Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 4546 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QoS limit Media streaming [7.306]

Scott_Klassen
I got a bit of an issue with streaming media. Management won't allow me to block it, but once more than a handful of users start listing to their favorite internet radio stations, the bandwidth drain gets out of control.
 
The biggest culprits I'm seeing are ports 8004, 554 (RTSP), and 8080 (HTTP-ALT). Used the streaming media service group, in which I added each of these services, then under QoS I created a traffic selector under which I defined this group for the service and any/any for source/destination. In bandwidth pools, I created a new pool specifying 1 kbit/s as the bandwidth, an upper limit of 5 kbit/s, and I chose the traffic selector I had created.
 
Under accounting, I'm still seeing a massive amount of data being transferred daily for these ports. Much more than could be accounted for given the limits I've set, all outbound. 
 
Did I not set this up correctly, or is there some issue with setting traffic selectors to service groups?


This thread was automatically locked due to age.
Parents
  • 0
    In Astaro Security Gateway, priority traffic is configured on the Network >> Quality of Service (QoS) tabs, where you can reserve guaranteed bandwidths for certain types of outbound network traffic passing between two points in the network, whereas shaping of inbound traffic is optimized internally by various techniques such as Stochastic Fairness Queuing (SFQ) or Random Early Detection (RED).


    I think that means if I want to provide QoS for web servers being accessed by the outside world, I set the QoS for the (uplink of the) External interface.  And, if I'm trying to set it to shape Internet browsing by people inside the Astaro, I set it on the Internal.

    Thanks - Bob
    PS My original post above had this backwards, but is now corrected after reading Gert's post in another thread.
  • 0 in reply to BAlfson
    That would make sense to me Bob.  
     
    My setup is a bit different though, my ethernet interfaces are bridged.
  • 0 in reply to Scott_Klassen
    Hi Scott, 

    unfortunatly QoS settings are very limited in Bridge mode. 
    Your scenario can currently not be realized, as the QoS settings are only applied on the routed interface on the bridge, but unfortunatly not for the traffic flowing through the bridge. 

    Regards
    Gert
  • 0 in reply to Gert Hansen
    Gert, das koennte man von der Dokumentation nicht verstanden.  Es gibt fast keine Beispiele, und davon ergreifft man zu wenig.
Reply Children
  • 0 in reply to BAlfson
    OK, Scott, Gert gave some specific instructions in https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39102.

    Based on his post, I've revised my post above to fit with my new understanding of how QoS is configured.

    I wish the manual would use consistent terminology.  In the explanation of how it works, the words "inbound" and "outbound" are used, but all of the configuration instructions are discussed in terms of "uplink" and "downlink."

    Grumble - Bob
  • 0 in reply to BAlfson
    Thanks Gert and Bob.  I'll consider dropping the use of bridged mode.
  • 0 in reply to Scott_Klassen
    I figured out why I'm seeing such a large amount of outbound data.  Looks like some internet radio stations are doing the same thing that CNN just got caught doing with it's live video.  
     
    If you want to listen to the station, it uses your system as a transparent media server to share the stream to others.
     
    I've created packet filters to drop any outbound from the two worst services that I see, RSTP and port 8004.  Hopefully this'll stop my bandwidth drain without killing listening to the audio streams for my end users.
  • 0 in reply to Scott_Klassen
    That's interesting, Scott; could you give me an example of one of these evil online radio stations?  I'd like to dig into this one...
  • 0 in reply to BrucekConvergent
    Bruce, there's lots of articles about what CNN did and how, cnn live video p2p - Google Search

    The radio stations are probably using the same software.

    Barry
  • 0 in reply to BarryG
    I'll see what I can get you Bruce.  I actually put in place packet filters to block outgoing traffic from several of the services I've seen involved, port 8004 and RSTP, this morning.  The only other one I'm noticing now is HTTP-ALT.  I'm trying to get a little more clarification on this one (It's shown in Accounting, but is apparently a "hidden" definition and could actually be one or more of several different ports that commonly fall under this name.)  
     
    Be aware though that often times the addresses I'm seeing in the Astaro reporting are proxy-hosts or shared hosting servers, so just plugging them into a media player won't get you the applicable stream.  
     
    Since I'm using the accounting features to track this and it isn't obvious what's happening until the bandwidth usage builds up over time, I don't notice for several hours.  
     
    It really stands out for me first thing in the morning, when I see some workstation has sent hundreds of MB since midnight, when the user left their media player running overnight.  It's fairly trivial then to correlate the endpoint server shown in accounting, the port/service used, and a netstat from the workstation on my end.
  • 0 in reply to Scott_Klassen
    Ok Bruce, got one for you.
     
    di.fm is the url. Hosted on a server at 208.122.58.162.  The user is listening to the Vocal Trance feed.  Inbound, the traffic has been 7.4MB, which is fine for a media stream. Outbound though it's sent out 300MB through the HTTP-ALT service.
  • 0 in reply to Scott_Klassen
    I found another particularly nasty one.  The stream host is at spacialnet.com.  Sucked about 424MB in a couple of hours.  I've created a DNS group for this domain and a packetfilter to block all outgoing traffic from my internal network to this DNS group.  Seems to be working as the traffic total hasn't risen since I enabled the packet filter.
  • 0 in reply to Scott_Klassen
    Thanks for the info... I'll have some fun with it.