ограничение загрузки файлов больших 500кбайт

[ddayb]

Добрый день!

Скажите как реализовать запрет загрузки больших файлов? Т.е. оставить возможность только веб-серфинга.

Пока идея маркировать соединения

iptables -t mangle -I PREROUTING -m connbytes \
--connbytes 512000: --connbytes-dir both --connbytes-mode bytes \
-j MARK --set-mark 21

а потом фильтром tc загонять его в класс с ограниченной скоростью

echo 'adding main QDISC'
tc qdisc add dev $DEV root handle 1: htb default 20
tc class add dev $DEV parent 1: classid 1:1 htb rate ${RATEUP}kbit

echo 'adding main classes'
tc class add dev $DEV parent 1:1 classid 1:20 htb rate 50kbit ceil 120kbit prio 0
tc class add dev $DEV parent 1:1 classid 1:21 htb rate 1kbit ceil 1kbit prio 1

echo 'adding leaf-qdisc'
tc qdisc add dev $DEV parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev $DEV parent 1:21 handle 21: sfq perturb 10

echo 'adding filters'
tc filter add dev $DEV parent 1: prio 0 protocol ip handle 21 fw flowid 1:21

Но подобное решение легко обойти качалками и качать кусочками по 499кбайт...

Есть какие-то идеи как еще реализовать желаемое?

ps это все делается под kamikadze 7.09

crosspost

nag.ru

linuxforum

openwrtforum

[Byte]

поставьте проксю

[SignFinder]

я бы даже сказал - прозрачный прокси

[ddayb]

а как бы проверить входит ли айпи с которым идет соединение в определенный список (в файле), и, если да, то использовать для него другие фильтры и классы?

в моем случае это будет

tc class add dev $DEV parent 1: classid 1:2 htb rate ${RATEUP2}kbit

и к нему подклассы фильтры.

[ddayb]

под openwrt? случаем не знаете подходящий?