[wlanfhain] Re: Internet ueber ND
ulf kypke-burchardi
info
Sa Jan 15 12:50:54 CET 2005
Sven-Ola Tuecke wrote:
>Hallo liebe Leute,
>
>auf die Gefahr hin mir hier ein "Undemokratisch" einzuhandeln: Die Nutzung =
>von=20
>Internet-Diensten, die zeitgleich sehr viele Verbindugen zu vielen=20
>verschiedenen Rechnern erfordern, nimmt wirklich =FCberhand. Dies blockiert=
>=20
>insbesondere auch den Funk-Kanal - wegen der vielen kleinen=20
>Request-Datenpakete, die mehr oder weniger erfolgreich versendet werden=20
>m=FCssen.
>
>Um Leuten, die einfach nur mal eine E-Mail oder eine Webseite abrufen wolle=
>n=20
>eine Chance zu geben, habe ich das f=FCr das im Moment mit einer recht brut=
>alen=20
>Methode abgestellt. Wir haben leider auch Leute dabei, die wissen wie sie d=
>ie=20
>Port-Nummern der =FCblichen Services =E4ndern m=FCssen. Sollte trotz erfolg=
>reichem=20
>Ping und Webseitenabruf ausgerechnet der Lieblings-Service nicht=20
>funktionieren - Mail an die Liste.=20
>
>Das ist keine Dauerl=F6sung - sondern mehr eine Art "Nothack". Sch=F6ner w=
>=E4re eine=20
>Bandbreiten-Begrenzung f=FCr Stationen, die in k=FCrzester Zeit mehrere Duz=
>end=20
>Internet-Verbindungen gleichzeitig =F6ffen. Bin gespannt auf die Diskussion=
>=2E..=20
>
>Gru=DF, Sven-Ola
>
>
>
>
>
jaja, das kennen wir auch, welchen nothack hast du denn gemacht? ich
habe festgestellt, dass wenn man die oberen typischen ips zumacht, die
esel und affen sich dann offene suchen, im schlimmsten port 80 und so,
nun da das ziemlich doof ist und der sache nichts nützt, habe ich tc am
dsl system am laufen, bei dem i-net am nd sollte vielleicht ein tc hin,
ich meine üer backbone ist ziemlich dicke, also ist das nicht so wie bei
uns wo wir uns 2 mbit teilen.
dann gibt es noch ein ziemlich tolles tool, dass ich schonmal vor nem
jahr im einsatz hatte und auch prima lief, den sog. pacemaker. denn er
erkennt einfach diese typische geschichte und kann dann die erzeuger ip
auf z.b. eine mangle iptables list setzen und mit tc runterregeln, oder
noch vielviel besser alle ports zumachen bis auf 80 und eine postrouting
chain, auf einen internen webserver um dem jenigen zu sagen, hallo du
machst grad unser netz platt. sozusagen als erziehungsmassnahme. es soll
auch manchmal vorkommen das es nicht wild gewordene esel und affen sind,
sondern ein wurm oder so, ohne das die leute das wissen, ist schon oft
hier vorgekommen. daher ist das postrouting eigentlich ziemlich
sinnvoll. es kann natürlich auch passieren das pacemaker eine
radiostreaming oder voip verbindung erkennt, dass kann man aber ihm sagen.
schau(t) mal hier: http://mrtg.saintjoe.edu/mrtg/ratelimit/pacemaker/
gruss ulf
Mehr Informationen über die Mailingliste Berlin