Как попортиться только для p2p

Ты не сможешь перенаправить ВСЁ p2p-трафик на второй шлюз… никогда! Причина проста: не все p2p-пакеты распознаются Packet Mangler'ом. Есть несколько p2p-протоколов, которые можно только заблокировать, а не ограничить скорость — почему ты думаешь, что это так? Ещё раз: забудь об этом, ты НИКОГДА не сможешь отправить p2p-трафик на один шлюз, а остальное — на другой. Единственное, что ты можешь сделать, — это отправлять известный трафик (http, ftp и т.д.) на один шлюз и ДАВАЙ p2p идти через шлюз по умолчанию.

Это значит, что клиент, которого "избивают" другой провайдер, в итоге увидит попытки маршрутизации трафика через шлюз по умолчанию?

Это вообще не имеет смысла: если можно блокировать, то почему нельзя формировать? Потому что технически невозможно распознавать ВСЕ пакеты p2p трафика. Всё просто. Да, конечно, но почему нельзя сформировать трафик, если его можно идентифицировать и блокировать? Вы имеете в виду какую-то врожденную неидеальность (т.е. невозможно распознать достаточно рано)? Многие протоколы распознаются настолько, что можно только блокировать (а не формировать трафик), так как этого было технически достаточно для управления пропускной способностью (=разрешить p2p ночью, отключить в течение дня), и главная причина в том, что технически невозможно распознать все пакеты. Ни у кого нет знаний, времени, желания, удачи и т.д., чтобы анализировать p2p-коммуникацию в максимальных деталях… почитайте об этом на ipp2p.org и других решениях фильтрации l7. И при этом мы не учитываем шифрование > Я бы не сказал, что у *никого*. Я бы хотел думать, что люди, достаточно опытные, чтобы это сделать, учтут последствия, прежде чем браться за это. Наш главный пожиратель пропускной способности — dc++, за ним следует bitorrent. DC++ — один из старейших протоколов, он довольно прямолинеен и ПРОСТ — но мы не смогли перенаправить трафик DC++ на другой шлюз, несмотря на все наши попытки. И поверьте, мы потратили на это кучу времени, так как это доставляет нам некоторые технические проблемы, и мы точно не новички в сетевых технологиях. NAT был в игре? Зная некоторые технические детали p2p протоколов (поищите техническое описание p2p протоколов, в интернете есть несколько руководств), мы просто не будем тратить на это время. Вы не увидите ни одного человека на форуме, который бы сообщил: "У меня получилось, p2p идёт на второй шлюз". И в ближайшее время не увидите.

Конечно, но почему нельзя формировать трафик, если его можно идентифицировать и блокировать? Стен, пожалуйста, прочитай ipp2p.org и страницы l7filter, особенно эту: http://l7-filter.sourceforge.net/protocols Там увидишь, что я говорю: нельзя идентифицировать ВСЕ пакеты (100%, абсолютно все), которые принадлежат p2p-протоколу. Возможно, есть один или два p2p-протокола, у которых 100% пакетов идентифицированы, но есть ещё как минимум десять (ладно, может не 20473, но хотя бы десять), у которых этого нет. Итак, раз у тебя нет 100% идентификации p2p-трафика, как ты хочешь его формировать? Ты же не знаешь, какой пакет и какой пакет относится к p2p, поэтому он не пойдёт в твою систему формирования. Я не помню точно, какой протокол (может, это был зашифрованный биторрент), идентифицируется только по синхронизирующим пакетам – ты не можешь идентифицировать "тело" передачи, фактические данные, потому что они зашифрованы. Это шифрование было сделано в этом году с одной простой целью: ОБХОДИТЬ ВСЕ ИЗВЕСТНЫЕ СИСТЕМЫ ФОРМИРОВАНИЯ И ОГРАНИЧЕНИЯ ТРАФИКА. Просто, да? И авторы преуспели! Так что сейчас у тебя есть два варианта: либо заблокировать этот протокол полностью, либо - если ты позволишь ему пройти – принять тот факт, что ты НЕ МОЖЕШЬ ЕГО ФОРМИРОВАТЬ. И поскольку ты не знаешь ВСЕХ ПАКЕТОВ, УЧАСТВУЮЩИХ В P2P-КОММУНИКАЦИИ, ТЫ НЕ МОЖЕШЬ ОТПРАВЛЯТЬ ЕГО НА ДРУГОЙ ШЛЮЗ. Всё просто. Ты не сможешь перенаправить p2p-трафик на более медленный шлюз, освободив своего основного провайдера от p2p-балласта. Достаточно сказанного. У нас на борту два CCIE, и после некоторых размышлений мы пришли к выводу, что лучшая стратегия борьбы с p2p-паразитами – это ограничить их ОБЩЕЙ СКОРОСТЬЮ до какого-то фиксированного значения (например, как у DSL: полмегабита) и больше не заморачиваться. Никогда-никогда. Твоё время ценнее.