Перейти к содержимому
Калькуляторы

А торрент ли? Увеличение количества pps на серверах

weldpua2008 - Beta - это build 18408

Jugernault, 18408 это 2.0.1(beta) а не 2.0(stable)

Нууу возможно....

 

Вчера утром снял фильтры и тут же увидел картину Репина маслом - в течении получаса рост pps на 20%. Вечером, в прайм тайм, количество pps составило +50%.

Продержал сутки без фильтров и выключил снова.

 

Вывод - ни хрена они не починили.

Изменено пользователем Jugernault

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут скорее вывод, что нихрена ещё народ не обновился... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лаг обновления клиентов до двух недель, если на глаз примерно брать.

У меня только сейчас 2.х стало больше чем 1.х в пирах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах


create access_profile profile_id 1 packet_content_mask offset_chunk_1 7 0x00FF0000 offset_chunk_2 15 0x0000FF00 offset_chunk_3 23 0x00FFFFFF offset_chunk_4 24 0xFFFF0000

config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x2F000000 offset_chunk_2 0x11000000  offset_chunk_3 0x007FFFFF offset_chunk_4 0x00FFAB00 port 1-24 deny

 

на 3028 с PPPOE сработает или это только для pptp ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала определитесь какое из 2х правил верное вообще. Верхнее "только", второе если сработает то для всего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

create access_profile packet_content_mask offset_16-31 0x0 0x000000ff 0x0 0x0 offset_48-63 0x0 0x0000ffff 0xffffff00 0x0 profile 4
config access_profile profile_id 4 add access_id auto_assign packet_content offset 20 0x00000011 offset 52 0x00007fff offset 56 0xffffab00 port 1-28 deny

вот это прописал, но чёт сомнения закрадываются, что сработает для пппое

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость Shebnik

в Дальсвязи Владивостока уже недели две всех то более-менее расходует траффик, даже если тариф не предусматривт лимита, зажимают днём.

У меня 1.6 мегабит ночью, а с 10 утра до 2х ночи - 70кбит до Москвы. Локальные ресурсы нормально.

 

Люди жаловались, получали официальный ответ: вы выкачали 50 гигов за месяц, несоответствия тарифам не видим. За качество за пределами нашей сети не отвечаем.

 

Увы, проблема, судя по форумам, тотальная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

uTorrent снова обновился.
-- 2010-03-05: Version 2.0 (build 18488)

- Fix: Fixed half-open limit on Windows 7

- Fix: Fixed bug where uTorrent could freeze on broken web UI requests

- Fix: Fixed bug in uTP header field layout

То есть надо другую сигнатуру блочить?

у нас пока старая сигнатура валит...

хотя, может быть еще не все обновились...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Торрент то разработчики починят... Но вот что будет дальше?

Есть мнение, что эта история многих операторов сподвигнет на внедрение DPI...

Ибо в этот раз - торрент по udp, а завтра - DDD мелкими udp пакетами, да ещё и не поддающимися сигнатурному анализу ( а-ля FPM) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Будм копать тогда ip. на подходе к концентратору соберать толпу мелочи в один нормальный пакет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SZlodey, а разбирать потом как это собираетесь? :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Осилил топик до конца, спасибо за вырезку из положения о связи, понятно, что ситуация схожая с DDoS и с этим надо бороться, но понятно и то, что резать пользователей по контенту который он желает получить ОСОЗНАННО некорректно, встретил дельный вопрос который и может решить проблему на узких каналах и сдержать главную проблему, ради чего топик и создавался:

 

вопрос - что может ограничивать pps: FreeBSD, Linux?

но ответа так и не было получено, все крутились вокруг сигнатур таймстампа, длины пакета, прав хомячков, собиранием навоза и опорожнения этих ёмкостей.

 

В связи с чем повторю вопрос, ну, немного изменив его (надеюсь на помощь):

Каким образом ограничить количество пакетов используя ipfw во FreeBSD?

Ограничение по количеству сессий в сложившейся ситуации с основой протокола nTP на UDP (не требующим установления сессии/устойчивого соединения) не спасёт.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем? Это же не софтроутер, он прожуёт...

Это как? IOS не софт шоле? От того что ОС на флеше что меняется? Роутер становится железячным?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как сознательный хомяк забанил дома uTP на линупсовом роутере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Осилил топик до конца, спасибо за вырезку из положения о связи, понятно, что ситуация схожая с DDoS и с этим надо бороться, но понятно и то, что резать пользователей по контенту который он желает получить ОСОЗНАННО некорректно, встретил дельный вопрос который и может решить проблему на узких каналах и сдержать главную проблему, ради чего топик и создавался:

 

вопрос - что может ограничивать pps: FreeBSD, Linux?

но ответа так и не было получено, все крутились вокруг сигнатур таймстампа, длины пакета, прав хомячков, собиранием навоза и опорожнения этих ёмкостей.

 

В связи с чем повторю вопрос, ну, немного изменив его (надеюсь на помощь):

Каким образом ограничить количество пакетов используя ipfw во FreeBSD?

Ограничение по количеству сессий в сложившейся ситуации с основой протокола nTP на UDP (не требующим установления сессии/устойчивого соединения) не спасёт.

еще раз перечитайте. Там и ссылка на статью, и скрипт генерации bpf-программы были.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем? Это же не софтроутер, он прожуёт...

Это как? IOS не софт шоле? От того что ОС на флеше что меняется? Роутер становится железячным?

Э-э-э, а вот в свитче что, софта нет?

Однако, свитч - железный...

 

В ESR есть PFX - матрица сетевых процессоров, специально спроектированная под 24 гигабит пропускной и 9 mpps.

Какой там CPU (а он там как в NPE-G1) - значения не имеет, им пакеты не обрабатываются...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

роутер становиться железячным, когда свои основные функции он выполняет специализированными микросхемами, а не процессором общего назначения.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще раз перечитайте. Там и ссылка на статью, и скрипт генерации bpf-программы были.
Может я не правильно понял, но человек хочет урезать ппс на клиента в секунду а не отфильтровать uTP.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Умник а разбирает пусть тот к кому они придут :) А вообще, покуда всем хватает и сигнатурных фильтрофф на utp которые на работу со стороны пользлвателя никак не влияют, чего заморачиваться? Пущай производители оборудования и бюро стандартов над этим думают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще раз перечитайте. Там и ссылка на статью, и скрипт генерации bpf-программы были.
Может я не правильно понял, но человек хочет урезать ппс на клиента в секунду а не отфильтровать uTP.

Ну тогда можно открыть для человека man ng_car и google ng_car. В версии 0.6 этого продукта есть возможность шейпить по pps вместо kbit/s.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Каким образом ограничить количество пакетов используя ipfw во FreeBSD?

 

Средствами ipfw по-моему пока никак, ipfw хорошо работает на уровне пакета, прикрутить к нему счётчик пакетов и триггер получалось лишь внешними програмами.

Думаю, нужно просить разработчиков о новой фиче вроде "limit pkt-rate" с дропом пакетов более указаного числа :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Каким образом ограничить количество пакетов используя ipfw во FreeBSD?

 

Средствами ipfw по-моему пока никак, ipfw хорошо работает на уровне пакета, прикрутить к нему счётчик пакетов и триггер получалось лишь внешними програмами.

Думаю, нужно просить разработчиков о новой фиче вроде "limit pkt-rate" с дропом пакетов более указаного числа :)

Понял, благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще раз перечитайте. Там и ссылка на статью, и скрипт генерации bpf-программы были.
Может я не правильно понял, но человек хочет урезать ппс на клиента в секунду а не отфильтровать uTP.

Ну тогда можно открыть для человека man ng_car и google ng_car. В версии 0.6 этого продукта есть возможность шейпить по pps вместо kbit/s.

дык дело в том, что надо не вместо, а совместно :) ...ели одно из условий срабатывает - дроп :)

 

Каким образом ограничить количество пакетов используя ipfw во FreeBSD?

 

Средствами ipfw по-моему пока никак, ipfw хорошо работает на уровне пакета, прикрутить к нему счётчик пакетов и триггер получалось лишь внешними програмами.

Думаю, нужно просить разработчиков о новой фиче вроде "limit pkt-rate" с дропом пакетов более указаного числа :)

Понял, благодарю.

Кто-нить уже начал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто-нить уже начал?

Я не в курсе. Вообще, во фре уже давно имеется отлтчный встроеный механизм защиты от ICMP флуда (настраивается через sysctl net.inet.icmp.icmplim), поэтому рискну предположить, что такую фичу совершенно не сложно нарисовать на уровне ядра применительно, например, к всему ip либо отдельно tcp/icmp/udp и т.д траффику не прибегая к будующим возможностям IPFW. Хотя такой способ, несмотря на скорость работы значительно уступает настраиваемым правилам по гибкости.

Изменено пользователем andryas

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

# kldload ng_ipfw
# ngctl mkpeer ipfw: bpf 127 ipfw
# ngctl name ipfw:127 utp_filter
# ngctl name ipfw:127 pptp_utp_filter
# ngctl msg pptp_utp_filter: setprogram '{ thisHook="ipfw" ifMatch="matched" ifNotMatch="ipfw" bpf_prog_len=36 bpf_prog=[ { code=0xb1 } { code=0x40 } { code=0x54 k=4286578687 } { code=0x15 jf=31 k=805406731 } { code=0x50 k=1 } { code=0x54 k=128 } { code=0x74 k=5 } { code=0x4 k=12 } { code=0xc } { code=0x7 } { code=0x48 } { code=0x15 jf=3 k=65283 } { code=0x87 jf=3 } { code=0x4 k=2 } { code=0x7 } { code=0x50 } { code=0x15 jf=3 } { code=0x87 jf=3 } { code=0x4 k=1 } { code=0x7 } { code=0x50 } { code=0x15 jf=13 k=33 } { code=0x87 jf=3 } { code=0x4 k=1 } { code=0x7 } { code=0x50 k=9 } { code=0x15 jf=8 k=17 } { code=0x50 } { code=0x54 k=15 } { code=0x64 k=2 } { code=0xc } { code=0x7 } { code=0x40 k=20 } { code=0x15 jf=1 k=2147483647 } { code=0x6 k=65535 } { code=0x6 } ] }'
# sysctl net.inet.ip.fw.one_pass=0
# ipfw add 127 netgraph 127 gre from any to any via ng0
# ngctl msg pptp_utp_filter: getstats '"ipfw"'

 

если я использую на сервере pf, то как мне это прикрутить?

Изменено пользователем Zohan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.