[XeonVs]

А не подскажут ли уважаемые коллеги, на cisco ME\ASR фильтрануть возможно? Сходу что-то не нагуглисось.

[kayot]

Моя статистика на одном из НАСов за 5 минут:

286K p2p filer

9651K world-host

9036K host-world

Т.е. на 18М обработанных пакетов всего 286к отфильтровано.. 2%.

 

Эта машина терминирует pppoe, правило ведь должно срабатывать и для ppp ?

-A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 -j DROP

[vitalyb]

kayot

Там не 2%, на сколько я понял. Корректней сравнить с TCP SYN'ами. Если их отфильтровать - TCP жить не будет, но SYN'ов же не 100% от TCP трафика.

 

[Jugernault]

Моя статистика на одном из НАСов за 5 минут:

286K p2p filer

9651K world-host

9036K host-world

Т.е. на 18М обработанных пакетов всего 286к отфильтровано.. 2%.

 

Эта машина терминирует pppoe, правило ведь должно срабатывать и для ppp ?

-A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 -j DROP

Все у тебя нормально... Так и должно быть - отфильтровывается только пакеты согласования mTP сесии между пирами. А после этитого пиры переходят в режим обмена по TCP.

Т.е. торрент как работал, так и работает - абоненты получают свои гигабайты....

[nnm]

А не подскажут ли уважаемые коллеги, на cisco ME\ASR фильтрануть возможно? Сходу что-то не нагуглисось.

Насколько я понимаю, ME железный, ему на pps пофигу. А на ASR1K можно попробовать FPM http://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

Изменено 25 февраля, 2010 пользователем nnm

[XeonVs]

А не подскажут ли уважаемые коллеги, на cisco ME\ASR фильтрануть возможно? Сходу что-то не нагуглисось.

Насколько я понимаю, ME железный, ему на pps пофигу. А на ASR1K можно попробовать FPM http://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html

дак вопрос не в pps, а в фильтре. Чтобы не долетало до туда где уже не пофик. :)

[kayot]

Логично, спасибо.

Изменено 25 февраля, 2010 пользователем kayot

[[GP]Villi]

больше всего повезло тем у кого на аггрегации стоит что-то с ACL типа packet content mask, это у длинка, не знаю есть ли у кого то аналоги.

две строчки в конфиге и нет больше головной боли :)

[darkagent]

А не подскажут ли уважаемые коллеги, на cisco ME\ASR фильтрануть возможно? Сходу что-то не нагуглисось.

ммм... service nagle

http://en.wikipedia.org/wiki/Nagle's_algorithm

хотя нет. ошибся, забыл что он только tcp переваривает.

Изменено 25 февраля, 2010 пользователем darkagent

[visir]

хотя нет. ошибся, забыл что он только tcp переваривает.

Еще и не транзитный. :D

[antong]

больше всего повезло тем у кого на аггрегации стоит что-то с ACL типа packet content mask, это у длинка, не знаю есть ли у кого то аналоги.

две строчки в конфиге и нет больше головной боли :)

Ну почти повезло, если клиенты ходят без всяких PPP, на 3526 хватает offset`ов чтобы добраться до нужных байтов, а вот если есть PPP то уже не хватает.

[Amigo12728]

больше всего повезло тем у кого на аггрегации стоит что-то с ACL типа packet content mask, это у длинка, не знаю есть ли у кого то аналоги.

две строчки в конфиге и нет больше головной боли :)

Можно подробнее, что за строчки и куда писать?

У нас D-Link DGS-3200-10 на входе, месяц как поставили. Еще не изучили как следует железку.

Изменено 25 февраля, 2010 пользователем Amigo12728

[totoro]

наблюдаю за темой целый день

вопрос к знатокам

на роутере МТ нужно указать правило фильтра со строкой content=

рание был виложен дамп удп пакета в хексе каким должно быть значение text ???

буду благодарен за ответ =)

Изменено 25 февраля, 2010 пользователем totoro

[vurd]

Покажите, пожалуйста, рабочую конфигурацию для FreeBSD на netgraph-е.

Я столкнулся с какой-то ерундой.

Хорошие пакеты, без сигнатуры, не доходят до клиента. Т.е. DNS ответы и прочее.

 

/sbin/kldload ng_bpf
/sbin/kldload ng_ipfw

/usr/sbin/ngctl mkpeer ipfw: bpf 1 main
/usr/sbin/ngctl name ipfw:1 uTP_filter
/usr/sbin/ngctl msg uTP_filter: setprogram { thisHook=\"main\" ifMatch=\"\" ifNotMatch=\"main\" bpf_prog_len=7 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=3 k=64 } { code=32 jt=0 jf=0 k=40 } { code=21 jt=0 jf=1 k=2147483647 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] }

/sbin/ipfw add 10 netgraph 1 udp from any to any
/sbin/ipfw add 11 allow udp from any to 192.168.1.100

/sbin/sysctl net.inet.ip.fw.one_pass=0

 

При этом, судя по статистике и счетчикам, пакеты проходят в netgrpah, потом возвращаются в ipfw. Как и должно быть. Но! До клиента они не доходят. Не могу понять, что за бред :)

Изменено 25 февраля, 2010 пользователем vurd

[SunShine30]

больше всего повезло тем у кого на аггрегации стоит что-то с ACL типа packet content mask, это у длинка, не знаю есть ли у кого то аналоги.

две строчки в конфиге и нет больше головной боли :)

Можно подробнее, что за строчки и куда писать?

У нас D-Link DGS-3200-10 на входе, месяц как поставили. Еще не изучили как следует железку.

На длинковском форуме пошукайте. Там вот тему по сабжу подняли Помогите написать правило PCF для 3526

. Правда по вашей железяке еще не отписывались, но, возможно, что-то из уже приведенного там, поможет вам?

[AstraSerg]

...

Сами правила для D-Link DGS3627

create access_profile profile_id 2 packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 13 0xFFFF offset_chunk_3 24 0xFFFFFFFF offset_chunk_4 25 0xFF000000 
config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0xAB000000  port 1:25,2:25 deny

 

...

Сами правила для D-Link DGS3627 (Только для L2TP туннелей):

create access_profile profile_id 2 packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 13 0xFFFF offset_chunk_3 24 0xFFFFFFFF offset_chunk_4 25 0xFF000000 
config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0xAB000000  port 1:25,2:25 deny

 

В упор не вижу отличий.

[goletsa]

goletsa> покажите:

 

ngctl msg utp_filter: getprogram \"main\"

ngctl msg utp_filter: getstats \"main\"

ipfw show

 

router3# ngctl msg utp_filter: getprogram \"main\"
Rec'd response "getprogram" (2) from "[5]:":
Args:    { thisHook="main" ifNotMatch="main" bpf_prog_len=7 bpf_prog=[ { code=0x30 } { code=0x54 k=240 } { code=0x15 jf=3 k=64 } { code=0x20 k=40 } { code=0x15 jf=1 k=2147483647 } { code=0x6 k=65535 } { code=0x6 } ] }
ngctl msg utp_filter: getstats \"main\" router3# ngctl msg utp_filter: getstats \"main\" 
Rec'd response "getstats" (3) from "[5]:":
Args:    { recvFrames=29494787 recvOctets=1857935510 recvMatchFrames=4020680 recvMatchOctets=245226252 xmitFrames=25487399 xmitOctets=1613375914 }

 

Правило ставил в самое начало обычных правил шейпа т.е. они не могут влиять.

 

[dsk]

А кроме "обычных правил шейпа" там что-либо еще есть?

Файрвол по умолчанию allow или deny?

И что с net.inet.ip.fw.one_pass?

[ivb1232]

Может, кто это сделал на JunOS, поделитесь, пожалуйста.

[goletsa]

А кроме "обычных правил шейпа" там что-либо еще есть?

Файрвол по умолчанию allow или deny?

И что с net.inet.ip.fw.one_pass?

sysctl net.inet.ip.fw.one_pass
net.inet.ip.fw.one_pass: 1

 

Файрвол по умолчанию allow или deny?

00080        1035          47610 allow udp from 172.16.0.0/20 to me dst-port 69
00081       99010       78945220 allow udp from 172.16.0.0/20 to me dst-port 67
00082       19240        6492625 allow udp from me 67 to 172.16.0.0/20
00083           0              0 allow udp from 172.16.0.0/20 1024-65535 to me dst-port 69 in
00084        1264         197184 allow udp from me 1024-65535 to 172.16.0.0/20 dst-port 1024-65535 out
00085      297409       18542273 allow udp from 172.16.0.0/20 1024-65535 to me dst-port 1024-65535 in
00110      407167       38143631 allow ip from any to any via lo0
00120    37767379     6727292058 skipto 1000 ip from me to any
00130      449532       25390339 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160   356580617    24941188390 skipto 2000 ip from any to me
00200 26734321771 18122135701944 skipto 500 ip from any to any via em0
00250 13991540673  8442714840069 skipto 270 ip from { table(0) or table(37) } to not me
00260 12995583237  9998443916678 skipto 300 ip from any to not me
00270           0              0 deny tcp from not table(0) to 90.183.101.0/24
00280      509603      108823664 fwd 127.0.0.1,81 tcp from table(35) to not me dst-port 80
00290           0              0 fwd 127.0.0.1,8080 tcp from not table(0) to not me dst-port 80
00300 13826577903  8242261008497 skipto 4500 ip from any to any in
00400 12991916062  9997601022505 skipto 450 ip from any to any recv em0
00490 13160915329 10198679623968 allow ip from any to any
00500 13116454291 10100158038917 skipto 32500 ip from any to any in
00540 13633789181  8028272716416 allow ip from any to any
01000    25657335     5847768825 allow udp from any 53,7723 to any
01010        6106         427124 allow tcp from any to any setup keep-state
01020    16254399     1731675599 allow udp from any to any keep-state
01100     3480080      241199755 allow ip from any to any
02000           0              0 check-state
02010     1908030      159041724 allow icmp from any to any
02020      116523       14424651 allow tcp from any to any dst-port 80,443
02050   317537445    21862223138 deny ip from any to any via em0
02060    25898457     1619159339 allow udp from any to any dst-port 53,7723
02100     3490438      192590188 deny ip from any to any
05000     2844115      203282247 deny ip from not table(0) to any
05001           0              0 skipto 5010 ip from table(127) to table(126)
05002 13656898569  8042000753698 skipto 5030 ip from any to not table(2)
05003       11258        1054597 deny ip from any to not table(1)
05004   166806921   200054683865 pipe tablearg ip from table(21) to any
05005           0              0 deny ip from any to any
05010           0              0 pipe tablearg ip from table(127) to any
05030      201626        9613472 deny tcp from table(15) to any dst-port 25
05130   514101054   271294196653 allow ip from table(31) to table(30)
05400 13142595861  7770696940765 pipe tablearg ip from table(11) to any
32000          28           2808 deny ip from any to any
32490       17040        1234090 deny ip from any to any
33000           0              0 pipe tablearg ip from table(126) to table(127)
33001 13116077035 10099670334741 skipto 33010 ip from not table(2) to any
33002      336863      485096152 pipe tablearg ip from any to table(20)
33003       39495        2526139 deny ip from any to any
33130   502482586   557481414901 allow ip from table(30) to table(31)
33400 12611175078  9542028984404 pipe tablearg ip from any to table(10)
65535     2420269      160017321 allow ip from any to any

[dsk]

Ради эксперимента сделайте net.inet.ip.fw.one_pass=0

[goletsa]

Ради эксперимента сделайте net.inet.ip.fw.one_pass=0

Один фиг.

 

[vurd]

Ради эксперимента сделайте net.inet.ip.fw.one_pass=0

Один фиг.

Один в один проблема.

 

Пакет без 0x7FFFFFFF проходит bpf и возвращается в файрвол, если смотреть на счетчики. Куда он девается дальше не ясно.

 

fw.one_pass разрешит ему пройти дальше по правилам, если выключено - то пропустить сразу. Это здесь не при чем.

Изменено 25 февраля, 2010 пользователем vurd

[OK-2004]

для des-3526 , без учёта vlan:

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x000000ff 0x0 offset_48-63 0x0 0x0 0x0000ffff 0xffffff00 profile_id 1 
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_48-63 0x0 0x0 0x00007fff 0xffffffab00 port 1-26 deny

Поправьте, если неправильно...

[aleksey2000]

Пользователи SIP вам моск ещё клевать не начали с такими правилами резки?)

Как представитель провайдера IP телефонии могу уверено заявить, как раз с середины февраля наблюдаем резкое снижение качества связи. Серваки территориально разнесены по разным провам - местами пока еще норм, но много где идут срывы связи в процессе разговора (контрольные пакеты не до ходят до клиента и сервак рубит сессию). Там же перестали работать факсы (такой тип передачи оч требователен к "непрерывности" потока передачи, который тоже рвется).

 

Так что SIP страдает вместе с вами. ((((