Dele forbindelsen op med iptables

Det bliver ikke helt nemt. Det du ønsker er at styre på programniveau, men da iptables ikke kender programmer men f.eks. porte, ipadresser og mac-adresser, så skal det være på det niveau.

1: port 80, 110, 143, 25 og de mere almindelige ting
2: de fleste kan formentlig findes
3: port 21 til ftp - news kan jeg ikke lige huske, men en del p2p er begyndt at bruge port 80 - og derfor vil de også bruge 1:

Du bliver derfor sikkert nødt til at parkere port 80 trafik på "rode-linien" - alternativt acceptere, at en del trafik ikke helt går den vej, som du forventer.

Du kan også opsætte en transparent squid, således at port 80 trafik også caches lokalt - det kan muligvis optimere trafikken lidt.

Jeg tror godt jeg kan lave et sådan script, men prøv lige at overveje ovenstående?

hvilke p2p bruger port 80 ? ikke nogle af dem jeg har prøved...
Jeg har prøved og snakke med andre og er kommet frem til denne
http://lartc.org/ eller lidt mere presist http://lartc.org/wondershaper/
eller bare http://leaf.sourceforge.net/ som også han noget i den stil..

Proxy/squid kommer der også på... men ikke på denne pc.

Hvis man kigger på http://leaf.sourceforge.net/pub/doc/howto/LRP-Load-Balancing-HOWTO.html
så står der (jeg ved det er ipchains men ... )

##############################################################################
# IPCHAINS Functions
##############################################################################
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 www -m 2
/sbin/ipchains -A input -p udp -s 192.168.10.0/24 -d 0/0 www -m 2
/sbin/ipchains -A input -p udp -s 192.168.10.0/24 -d 0/0 https -m 2
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 https -m 2
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 110 -m 1
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 25 -m 1
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 1214 -m 2
/sbin/ipchains -A input -p icmp -s 192.168.10.0/24 -d 0/0 -m 2
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 21 -m 2
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 20 -m 2
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 5190 -m 2
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 1723 -m 1
/sbin/ipchains -A input -p udp -s 192.168.10.0/24 -d 0/0 53 -m 1
/sbin/ipchains -A input -p tcp -s 192.168.10.0/24 -d 0/0 53 -m 1

det er list det samme har men bare med 3 tables

Jeg har ladet mig fortælle, at f.eks. kazaa og winmx rent faktisk kan bruge destinationsport 80 - netop for at undgå firewalls.

kazaa version 1 always use port tcp/1214 for downloading files ( its a
http connection with some specific headers, but you can just browse the
'victim' shared files and download, even you are not connected to k.
network - personally tested on k. 1.2.5 i guess )
kazza version 2 seems to auto-negotiate an arbitrary port ( maybe, like
you said, somewhere near or above 3000 )

løst