Jugernault Опубликовано 7 марта, 2010 (изменено) · Жалоба weldpua2008 - Beta - это build 18408Jugernault, 18408 это 2.0.1(beta) а не 2.0(stable) Нууу возможно.... Вчера утром снял фильтры и тут же увидел картину Репина маслом - в течении получаса рост pps на 20%. Вечером, в прайм тайм, количество pps составило +50%. Продержал сутки без фильтров и выключил снова. Вывод - ни хрена они не починили. Изменено 7 марта, 2010 пользователем Jugernault Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20Ilya Опубликовано 7 марта, 2010 · Жалоба Тут скорее вывод, что нихрена ещё народ не обновился... ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 марта, 2010 · Жалоба Лаг обновления клиентов до двух недель, если на глаз примерно брать. У меня только сейчас 2.х стало больше чем 1.х в пирах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sinoptik Опубликовано 8 марта, 2010 · Жалоба create access_profile profile_id 1 packet_content_mask offset_chunk_1 7 0x00FF0000 offset_chunk_2 15 0x0000FF00 offset_chunk_3 23 0x00FFFFFF offset_chunk_4 24 0xFFFF0000 config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x2F000000 offset_chunk_2 0x11000000 offset_chunk_3 0x007FFFFF offset_chunk_4 0x00FFAB00 port 1-24 deny на 3028 с PPPOE сработает или это только для pptp ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SZlodey Опубликовано 8 марта, 2010 · Жалоба Для начала определитесь какое из 2х правил верное вообще. Верхнее "только", второе если сработает то для всего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sinoptik Опубликовано 8 марта, 2010 · Жалоба create access_profile packet_content_mask offset_16-31 0x0 0x000000ff 0x0 0x0 offset_48-63 0x0 0x0000ffff 0xffffff00 0x0 profile 4 config access_profile profile_id 4 add access_id auto_assign packet_content offset 20 0x00000011 offset 52 0x00007fff offset 56 0xffffab00 port 1-28 deny вот это прописал, но чёт сомнения закрадываются, что сработает для пппое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Shebnik Опубликовано 9 марта, 2010 · Жалоба в Дальсвязи Владивостока уже недели две всех то более-менее расходует траффик, даже если тариф не предусматривт лимита, зажимают днём. У меня 1.6 мегабит ночью, а с 10 утра до 2х ночи - 70кбит до Москвы. Локальные ресурсы нормально. Люди жаловались, получали официальный ответ: вы выкачали 50 гигов за месяц, несоответствия тарифам не видим. За качество за пределами нашей сети не отвечаем. Увы, проблема, судя по форумам, тотальная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 9 марта, 2010 · Жалоба uTorrent снова обновился.-- 2010-03-05: Version 2.0 (build 18488)- Fix: Fixed half-open limit on Windows 7 - Fix: Fixed bug where uTorrent could freeze on broken web UI requests - Fix: Fixed bug in uTP header field layout То есть надо другую сигнатуру блочить? у нас пока старая сигнатура валит...хотя, может быть еще не все обновились... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 9 марта, 2010 · Жалоба Торрент то разработчики починят... Но вот что будет дальше? Есть мнение, что эта история многих операторов сподвигнет на внедрение DPI... Ибо в этот раз - торрент по udp, а завтра - DDD мелкими udp пакетами, да ещё и не поддающимися сигнатурному анализу ( а-ля FPM) :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SZlodey Опубликовано 9 марта, 2010 · Жалоба Будм копать тогда ip. на подходе к концентратору соберать толпу мелочи в один нормальный пакет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 9 марта, 2010 · Жалоба SZlodey, а разбирать потом как это собираетесь? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
knez Опубликовано 10 марта, 2010 · Жалоба Осилил топик до конца, спасибо за вырезку из положения о связи, понятно, что ситуация схожая с DDoS и с этим надо бороться, но понятно и то, что резать пользователей по контенту который он желает получить ОСОЗНАННО некорректно, встретил дельный вопрос который и может решить проблему на узких каналах и сдержать главную проблему, ради чего топик и создавался: вопрос - что может ограничивать pps: FreeBSD, Linux? но ответа так и не было получено, все крутились вокруг сигнатур таймстампа, длины пакета, прав хомячков, собиранием навоза и опорожнения этих ёмкостей. В связи с чем повторю вопрос, ну, немного изменив его (надеюсь на помощь): Каким образом ограничить количество пакетов используя ipfw во FreeBSD? Ограничение по количеству сессий в сложившейся ситуации с основой протокола nTP на UDP (не требующим установления сессии/устойчивого соединения) не спасёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jene Опубликовано 10 марта, 2010 · Жалоба А зачем? Это же не софтроутер, он прожуёт... Это как? IOS не софт шоле? От того что ОС на флеше что меняется? Роутер становится железячным? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonymous Опубликовано 10 марта, 2010 · Жалоба Как сознательный хомяк забанил дома uTP на линупсовом роутере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 10 марта, 2010 · Жалоба Осилил топик до конца, спасибо за вырезку из положения о связи, понятно, что ситуация схожая с DDoS и с этим надо бороться, но понятно и то, что резать пользователей по контенту который он желает получить ОСОЗНАННО некорректно, встретил дельный вопрос который и может решить проблему на узких каналах и сдержать главную проблему, ради чего топик и создавался: вопрос - что может ограничивать pps: FreeBSD, Linux? но ответа так и не было получено, все крутились вокруг сигнатур таймстампа, длины пакета, прав хомячков, собиранием навоза и опорожнения этих ёмкостей. В связи с чем повторю вопрос, ну, немного изменив его (надеюсь на помощь): Каким образом ограничить количество пакетов используя ipfw во FreeBSD? Ограничение по количеству сессий в сложившейся ситуации с основой протокола nTP на UDP (не требующим установления сессии/устойчивого соединения) не спасёт. еще раз перечитайте. Там и ссылка на статью, и скрипт генерации bpf-программы были. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 10 марта, 2010 · Жалоба А зачем? Это же не софтроутер, он прожуёт... Это как? IOS не софт шоле? От того что ОС на флеше что меняется? Роутер становится железячным? Э-э-э, а вот в свитче что, софта нет?Однако, свитч - железный... В ESR есть PFX - матрица сетевых процессоров, специально спроектированная под 24 гигабит пропускной и 9 mpps. Какой там CPU (а он там как в NPE-G1) - значения не имеет, им пакеты не обрабатываются... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 10 марта, 2010 · Жалоба роутер становиться железячным, когда свои основные функции он выполняет специализированными микросхемами, а не процессором общего назначения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
amx Опубликовано 10 марта, 2010 · Жалоба еще раз перечитайте. Там и ссылка на статью, и скрипт генерации bpf-программы были.Может я не правильно понял, но человек хочет урезать ппс на клиента в секунду а не отфильтровать uTP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SZlodey Опубликовано 10 марта, 2010 · Жалоба Умник а разбирает пусть тот к кому они придут :) А вообще, покуда всем хватает и сигнатурных фильтрофф на utp которые на работу со стороны пользлвателя никак не влияют, чего заморачиваться? Пущай производители оборудования и бюро стандартов над этим думают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 10 марта, 2010 · Жалоба еще раз перечитайте. Там и ссылка на статью, и скрипт генерации bpf-программы были.Может я не правильно понял, но человек хочет урезать ппс на клиента в секунду а не отфильтровать uTP. Ну тогда можно открыть для человека man ng_car и google ng_car. В версии 0.6 этого продукта есть возможность шейпить по pps вместо kbit/s. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 10 марта, 2010 · Жалоба Каким образом ограничить количество пакетов используя ipfw во FreeBSD? Средствами ipfw по-моему пока никак, ipfw хорошо работает на уровне пакета, прикрутить к нему счётчик пакетов и триггер получалось лишь внешними програмами. Думаю, нужно просить разработчиков о новой фиче вроде "limit pkt-rate" с дропом пакетов более указаного числа :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
knez Опубликовано 11 марта, 2010 · Жалоба Каким образом ограничить количество пакетов используя ipfw во FreeBSD? Средствами ipfw по-моему пока никак, ipfw хорошо работает на уровне пакета, прикрутить к нему счётчик пакетов и триггер получалось лишь внешними програмами. Думаю, нужно просить разработчиков о новой фиче вроде "limit pkt-rate" с дропом пакетов более указаного числа :) Понял, благодарю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weldpua2008 Опубликовано 11 марта, 2010 · Жалоба еще раз перечитайте. Там и ссылка на статью, и скрипт генерации bpf-программы были.Может я не правильно понял, но человек хочет урезать ппс на клиента в секунду а не отфильтровать uTP. Ну тогда можно открыть для человека man ng_car и google ng_car. В версии 0.6 этого продукта есть возможность шейпить по pps вместо kbit/s. дык дело в том, что надо не вместо, а совместно :) ...ели одно из условий срабатывает - дроп :) Каким образом ограничить количество пакетов используя ipfw во FreeBSD? Средствами ipfw по-моему пока никак, ipfw хорошо работает на уровне пакета, прикрутить к нему счётчик пакетов и триггер получалось лишь внешними програмами. Думаю, нужно просить разработчиков о новой фиче вроде "limit pkt-rate" с дропом пакетов более указаного числа :) Понял, благодарю. Кто-нить уже начал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 11 марта, 2010 (изменено) · Жалоба Кто-нить уже начал? Я не в курсе. Вообще, во фре уже давно имеется отлтчный встроеный механизм защиты от ICMP флуда (настраивается через sysctl net.inet.icmp.icmplim), поэтому рискну предположить, что такую фичу совершенно не сложно нарисовать на уровне ядра применительно, например, к всему ip либо отдельно tcp/icmp/udp и т.д траффику не прибегая к будующим возможностям IPFW. Хотя такой способ, несмотря на скорость работы значительно уступает настраиваемым правилам по гибкости. Изменено 11 марта, 2010 пользователем andryas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zohan Опубликовано 11 марта, 2010 (изменено) · Жалоба # kldload ng_ipfw # ngctl mkpeer ipfw: bpf 127 ipfw # ngctl name ipfw:127 utp_filter # ngctl name ipfw:127 pptp_utp_filter # ngctl msg pptp_utp_filter: setprogram '{ thisHook="ipfw" ifMatch="matched" ifNotMatch="ipfw" bpf_prog_len=36 bpf_prog=[ { code=0xb1 } { code=0x40 } { code=0x54 k=4286578687 } { code=0x15 jf=31 k=805406731 } { code=0x50 k=1 } { code=0x54 k=128 } { code=0x74 k=5 } { code=0x4 k=12 } { code=0xc } { code=0x7 } { code=0x48 } { code=0x15 jf=3 k=65283 } { code=0x87 jf=3 } { code=0x4 k=2 } { code=0x7 } { code=0x50 } { code=0x15 jf=3 } { code=0x87 jf=3 } { code=0x4 k=1 } { code=0x7 } { code=0x50 } { code=0x15 jf=13 k=33 } { code=0x87 jf=3 } { code=0x4 k=1 } { code=0x7 } { code=0x50 k=9 } { code=0x15 jf=8 k=17 } { code=0x50 } { code=0x54 k=15 } { code=0x64 k=2 } { code=0xc } { code=0x7 } { code=0x40 k=20 } { code=0x15 jf=1 k=2147483647 } { code=0x6 k=65535 } { code=0x6 } ] }' # sysctl net.inet.ip.fw.one_pass=0 # ipfw add 127 netgraph 127 gre from any to any via ng0 # ngctl msg pptp_utp_filter: getstats '"ipfw"' если я использую на сервере pf, то как мне это прикрутить? Изменено 11 марта, 2010 пользователем Zohan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...