XeonVs Опубликовано 25 февраля, 2010 · Жалоба А не подскажут ли уважаемые коллеги, на cisco ME\ASR фильтрануть возможно? Сходу что-то не нагуглисось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 25 февраля, 2010 · Жалоба Моя статистика на одном из НАСов за 5 минут: 286K p2p filer 9651K world-host 9036K host-world Т.е. на 18М обработанных пакетов всего 286к отфильтровано.. 2%. Эта машина терминирует pppoe, правило ведь должно срабатывать и для ppp ? -A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 25 февраля, 2010 · Жалоба kayot Там не 2%, на сколько я понял. Корректней сравнить с TCP SYN'ами. Если их отфильтровать - TCP жить не будет, но SYN'ов же не 100% от TCP трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jugernault Опубликовано 25 февраля, 2010 · Жалоба Моя статистика на одном из НАСов за 5 минут:286K p2p filer 9651K world-host 9036K host-world Т.е. на 18М обработанных пакетов всего 286к отфильтровано.. 2%. Эта машина терминирует pppoe, правило ведь должно срабатывать и для ppp ? -A FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 -j DROP Все у тебя нормально... Так и должно быть - отфильтровывается только пакеты согласования mTP сесии между пирами. А после этитого пиры переходят в режим обмена по TCP.Т.е. торрент как работал, так и работает - абоненты получают свои гигабайты.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 25 февраля, 2010 (изменено) · Жалоба А не подскажут ли уважаемые коллеги, на cisco ME\ASR фильтрануть возможно? Сходу что-то не нагуглисось. Насколько я понимаю, ME железный, ему на pps пофигу. А на ASR1K можно попробовать FPM http://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html Изменено 25 февраля, 2010 пользователем nnm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 25 февраля, 2010 · Жалоба А не подскажут ли уважаемые коллеги, на cisco ME\ASR фильтрануть возможно? Сходу что-то не нагуглисось.Насколько я понимаю, ME железный, ему на pps пофигу. А на ASR1K можно попробовать FPM http://www.cisco.com/en/US/docs/ios/ios_xe...de_Chapter.html дак вопрос не в pps, а в фильтре. Чтобы не долетало до туда где уже не пофик. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 25 февраля, 2010 (изменено) · Жалоба Логично, спасибо. Изменено 25 февраля, 2010 пользователем kayot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[GP]Villi Опубликовано 25 февраля, 2010 · Жалоба больше всего повезло тем у кого на аггрегации стоит что-то с ACL типа packet content mask, это у длинка, не знаю есть ли у кого то аналоги. две строчки в конфиге и нет больше головной боли :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 25 февраля, 2010 (изменено) · Жалоба А не подскажут ли уважаемые коллеги, на cisco ME\ASR фильтрануть возможно? Сходу что-то не нагуглисось.ммм... service naglehttp://en.wikipedia.org/wiki/Nagle's_algorithm хотя нет. ошибся, забыл что он только tcp переваривает. Изменено 25 февраля, 2010 пользователем darkagent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 25 февраля, 2010 · Жалоба хотя нет. ошибся, забыл что он только tcp переваривает. Еще и не транзитный. :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
antong Опубликовано 25 февраля, 2010 · Жалоба больше всего повезло тем у кого на аггрегации стоит что-то с ACL типа packet content mask, это у длинка, не знаю есть ли у кого то аналоги. две строчки в конфиге и нет больше головной боли :) Ну почти повезло, если клиенты ходят без всяких PPP, на 3526 хватает offset`ов чтобы добраться до нужных байтов, а вот если есть PPP то уже не хватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Amigo12728 Опубликовано 25 февраля, 2010 (изменено) · Жалоба больше всего повезло тем у кого на аггрегации стоит что-то с ACL типа packet content mask, это у длинка, не знаю есть ли у кого то аналоги. две строчки в конфиге и нет больше головной боли :) Можно подробнее, что за строчки и куда писать?У нас D-Link DGS-3200-10 на входе, месяц как поставили. Еще не изучили как следует железку. Изменено 25 февраля, 2010 пользователем Amigo12728 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
totoro Опубликовано 25 февраля, 2010 (изменено) · Жалоба наблюдаю за темой целый день вопрос к знатокам на роутере МТ нужно указать правило фильтра со строкой content= рание был виложен дамп удп пакета в хексе каким должно быть значение text ??? буду благодарен за ответ =) Изменено 25 февраля, 2010 пользователем totoro Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 25 февраля, 2010 (изменено) · Жалоба Покажите, пожалуйста, рабочую конфигурацию для FreeBSD на netgraph-е. Я столкнулся с какой-то ерундой. Хорошие пакеты, без сигнатуры, не доходят до клиента. Т.е. DNS ответы и прочее. /sbin/kldload ng_bpf /sbin/kldload ng_ipfw /usr/sbin/ngctl mkpeer ipfw: bpf 1 main /usr/sbin/ngctl name ipfw:1 uTP_filter /usr/sbin/ngctl msg uTP_filter: setprogram { thisHook=\"main\" ifMatch=\"\" ifNotMatch=\"main\" bpf_prog_len=7 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=3 k=64 } { code=32 jt=0 jf=0 k=40 } { code=21 jt=0 jf=1 k=2147483647 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] } /sbin/ipfw add 10 netgraph 1 udp from any to any /sbin/ipfw add 11 allow udp from any to 192.168.1.100 /sbin/sysctl net.inet.ip.fw.one_pass=0 При этом, судя по статистике и счетчикам, пакеты проходят в netgrpah, потом возвращаются в ipfw. Как и должно быть. Но! До клиента они не доходят. Не могу понять, что за бред :) Изменено 25 февраля, 2010 пользователем vurd Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SunShine30 Опубликовано 25 февраля, 2010 · Жалоба больше всего повезло тем у кого на аггрегации стоит что-то с ACL типа packet content mask, это у длинка, не знаю есть ли у кого то аналоги. две строчки в конфиге и нет больше головной боли :) Можно подробнее, что за строчки и куда писать?У нас D-Link DGS-3200-10 на входе, месяц как поставили. Еще не изучили как следует железку. На длинковском форуме пошукайте. Там вот тему по сабжу подняли Помогите написать правило PCF для 3526 . Правда по вашей железяке еще не отписывались, но, возможно, что-то из уже приведенного там, поможет вам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AstraSerg Опубликовано 25 февраля, 2010 · Жалоба ...Сами правила для D-Link DGS3627 create access_profile profile_id 2 packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 13 0xFFFF offset_chunk_3 24 0xFFFFFFFF offset_chunk_4 25 0xFF000000 config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0xAB000000 port 1:25,2:25 deny ... Сами правила для D-Link DGS3627 (Только для L2TP туннелей): create access_profile profile_id 2 packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 13 0xFFFF offset_chunk_3 24 0xFFFFFFFF offset_chunk_4 25 0xFF000000 config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x6A5 offset_chunk_2 0x21 offset_chunk_3 0x7FFFFFFF offset_chunk_4 0xAB000000 port 1:25,2:25 deny В упор не вижу отличий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goletsa Опубликовано 25 февраля, 2010 · Жалоба goletsa> покажите: ngctl msg utp_filter: getprogram \"main\" ngctl msg utp_filter: getstats \"main\" ipfw show router3# ngctl msg utp_filter: getprogram \"main\" Rec'd response "getprogram" (2) from "[5]:": Args: { thisHook="main" ifNotMatch="main" bpf_prog_len=7 bpf_prog=[ { code=0x30 } { code=0x54 k=240 } { code=0x15 jf=3 k=64 } { code=0x20 k=40 } { code=0x15 jf=1 k=2147483647 } { code=0x6 k=65535 } { code=0x6 } ] } ngctl msg utp_filter: getstats \"main\" router3# ngctl msg utp_filter: getstats \"main\" Rec'd response "getstats" (3) from "[5]:": Args: { recvFrames=29494787 recvOctets=1857935510 recvMatchFrames=4020680 recvMatchOctets=245226252 xmitFrames=25487399 xmitOctets=1613375914 } Правило ставил в самое начало обычных правил шейпа т.е. они не могут влиять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 25 февраля, 2010 · Жалоба А кроме "обычных правил шейпа" там что-либо еще есть? Файрвол по умолчанию allow или deny? И что с net.inet.ip.fw.one_pass? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivb1232 Опубликовано 25 февраля, 2010 · Жалоба Может, кто это сделал на JunOS, поделитесь, пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goletsa Опубликовано 25 февраля, 2010 · Жалоба А кроме "обычных правил шейпа" там что-либо еще есть?Файрвол по умолчанию allow или deny? И что с net.inet.ip.fw.one_pass? sysctl net.inet.ip.fw.one_pass net.inet.ip.fw.one_pass: 1 Файрвол по умолчанию allow или deny? 00080 1035 47610 allow udp from 172.16.0.0/20 to me dst-port 69 00081 99010 78945220 allow udp from 172.16.0.0/20 to me dst-port 67 00082 19240 6492625 allow udp from me 67 to 172.16.0.0/20 00083 0 0 allow udp from 172.16.0.0/20 1024-65535 to me dst-port 69 in 00084 1264 197184 allow udp from me 1024-65535 to 172.16.0.0/20 dst-port 1024-65535 out 00085 297409 18542273 allow udp from 172.16.0.0/20 1024-65535 to me dst-port 1024-65535 in 00110 407167 38143631 allow ip from any to any via lo0 00120 37767379 6727292058 skipto 1000 ip from me to any 00130 449532 25390339 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00160 356580617 24941188390 skipto 2000 ip from any to me 00200 26734321771 18122135701944 skipto 500 ip from any to any via em0 00250 13991540673 8442714840069 skipto 270 ip from { table(0) or table(37) } to not me 00260 12995583237 9998443916678 skipto 300 ip from any to not me 00270 0 0 deny tcp from not table(0) to 90.183.101.0/24 00280 509603 108823664 fwd 127.0.0.1,81 tcp from table(35) to not me dst-port 80 00290 0 0 fwd 127.0.0.1,8080 tcp from not table(0) to not me dst-port 80 00300 13826577903 8242261008497 skipto 4500 ip from any to any in 00400 12991916062 9997601022505 skipto 450 ip from any to any recv em0 00490 13160915329 10198679623968 allow ip from any to any 00500 13116454291 10100158038917 skipto 32500 ip from any to any in 00540 13633789181 8028272716416 allow ip from any to any 01000 25657335 5847768825 allow udp from any 53,7723 to any 01010 6106 427124 allow tcp from any to any setup keep-state 01020 16254399 1731675599 allow udp from any to any keep-state 01100 3480080 241199755 allow ip from any to any 02000 0 0 check-state 02010 1908030 159041724 allow icmp from any to any 02020 116523 14424651 allow tcp from any to any dst-port 80,443 02050 317537445 21862223138 deny ip from any to any via em0 02060 25898457 1619159339 allow udp from any to any dst-port 53,7723 02100 3490438 192590188 deny ip from any to any 05000 2844115 203282247 deny ip from not table(0) to any 05001 0 0 skipto 5010 ip from table(127) to table(126) 05002 13656898569 8042000753698 skipto 5030 ip from any to not table(2) 05003 11258 1054597 deny ip from any to not table(1) 05004 166806921 200054683865 pipe tablearg ip from table(21) to any 05005 0 0 deny ip from any to any 05010 0 0 pipe tablearg ip from table(127) to any 05030 201626 9613472 deny tcp from table(15) to any dst-port 25 05130 514101054 271294196653 allow ip from table(31) to table(30) 05400 13142595861 7770696940765 pipe tablearg ip from table(11) to any 32000 28 2808 deny ip from any to any 32490 17040 1234090 deny ip from any to any 33000 0 0 pipe tablearg ip from table(126) to table(127) 33001 13116077035 10099670334741 skipto 33010 ip from not table(2) to any 33002 336863 485096152 pipe tablearg ip from any to table(20) 33003 39495 2526139 deny ip from any to any 33130 502482586 557481414901 allow ip from table(30) to table(31) 33400 12611175078 9542028984404 pipe tablearg ip from any to table(10) 65535 2420269 160017321 allow ip from any to any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 25 февраля, 2010 · Жалоба Ради эксперимента сделайте net.inet.ip.fw.one_pass=0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
goletsa Опубликовано 25 февраля, 2010 · Жалоба Ради эксперимента сделайте net.inet.ip.fw.one_pass=0Один фиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 25 февраля, 2010 (изменено) · Жалоба Ради эксперимента сделайте net.inet.ip.fw.one_pass=0Один фиг. Один в один проблема. Пакет без 0x7FFFFFFF проходит bpf и возвращается в файрвол, если смотреть на счетчики. Куда он девается дальше не ясно. fw.one_pass разрешит ему пройти дальше по правилам, если выключено - то пропустить сразу. Это здесь не при чем. Изменено 25 февраля, 2010 пользователем vurd Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OK-2004 Опубликовано 25 февраля, 2010 · Жалоба для des-3526 , без учёта vlan: create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x000000ff 0x0 offset_48-63 0x0 0x0 0x0000ffff 0xffffff00 profile_id 1 config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_48-63 0x0 0x0 0x00007fff 0xffffffab00 port 1-26 deny Поправьте, если неправильно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aleksey2000 Опубликовано 25 февраля, 2010 · Жалоба Пользователи SIP вам моск ещё клевать не начали с такими правилами резки?) Как представитель провайдера IP телефонии могу уверено заявить, как раз с середины февраля наблюдаем резкое снижение качества связи. Серваки территориально разнесены по разным провам - местами пока еще норм, но много где идут срывы связи в процессе разговора (контрольные пакеты не до ходят до клиента и сервак рубит сессию). Там же перестали работать факсы (такой тип передачи оч требователен к "непрерывности" потока передачи, который тоже рвется). Так что SIP страдает вместе с вами. (((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...