終於考完試 有時間安裝了 爬了許多文 再請問大大一個問題 我不知要安裝Coyote 還是IPCOP (含proxy功能) 我要用的環境是學生宿舍 2m/256(因為不能簽8m) 20人使用,只想讓學生上上網 要限制p2p等封包大的軟體 謝謝大大的回答

終於考完試 有時間安裝了 爬了許多文 再請問大大一個問題 我不知要安裝Coyote 還是IPCOP (含proxy功能) 我要用的環境是學生宿舍 2m/256(因為不能簽8m) 20人使用,只想讓學生上上網 要限制p2p等封包大的軟體 謝謝大大的回答


需要 L7-filter 的功能，來過濾 P2P 等連線的環境，推薦使用 Coyote。

最大的原因是 Coyote 的 L7-filter 是內建原生的，不需改任何核心的東西，即可馬上使用。　

IPCOP 雖然號稱有 L7-filter 功能，但我搞半天也試不出來。它很多名詞和概念都是 IPCOP 自創的，需要時間去適應。


真的有必要安裝硬碟，使用透明 proxy 的時候，建議直接裝標準 Linux，如：Fedora core 4。安裝完成後，網路設定好，執行兩支 shell script 就可以達到軟體路由器的大部分功能，剩下的 squid、dhcp 等服務花點時間稿一下也 OK 啦。用標準 Linux 當路由器，更快更好且擴充性更強，符合工業標準。

:)

我覺得p2p的影響並不是頻寬而是連線數...
所以你限制頻寬並無多大的效果...我自已設的 12m/1m
共七個人用,game和p2p 每人180k下載 15k上傳
只要有人一用bt,其他的人開網頁都會變得很頓....
這是小弟的經驗,也請各位指教~~

請問一個很笨的問題 連線數----> 是什麼意思
您文章中提及 雖然已經設定流量管制 可是只要連線數一多
其他電腦的頻寬沒有減少 可是上網速度卻被拖慢
這是不是 因為頻寬管理器沒有辦法處理(CPU or RAM不夠快)的原因阿

請問一個很笨的問題 連線數----> 是什麼意思
您文章中提及 雖然已經設定流量管制 可是只要連線數一多
其他電腦的頻寬沒有減少 可是上網速度卻被拖慢
這是不是 因為頻寬管理器沒有辦法處理(CPU or RAM不夠快)的原因阿

http://www.qno.net.cn:2480/forum/viewtopic.php?t=436

:eek: 我們實際談QOS頻寬管理器，最新已經面臨了一些頻頸而無法解決之問題 ：

:|||: 已經用最好的Qos了，以前不會塞車.速度慢，現在為什麼一直發生.....

我願將我的實際經驗＋百棟社區＋企業＋私人+15年軟體設計+電子係+9年網路經驗.給大家參考.省去摸索時間.

不管是硬體Qos或是軟體式Qos(coyote,ipcop...)目前面臨頻寬控管上的問題。

1.Qos之L7( layer 7 or IPP2P)功能是專門控管p2p軟體頻寬，但面對市場上軟體日新月異已無法控管了。
　因為L7功能大部分是針對國外知名p2p軟體而設計的，但是對於亞洲人所設計之p2p軟體卻　
　發生無法控管的問題，目前已經浮上檯面了，許多Qos都無法控管了。

２.最具代表性　mxie,foxy　等p2p軟體，已經非L7的Qos所能控制的，這個問題大家或許都沒
　注意到，但實際去查使用這些軟體的用戶的使用頻寬及連線數都幾乎滿載，所以莫名奇妙
　產生頻寬吃光，而發生塞車現象。


這是最近數月來所產生之問題，已非目前第二代之Qos所能解決，尤其是社區寬頻,學生宿舍,房屋出租,
家人共享網路等必須注意的，我希望能夠供網路管理者從這方面去查證找出塞車的原因。

第一代Qos是針對IP或PORT來控管頻寬.
第二代Qos是針對IP或PORT再加上L7(Layer 7)來控管頻寬.
:D 第三代的Qos頻寬管理器是未來的趨勢的，其發展不能只有L7功能，需要設備上加上特殊功能的管理機制才能的到最佳的頻寬控管。(請注意企業的網路管理規定那套是不可行的,而是Qos上必須增加一些自動化的管理功能才能解決)

這的確是個問題
Layer7-filter 的原理，是利用分析封包檔頭資料
來判斷封包屬於何種 Application 應用

每種 Application 應用，基於國際標準，會在封包內容中指明它的用處
例如：web server 出去的封包，會在封包內容中帶有 http 協定的字串
當 L7 過濾器偵測到封包中的這個字串，即可判斷該封包是何種用途
過濾器本身帶有一個"比對資料庫"，是用來比對封包內容的標準

面對如雨後春筍般冒出的新型 P2P 軟體
它們有一個特點：就是非傳統 BT 協定或者電驢傳輸協定
此時必須擴充或更新 L7-filter 過濾器的比對資料庫
也就是所謂的樣式檔資料，才能有效阻擋

然而因應 ISP 惡劣封 BT 的行為
中國大陸方面的 BT 軟體，也使出了殺手澗
即是乾脆把封包「加密傳輸」，代表性軟體如：BitComet

當封包被加密時，其資料結構會產生改變
簡單的說就是一堆亂碼，除非有金鑰進行解密，否則無法讀取其內容
換句話說，L7-filter 將偵測不出任何東西
使的封包可以不受過濾器檢測，而大搖大擺通過
雖然此種「加密傳輸」，目前還不是很流行
但未來如果流行起來，什麼 L7-filter 都是無效的....

----------------------------------------------------------------------

朔本初衷，在還沒有 Layer-7 管制之前
傳統我們用的是 Layer-3 來管制，也就是封 port

封 port 的缺點是很明顯的，以前也很多人討論過
一個最大問題的是：就算封到剩 port 80 (www)
一些軟體還是可利用 port 80 進行傳輸，所以檔不住
但事實上，這個說法並不盡然全對

逆向思考
poer 80 的最初定義，是 http 協定用的標準埠
換言之，如果 port 80 不是用在 web，則必然是非法闖關

還是搭配 L7-filter ，但不是偵測 P2P，而是偵測 http
不是阻擋，而是開放通過

此時可以先用 L7-filter 偵測出 http 封包，給予貼標籤
http 的封包，給予通過
也就是說， L7-filter 偵測出來的，才能通過
其它所有 port 全部封鎖，非 L7-filter 偵測的出的封包全部丟棄

這就好像本來的作法是：
在商場門口設偵測器，偵測到有人偷東西，才抓出來，但時代進步，小偷自己帶消磁器去把商標的磁性消除，就抓不到了。

新型的作法可以是：
機場設海關，每個過去的人都檢查行李，徹底掃描，唯有確定安全的才放行，其它通通抓起來。

inux iptables 非常具有彈性，可程式化
以上的論點，iptables 很容易即可達成，只是換個思路而已

硬體式防火牆的話，則可能必須更新韌體
估計這可能是"第三代"的作法：全部封鎖，開放特定標準傳輸

:|||: 我們實際談QOS頻寬管理器，最新已經面臨了一些頻頸而無法解決之問題補充：


:eye: 第二代Qos頻寬管理器(社區寬頻.宿舍等)之 Layer 7頻寬管理功能小缺失


我願將我的實際經驗＋百棟社區＋企業＋私人+15年軟體設計+電子係+9年網路經驗.給大家參考.省去摸索時間.

:king: 市面上凡硬體式或軟體式(Coyote,ipcop) 之 Layer 7 頻寬控管功能之共同缺失.

大家都知道Layer 7是控管p2p軟體頻寬的最佳功能.

很可惜如果控制BT(或變種p2p軟體)頻寬時,並不能完全控制,但基本上還很不錯.
只是有些漏網的封包(udp 封包)不能被控管,因此會使用到非配置bt的其他頻寬.

如配置全部IP共用 BT頻寬為 1M/64K ,而某IP頻寬配置為1M/64K (源頭總頻寬8M/640K)
如此當此IP用戶使用BT時,下載可控管無問題,上傳頻寬會使用到二個 64k+64k=128k
大家不訪測試看看,至少已碰到很多實例了.
條例:iptable l7 bt 頻寬規則放第一條,iptable IP 頻寬規則放第二條.
然後查看iptable count值及lan&wan之網卡流量.


所以請各位當您的區網上網發生塞車時,查一下是否為這原因.上傳頻寬滿載,
,但這不是配置的頻寬錯誤,而是此問題您必須考量進來.


:D 第三代的QOS頻寬管理器,需增加何種功能才能有效的運用頻寬,而不是一味地如何去
控管應用軟體的頻寬.這才是未來頻寬管理器.

我們實際談QOS頻寬管理器，Qos的傳輸效能：

我願將我的實際經驗＋百棟社區＋企業＋私人+15年軟體設計+電子係+9年網路經驗.給大家參考.省去摸索時間.

很多的QOS設備會提供所謂的每秒傳輸效能(單位為MHZ)
請大家看清楚規格表,別被表面的規格給騙了,因為各家並沒有標示的很清楚.

通常規格標式傳輸效能會分為二種:
1.單純NAT轉換的效能,一般簡易防火牆.通常均標示此效能
2.另一種是有NAT+QOS的效能,很少有標示.

尤其是第二種很多都隱藏不標示,然而實際運作而言,好的QOS可達到
25MHZ-35MHZ,但比起第一種標示可能數值相差極大.不可不知.

當然還有很重要的效能限制,也就是防火牆設定的規格條例越多效能也會降低,
且針對每個IP流量統計或防火牆流量統計越多,效能也降的越多.

所以有很多的QOS在標示上做手腳,要不然就是把統計報表,及防火牆功能拿掉少
了很多.就號稱自己的設備效能有多好.所以慎選QOS,一定要看符合自己的需求
的功能.

請問linux_XP兄，依您所言，那是不是可以把非標準封包排除，就應該
能做到基本的防堵效果?也就是我們只接受標準格式的封包，其他的就把
他丟棄，這樣會不會有一些副作用?

請問linux_XP兄，依您所言，那是不是可以把非標準封包排除，就應該
能做到基本的防堵效果?也就是我們只接受標準格式的封包，其他的就把
他丟棄，這樣會不會有一些副作用?
理論上好像是這樣 不過遊戲呢 遊戲這麼多種 還每家的port都不一樣 真希望有好辦法解決