[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: HADOPI ....

Le Tue, 4 Oct 2011 15:50:17 +0000, jean durandt a écrit :

Bonjour,
> 
> bon le titre est explicite alors entrons dans le vif du sujet sans polémique sur l'intérêt de cette c.
[...]
> 
> Mais quid des connexions entrantes : 
> le port 80 (http) sert aux serveurs qui répondent sur n'importe quel port au client, non ?

Une connexion entrante est une nouvelle connexion. Dans le cas où un
client demande une page web, il ne s'agit pas d'une nouvelle
connexion mais d'un suivi de connexion. Les parefeux sont stateful
(parefeux à états): ils assurent le suivi de connexion
(https://secure.wikimedia.org/wikipedia/fr/wiki/Pare-feu_%28informatique%29)

> 
> je ne sais pas quelle proposition lui faire pour qu'il ne soit pas inquiété.
> j'aimerai une aide car j'avoue ne pas savoir quoi lui conseiller
  		 	   		  

au vu de tout ce qui a été déjà écrit dans ce fil, je peux ajouter
quelques trucs pour limiter l'utilisation du p2p que j'ai mis en
place chez moi (l'une des caractéristiques du p2p est qu'il génère
énormément de connexions):

- Autoriser quelques ports en sortie (comme http, https, pop3,
  smtp, imap, msn, dns)
- Limiter les connexions par adresse IP. Pour de la navigation web +
  messagerie, je limite à 100 connexions par @IP. Je ne sais pas si
  c'est faisable avec Iptables, mais avec Packet filter (*BSD), ça se
  fait en deux lignes du type:
block quick from <abus>
pass quick proto { tcp udp } from any to any $ports_autorises \
(max-src-conn 100, max-src-conn-rate 10/3, \
overload <abus> flush global)

ports_autorises={ http https pop3 imap imaps smtp domain } # A
compléter selon les besoins
max-src-conn: nb de connexions simultanées autorisées par @IP
max-src-conn-rate: 10 nouvelles connexions toutes les 3 secondes
overload <abus>: l'@IP qui dépasse ces limites est ajoutée à la table
<abus> et se trouve dès lors bloquée par la règle précédente (block)
flush global: met fin à toutes les connexions.

Une entrée dans la crontab pour purger la table régulièrement.

Sous Linux, il te faut un script qui détermine le nb d'adresses par
hôte. Sur un WRT54G avec OpenWRT, en cas de dépassement, il
rebootait. Radical mais efficace! (mais dommage pour les autres
utilisateurs, il doit y avoir moyen de faire "plus propre").

Sinon, si tu as un PC disponible, tu peux essayer pfsense
(http://www.pfsense.org) qui est une solution très abouti; elle
comporte un portail captif, de quoi lutter contre le p2p (les
principaux) et est configurable via une interface web. Pfsense
est basée sur FreeBSD.

Il est possible aussi de combiner avec de la qualité de service en
privilégiant certains flux (http) et de mettre un débit de 1Ko pour
les autres flux.

Ma modeste contribution ;-)

--
px
Reply to: