino e > não pelo usuário da LAN. > > Cada destino na internet só poderá ter 20 conexões simultaneas, é isso? Não não .. seria 30 conexões por IP internet (usuário) > > -- > Marcelo Rossi > "This e-mail is provided "AS IS" with no warranties, and confers no rights." > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
2009/8/27 Trober : > Olá Nilton. > > Respostas in-line. > >> Discordo de sua opnião em gênero número e grau, vamos lá: Pelo que entendi ele vai limitar as conexões pelo servidor destino e não pelo usuário da LAN. Cada destino na internet só poderá ter 20 conexões simultaneas, é isso? -- Marcelo Rossi "This e-mail is provided "AS IS" with no warranties, and confers no rights." - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
Olá Nilton. Respostas in-line. > Discordo de sua opnião em gênero número e grau, vamos lá: > > 2009/8/26 Trober > >> >> Olá Nilton! >> >> Vamos por tópicos :) >> >> ### >> a) Limitação de 30 conexões é suicídio[1]. Alguns sites de blogueiros >> mercenários tem mais de 90 banners, fora imagens com vinculação externa. >> Jogando baixo (baixo mesmo), neste caso, são mais de 110 conexões. > > > 20 me parece um excelente valor para usuários normais, visto que vários > ISPs como BrasilTelecom limitam algumas ADSLs em 40 ou 50. Por testes que já fiz, afirmo que a limitação de conexões simultâneas em ADSL residenciais da Brasil Telecom, em algumas cidades do PR, RS e SC, não ocorre antes de 220 conexões simultâneas. Talvez, para algumas pessoas que possuem modens de baixa qualidade, o "throughput" gerado por 30/40/50 conexões simultâneas, já é suficente para fazer o equipamento "atirar a toalha". > E quanto a browsers, o mais faminto por conexões que conheço é o > Opera, e este vem por padrão configurado para no máximo 8 conexões > simultâneas para um mesmo servidor e 20 totais, logo esse site do > blogueiro consumiria no máximo as 20 conexões do opera. > > Em momento algum me referi à conexões para o mesmo servidor. Os objetos "embedded", banners, em sites de blogueiros mercenários[1], estão hospedados no locais de destino (outros hosts), sendo para cada um uma nova conexão. Logo, 90 banners são, na pior das hipóteses, 90 conexões distintas. Para piorar a situação, mesmo que de forma não intencional, existe a quebra do item 8.1.4 do RFC2616[2], na maioria dos sites com Ajax, que disparam chamadas de webservices (clientside) para outros servidores. >> >> ### >> b) Se for para aplicar limite de conexões, trate com maior valor os >> serviços DNS, HTTP, HTTPS e NTP, deixando menor valor para o resto, >> diferente dos serviços referidos. > > > DNS é UDP portanto não consome conexão, visto o UDP > ser um protocolo em que não existem conexões, são apenas > pacotes "soltos" que formam um stream de dados. Já NTP nem > vale a pena citar né? Fala sério... o cara atualiza o horário dele > 1 vez por segundo para se poder levar em conta que vai consumir > uma das conexões totais? Se ele checkar mais do que uma vez > por dia, ele é paranóico ou o cristal de quartzo está diminuindo a > frequência oscilatória conforme a proximidade do fim do mundo em 2012. > Julgo ser saudável manter dispositivos computacionais com a hora correta[3] :) > >> >> Considerando pela média dominante, vou supor que os usuários usam >> Internet >> Explorer 8. Este navegador, na configuração padrão, abre cinco conexões >> mínimas, sendo elas: > > > Que mal lhe pergunte, como chegaste a essa conclusão? Eu não sou usuário > de windows, mas o que tenho visto por aí nas casas de amigos, namorada, > parentes, etc., estão todos no velho IE6 ainda. Na empresa onde trabalho > também, cerca de 98% dos PCs tem IE6 e Firefox, sendo que boa parte dos > usuários já evoluiu um pouquinho e estão usando Firefox. > Com a vastidão e a diversidade do nosso planeta, não é de duvidar que há remanescentes[4] com IE7 e até IE6. A realidade que me circunda, seja na forma de familiares, amigos e colegas de aula, é de IE8 e FF 3.5.2. >> >> DNS Resolver do HTTP Request >> HTTP Request (GET) >> DNS Resolver do SmartScreen >> HTTP Request (POST) do SmartScreen >> HTTP Request FavIcon (GET) >> Soma esse subtotal a todo o resto que o site devolver no "response". > > > Como já dito, DNS não conta, tira tudo que é UDP da lista, e mesmo assim > vamos continuar com o exemplo hipotético de um usuário qualquer usando > IE8. Numa simples googlada, se descobre que por padrão para banda larga > o IE8 vem configurado para apenas apenas 6 conexões simultâneas AO TODO, > o que já quebra todo o resto da ideia. [1], [2], [3] e [4] > As suas quatro referências não são aplicáveis neste caso, pois consideram conexões somente com um mesmo servidor. O problema com banner de blog permanece (galerias de "pr0ns" idem). > >> >> >> Nem vou considerar os "Accelerators". E antes que alguém pense que estou >> empalando o IE8, outro famoso navegador tem coisas semelhantes, mas com >> outros nomes, tipo "IssoFox", "AquiloFox", "FoxFulano" e derivados. >> >> c) O parágrafo[2] abaixo dará uma luz no que precisa :) >> >> To limit the number of connections a user can open you can use the >> following type of rules: >> >> ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 >> ipfw add allow tcp from any to me setup limit src-addr 4 >> >> The former (assuming it runs on a gateway) will allow each host on a /24 >> network to open at most 10 TCP connections. >> The latter can be placed on a server to make sure that a single client >> does not use more than 4 simultaneous connections. > > > O parágrafo é bem claro quando fala que o exemplo limita cada > computador a 10 conexões, e vc acha que 30 é pouco? > Acho 20 um número bem sóbrio para usuários que usam muito > a internet (mas que não usem p2
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
Discordo de sua opnião em gênero número e grau, vamos lá: 2009/8/26 Trober > > Olá Nilton! > > Vamos por tópicos :) > > ### > a) Limitação de 30 conexões é suicídio[1]. Alguns sites de blogueiros > mercenários tem mais de 90 banners, fora imagens com vinculação externa. > Jogando baixo (baixo mesmo), neste caso, são mais de 110 conexões. 20 me parece um excelente valor para usuários normais, visto que vários ISPs como BrasilTelecom limitam algumas ADSLs em 40 ou 50. E quanto a browsers, o mais faminto por conexões que conheço é o Opera, e este vem por padrão configurado para no máximo 8 conexões simultâneas para um mesmo servidor e 20 totais, logo esse site do blogueiro consumiria no máximo as 20 conexões do opera. > > ### > b) Se for para aplicar limite de conexões, trate com maior valor os > serviços DNS, HTTP, HTTPS e NTP, deixando menor valor para o resto, > diferente dos serviços referidos. DNS é UDP portanto não consome conexão, visto o UDP ser um protocolo em que não existem conexões, são apenas pacotes "soltos" que formam um stream de dados. Já NTP nem vale a pena citar né? Fala sério... o cara atualiza o horário dele 1 vez por segundo para se poder levar em conta que vai consumir uma das conexões totais? Se ele checkar mais do que uma vez por dia, ele é paranóico ou o cristal de quartzo está diminuindo a frequência oscilatória conforme a proximidade do fim do mundo em 2012. > > Considerando pela média dominante, vou supor que os usuários usam Internet > Explorer 8. Este navegador, na configuração padrão, abre cinco conexões > mínimas, sendo elas: Que mal lhe pergunte, como chegaste a essa conclusão? Eu não sou usuário de windows, mas o que tenho visto por aí nas casas de amigos, namorada, parentes, etc., estão todos no velho IE6 ainda. Na empresa onde trabalho também, cerca de 98% dos PCs tem IE6 e Firefox, sendo que boa parte dos usuários já evoluiu um pouquinho e estão usando Firefox. > > DNS Resolver do HTTP Request > HTTP Request (GET) > DNS Resolver do SmartScreen > HTTP Request (POST) do SmartScreen > HTTP Request FavIcon (GET) > Soma esse subtotal a todo o resto que o site devolver no "response". Como já dito, DNS não conta, tira tudo que é UDP da lista, e mesmo assim vamos continuar com o exemplo hipotético de um usuário qualquer usando IE8. Numa simples googlada, se descobre que por padrão para banda larga o IE8 vem configurado para apenas apenas 6 conexões simultâneas AO TODO, o que já quebra todo o resto da ideia. [1], [2], [3] e [4] > > > Nem vou considerar os "Accelerators". E antes que alguém pense que estou > empalando o IE8, outro famoso navegador tem coisas semelhantes, mas com > outros nomes, tipo "IssoFox", "AquiloFox", "FoxFulano" e derivados. > > c) O parágrafo[2] abaixo dará uma luz no que precisa :) > > To limit the number of connections a user can open you can use the > following type of rules: > > ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 > ipfw add allow tcp from any to me setup limit src-addr 4 > > The former (assuming it runs on a gateway) will allow each host on a /24 > network to open at most 10 TCP connections. > The latter can be placed on a server to make sure that a single client > does not use more than 4 simultaneous connections. O parágrafo é bem claro quando fala que o exemplo limita cada computador a 10 conexões, e vc acha que 30 é pouco? Acho 20 um número bem sóbrio para usuários que usam muito a internet (mas que não usem p2p claro), e se teu intuito é economizar um pouco de banda na história, danda um brecada nos p2p mas sem bloquear totalmente, digamos deixar funcionando mas de forma razoavelmente precária para o usuário, sugiro que vc bloqueie 100% do trafego UDP, deixando passar apenas a porta 53 para o SEU servidor de DNS. Isso vai forçar todos os softs de p2p da tua rede a usarem TCP, e aí passarão a cair nas tuas futuras regras de limitação. O usuário que não usar P2P, vai ficar numa boa sem nem notar que algo acontece, já quem usar P2P vai se encomodar um monte pois eventualmente suas 20 conexões estarão em uso e ele não vai conseguir nem abrir um site simples, sendo obrigado a fechar o P2P, abrir o site, checar os emails, e então abrir o P2P novamente. heheheheh [1]: http://msdn.microsoft.com/en-us/library/cc304129(VS.85).aspx [2]: Veja no registro do windows em: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings [3]: http://prxbx.com/forums/showthread.php?tid=1436&pid=13225#pid13225 [4]: http://www.spasche.net/files/parallel_connections/ -- Nilson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
Olá Nilton! Vamos por tópicos :) ### a) Limitação de 30 conexões é suicídio[1]. Alguns sites de blogueiros mercenários tem mais de 90 banners, fora imagens com vinculação externa. Jogando baixo (baixo mesmo), neste caso, são mais de 110 conexões. ### b) Se for para aplicar limite de conexões, trate com maior valor os serviços DNS, HTTP, HTTPS e NTP, deixando menor valor para o resto, diferente dos serviços referidos. Considerando pela média dominante, vou supor que os usuários usam Internet Explorer 8. Este navegador, na configuração padrão, abre cinco conexões mínimas, sendo elas: DNS Resolver do HTTP Request HTTP Request (GET) DNS Resolver do SmartScreen HTTP Request (POST) do SmartScreen HTTP Request FavIcon (GET) Soma esse subtotal a todo o resto que o site devolver no "response". Nem vou considerar os "Accelerators". E antes que alguém pense que estou empalando o IE8, outro famoso navegador tem coisas semelhantes, mas com outros nomes, tipo "IssoFox", "AquiloFox", "FoxFulano" e derivados. c) O parágrafo[2] abaixo dará uma luz no que precisa :) To limit the number of connections a user can open you can use the following type of rules: ipfw add allow tcp from my-net/24 to any setup limit src-addr 10 ipfw add allow tcp from any to me setup limit src-addr 4 The former (assuming it runs on a gateway) will allow each host on a /24 network to open at most 10 TCP connections. The latter can be placed on a server to make sure that a single client does not use more than 4 simultaneous connections. [1] http://eng.registro.br/pipermail/gter/2009-August/025648.html [2] http://www.freebsd.org/cgi/man.cgi?query=ipfw&sektion=8 Saudações, Trober - - - - - > > > Pessoas uso ainda um 4.10 com ipfw2 e utilizo controle de banda > através de pipe, porém não consigo fazer o controle de > conexões, porque falo tbm NAT no mesmo firewall e faço > a reinjeçaõ do trafegos para regras de proxy e nat. Alguem > pode me dar uma luz de como fazer isso tudo em uma unica máquina > ou realmente fica dificil? > >tentei isso aqui: > > ipfw add 100 pipe 256 ip from 10.0.0.1 to any in via rl0 limit 30 > >porém os usuários reclaman que não conseguem navegar > > >o que fazer para limitar a quantidade de conexões de p2p (emule > kzaar...) > >Agradeço a ajuda antecipadamente, > > -- > Nilton José Rizzo > 805 Informatica > Disseminando tecnologias > 021 2413 9786 > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] controle de banda com controle de conexao simultaneas
On Wed, August 26, 2009 15:58, Nilton Jose Rizzo wrote: > > > Pessoas uso ainda um 4.10 com ipfw2 e utilizo controle de banda > através de pipe, porém não consigo fazer o controle de > conexões, porque falo tbm NAT no mesmo firewall e faço > a reinjeçaõ do trafegos para regras de proxy e nat. Alguem > pode me dar uma luz de como fazer isso tudo em uma unica máquina > ou realmente fica dificil? > >tentei isso aqui: > > ipfw add 100 pipe 256 ip from 10.0.0.1 to any in via rl0 limit 30 > >porém os usuários reclaman que não conseguem navegar > > >o que fazer para limitar a quantidade de conexões de p2p (emule > kzaar...) > >Agradeço a ajuda antecipadamente, nao sei se resolve, mas nao poderias ter um fw+bridge antes da maquina que mandas para nat/squid ? nele contarias conexoes e farias pipes com ipfw matheus -- We will call you cygnus, The God of balance you shall be A: Because it messes up the order in which people normally read text. Q: Why is top-posting such a bad thing? http://en.wikipedia.org/wiki/Posting_style - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] controle de banda com controle de conexao simultaneas
Pessoas uso ainda um 4.10 com ipfw2 e utilizo controle de banda através de pipe, porém não consigo fazer o controle de conexões, porque falo tbm NAT no mesmo firewall e faço a reinjeçaõ do trafegos para regras de proxy e nat. Alguem pode me dar uma luz de como fazer isso tudo em uma unica máquina ou realmente fica dificil? tentei isso aqui: ipfw add 100 pipe 256 ip from 10.0.0.1 to any in via rl0 limit 30 porém os usuários reclaman que não conseguem navegar o que fazer para limitar a quantidade de conexões de p2p (emule kzaar...) Agradeço a ajuda antecipadamente, -- Nilton José Rizzo 805 Informatica Disseminando tecnologias 021 2413 9786 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd