marikoda Опубликовано 27 февраля, 2010 · Жалоба Потдерживаю... Тут начали чтото про 6to4 туннели расказывать но бысто полезная тема сдохла раскажыте можно ли µTP по сигнатуре зафилтровать на 41 proto чтоб забыть об этой проблеме надолго (ну пока протокол не пофиксят) Хомячкам - на вашей скорости закачек это будет отражатся только положительно конечно если только пров у вас не злой и не взял за цель искоренить п2п как явление он тогда враг самому себе кроме 6to4 есть еще тередо, оно работает по рандомным udp портам.т.е. для него тоже сигнатуры надо бы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 27 февраля, 2010 · Жалоба Для Cisco тут ещё не видел:Код class-map type access-control match-any No_Torrent match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB" policy-map type access-control No_Torrent_PM class No_Torrent drop interface GigabitEthernet0/0 service-policy type access-control input No_Torrent_PM Ну и для мониторинга show policy-map type access-control interface gi 0/0 По уму ещё и протокол загрузить-проверять надо, но работает вполне успешно, загрузка вечерняя снизилась на 15-20% при возросшем трафике. На циске 3725 с ios c3725-advipservicesk9-mz.124-17.bin Конструкция: class-map match-all bittorrent match protocol bittorrent match packet length min 150 max 190 policy-map inet class bittorrent police 2048000 768000 768000 conform-action transmit exceed-action drop interface FastEthernet0/0 ... service-policy output inet практически не работает: C3725#sh policy-map int fa 0/0 FastEthernet0/0 Service-policy output: inet ... Class-map: bittorrent (match-all) 693844 packets, 144123605 bytes 5 minute offered rate 11000 bps, drop rate 0 bps Match: protocol bittorrent Match: packet length min 50 max 190 police: cir 2048000 bps, bc 768000 bytes conformed 693844 packets, 144123605 bytes; actions: transmit exceeded 0 packets, 0 bytes; actions: drop conformed 11000 bps, exceed 0 bps Class-map: class-default (match-any) 171829357 packets, 72464367505 bytes 5 minute offered rate 10345000 bps, drop rate 0 bps Match: any bittorrent.pdlm на flash-ке: C3725#sh flash:System CompactFlash directory:File Length Name/status 1 10799968 c3725-ipbase-mz.123-9b.bin 2 37526764 c3725-advipservicesk9-mz.124-17.bin 3 4758 bittorrent.pdlm[48331684 bytes used, 79856728 available, 128188412 total]125184K bytes of ATA System CompactFlash (Read/Write)[/code] Что-то я сделал не так? Или этой кошке такая задача не по зубам? match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB" Правило для "\x7F\xFF\xFF\xFF\x00" решили убрать, т.к. совпадений доли процента. А этого просто нет. :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 27 февраля, 2010 · Жалоба match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB" Правило для "\x7F\xFF\xFF\xFF\x00" решили убрать, т.к. совпадений доли процента. А этого просто нет. :( FPM для 3700 есть в 12.4 ветках кроме 6to4 есть еще тередо, оно работает по рандомным udp портам.т.е. для него тоже сигнатуры надо бы... в том тунельном трафике который сделала Windows XP с IPv6 стеком Teredo не видно, хотя интерфейс такой есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 27 февраля, 2010 · Жалоба Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 27 февраля, 2010 · Жалоба Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)ППКС. И все равно я считаю, что технические топик, начавшийся тремя днями ранее, подсовывать как коммент к новости, на базе этого топика и написанной - ну... некузяво, мягко говоря. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 27 февраля, 2010 · Жалоба Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)Нашел проблему. Зачем обращать внимание на хомяков, они все равно набегут, если топик попал в ссылки на всяческих хабрах и т.п. Придет модератор и спокойно все лишнее топором почистит... И все равно я считаю, что технические топик, начавшийся тремя днями ранее, подсовывать как коммент к новости, на базе этого топика и написанной - ну... некузяво, мягко говоря.А что в этом ужастного-то? Простая конвертация форумного топика в комменты - из-за их большой социальной значимости. ЗЫ. Стереть-то пришлось постов 15. ВСЕГО! И то половина - ответы юзерам. ;-) Причем самое забавное - разборки в стиле "троль! сам троль!" начались далеко не с гостей, а... с участников, у которых более 500 постов. Уже не буду показывать пальцем. В общем - правильная тактика с юзерами (и прочими гостями) не отвечать! игнорировать! просто нажать кнопочку "сообщить модератору". Он придет и тихо-мирно вырубит лишнее. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 27 февраля, 2010 · Жалоба Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)Нашел проблему. Зачем обращать внимание на хомяков, они все равно набегут, если топик попал в ссылки на всяческих хабрах и т.п. Придет модератор и спокойно все лишнее топором почистит... Зачем давать возможность писать тем, кому даже лень зарегиться?Что этот человек хорошего сможет написать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 27 февраля, 2010 · Жалоба Для Линупса, возможно: iptables -I FORWARD -o eth0.33 -p udp -m string --algo bm --hex-string "|7f ff ff ff ab|" -m length --length 61 Ессно интерфейс убрать, и добавить -j LOG для начала (осторожно! если много траффика - может все слечь) ... если все ок -j DROP --length 51 тоже... правильнее конечно задать offset, но лень думать сейчас Ж-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 27 февраля, 2010 · Жалоба Черт, уже было :-) ну пусть остается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MagMike Опубликовано 27 февраля, 2010 (изменено) · Жалоба Для Линупса, возможно:iptables -I FORWARD -o eth0.33 -p udp -m string --algo bm --hex-string "|7f ff ff ff ab|" -m length --length 61 Ессно интерфейс убрать, и добавить -j LOG для начала (осторожно! если много траффика - может все слечь) ... если все ок -j DROP --length 51 тоже... правильнее конечно задать offset, но лень думать сейчас Ж-) ну так ранее (на 4й странице) было предложено -m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44 Изменено 27 февраля, 2010 пользователем MagMike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость лень_логиниться Опубликовано 27 февраля, 2010 · Жалоба наг все потер :) жесть во все красе начала проникать на наг - http://forum.nag.ru/forum/index.php?showtopic=55217 это все в тему топа, так что... ну блин не могу перебирать все свои пасы, та и потом с роботы этот перебор повторять, так как там авторизация слетит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 27 февраля, 2010 · Жалоба Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)Нашел проблему. Зачем обращать внимание на хомяков, они все равно набегут, если топик попал в ссылки на всяческих хабрах и т.п. Придет модератор и спокойно все лишнее топором почистит... Паша, говоря "был" я имел ввиду тот факт что грамотные ответы довольно быстро сняли остроту проблемы. :-) А проблема была... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 27 февраля, 2010 · Жалоба А что в этом ужастного-то? Простая конвертация форумного топика в комменты - из-за их большой социальной значимости.Это конечно твой монастырь, как скажешь - так и будет. Просто нарушена причинно-следственная связь, и это неприятно царапнуло. Все таки сначала идет событие, а к нему комментарии, а не наоборот.Как было: Человек запостил на форум мысль про торренты. Достаточно большое количество спецов, тусящих на этом форуме, и не первую неделю мучающиеся загадкой повышения ппс и неадекватной работой оборудования, тему поддержали и развили. Нашли лекарство, и начали обмениваться мыслями. Операторскими. Как стало при взгляде с портала: Портал опубликовал новость о наступлении события, предсказанного полтора года назад, и провайдеры, увидев это и прозрев, кинулись обсуждать, как бы побыстрее обидеть хомячков с торрентами, и не дать им вволю качать за их кровные. То, что то комменты начинаются за три дня до новости - это никто не посмотрит. Ни в коей мере не претендую на истину, просто высказал свою личную точку зрения. Публикуя свои наблюдения, я даже и не предполагал, что на самом деле комментирую статью главного редактора портала. Вот как-то так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 27 февраля, 2010 · Жалоба match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB" Правило для "\x7F\xFF\xFF\xFF\x00" решили убрать, т.к. совпадений доли процента. А этого просто нет. :( FPM для 3700 есть в 12.4 ветках Остались еще где-то такие старые ИОСы? Конечно циска старенькая, но ведь работает. :) ... и почему все же это class-map match-all bittorrent match protocol bittorrent match packet length min 150 max 190 policy-map inet class bittorrent police 2048000 768000 768000 conform-action transmit exceed-action drop interface FastEthernet0/0 ... service-policy output inet не работает? :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 27 февраля, 2010 · Жалоба а ios какой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grama Опубликовано 27 февраля, 2010 · Жалоба Для 72 NPE-G2, что посоветуете ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 27 февраля, 2010 · Жалоба воткнуть в разрыв какой нибудь длинк с pcf. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 27 февраля, 2010 · Жалоба to Andrei вы загружаете стандартный файл bittorent? если да то посмотрите его содержимое <?xml version="1.0" encoding="UTF-8"?> <tcdf> <class name="bittorrent" type="access-control" match="any"> <match> <regex start="l2-start" offset="54" size="32" value="\x13BitTorrent\x20protocol"></regex> <regex start="l2-start" offset="54" size="32" value="GET\x20.*\?info_hash="></regex> <regex start="l2-start" offset="54" size="32" value="[a|A][z|Z][v|V][e|E][r|R]\x01"></regex> </match> </class> <policy type="access-control" name="tcp_policy"> <class name="bittorrent"></class> <action>drop</action> </policy> </tcdf> там нет сигнатуры match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB" или сами вставьте ее в файл и перезагрузите его или как в примере выше руками определите его в class-map Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grama Опубликовано 27 февраля, 2010 · Жалоба А на 72-х (бордер и 3 терминатора PPPoE&PPTP на них ) можно подрезать что-то ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 27 февраля, 2010 · Жалоба А на 72-х (бордер и 3 терминатора PPPoE&PPTP на них ) можно подрезать что-то ? можно если у вас ios 12.4 тогда или сами создайте файл протокола или class-map type access-control match-any No_Torrent match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB" policy-map type access-control No_Torrent_PM class No_Torrent drop interface GigabitEthernet XXXX service-policy type access-control input No_Torrent_PM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grama Опубликовано 27 февраля, 2010 · Жалоба Спасибо. Похоже не получится на Border (Version 12.2(31)SB11) На точках входа еще не смотрел..... Version 12.4(4)XD8... подойдет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 27 февраля, 2010 · Жалоба Ни в коей мере не претендую на истину, просто высказал свою личную точку зрения. Публикуя свои наблюдения, я даже и не предполагал, что на самом деле комментирую статью главного редактора портала. Вот как-то так.Ну в общем-то это и статьей не назвать, если честно. ;-)Просто надо было вытащить топик в комменты, и все. Ну не все читают форум - это факт, да и поисковики форумы не так часто индексируют. В общем, я это рассматривал как чисто технический момент, а не принципиальный. Если сильно задевает - можно и не использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 27 февраля, 2010 · Жалоба вообще между нами девочками - если владельцы всяких SCE sandvine arbor и прочих DPI устройств выдернули бы со своих железок сигнатуры bittorent bittorent_udp mtp и проч - их вполне можно было бы заюзать на роутерах большинства вендоров mikrotik cisco juniper huavei dlink etc Спасибо. Похоже не получится на Border (Version 12.2(31)SB11) На точках входа еще не смотрел..... Version 12.4(4)XD8... подойдет ? grama - зачем вам функционал SB ветки на бордере? поменяйте его на 12.4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 27 февраля, 2010 · Жалоба если владельцы всяких SCE sandvine arbor и прочих DPI устройств выдернули бы со своих железок сигнатуры Мысль не осилил Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 27 февраля, 2010 (изменено) · Жалоба grama - зачем вам функционал SB ветки на бордере?поменяйте его на 12.4 скорее шла речь о 72х с pptp.вообще между нами девочками - если владельцы всяких SCE sandvine arbor и прочих DPI устройств выдернули бы со своих железок сигнатурыbittorent bittorent_udp mtp и проч - их вполне можно было бы заюзать на роутерах большинства вендоров mikrotik cisco juniper huavei dlink etc cmhungry вроде как ковырялся на эту тему с SCE. Изменено 27 февраля, 2010 пользователем darkagent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...