[wlanfhain] Re: Internet ueber ND

ulf kypke-burchardi info
Sa Jan 15 12:50:54 CET 2005 

Sven-Ola Tuecke wrote:

>Hallo liebe Leute,
>
>auf die Gefahr hin mir hier ein "Undemokratisch" einzuhandeln: Die Nutzung =
>von=20
>Internet-Diensten, die zeitgleich sehr viele Verbindugen zu vielen=20
>verschiedenen Rechnern erfordern, nimmt wirklich =FCberhand. Dies blockiert=
>=20
>insbesondere auch den Funk-Kanal - wegen der vielen kleinen=20
>Request-Datenpakete, die mehr oder weniger erfolgreich versendet werden=20
>m=FCssen.
>
>Um Leuten, die einfach nur mal eine E-Mail oder eine Webseite abrufen wolle=
>n=20
>eine Chance zu geben, habe ich das f=FCr das im Moment mit einer recht brut=
>alen=20
>Methode abgestellt. Wir haben leider auch Leute dabei, die wissen wie sie d=
>ie=20
>Port-Nummern der =FCblichen Services =E4ndern m=FCssen. Sollte trotz erfolg=
>reichem=20
>Ping und Webseitenabruf ausgerechnet der Lieblings-Service nicht=20
>funktionieren - Mail an die Liste.=20
>
>Das ist keine Dauerl=F6sung - sondern mehr eine Art "Nothack". Sch=F6ner w=
>=E4re eine=20
>Bandbreiten-Begrenzung f=FCr Stationen, die in k=FCrzester Zeit mehrere Duz=
>end=20
>Internet-Verbindungen gleichzeitig =F6ffen. Bin gespannt auf die Diskussion=
>=2E..=20
>
>Gru=DF, Sven-Ola
>
>
>
>  
>
jaja, das kennen wir auch, welchen nothack hast du denn gemacht? ich 
habe festgestellt, dass wenn man die oberen typischen ips zumacht, die 
esel und affen sich dann offene suchen, im schlimmsten port 80 und so, 
nun da das ziemlich doof ist und der sache nichts nützt, habe ich tc am 
dsl system am laufen, bei dem i-net am nd sollte vielleicht ein tc hin, 
ich meine üer backbone ist ziemlich dicke, also ist das nicht so wie bei 
uns wo wir uns 2 mbit teilen.
dann gibt es noch ein ziemlich tolles tool, dass ich schonmal vor nem 
jahr im einsatz hatte und auch prima lief, den sog. pacemaker. denn er 
erkennt einfach diese typische geschichte und kann dann die erzeuger ip 
auf z.b. eine mangle iptables list setzen und mit tc runterregeln, oder 
noch vielviel besser alle ports zumachen bis auf 80 und eine postrouting 
chain, auf einen internen webserver um dem jenigen zu sagen, hallo du 
machst grad unser netz platt. sozusagen als erziehungsmassnahme. es soll 
auch manchmal vorkommen das es nicht wild gewordene esel und affen sind, 
sondern ein wurm oder so, ohne das die leute das wissen, ist schon oft 
hier vorgekommen. daher ist das postrouting eigentlich ziemlich 
sinnvoll. es kann natürlich auch passieren das pacemaker eine 
radiostreaming oder voip verbindung erkennt, dass kann man aber ihm sagen.
schau(t) mal hier: http://mrtg.saintjoe.edu/mrtg/ratelimit/pacemaker/
gruss ulf

Mehr Informationen über die Mailingliste Berlin