[marikoda]

Потдерживаю...

 

Тут начали чтото про 6to4 туннели расказывать но бысто полезная тема сдохла

раскажыте можно ли µTP по сигнатуре зафилтровать на 41 proto

 

чтоб забыть об этой проблеме надолго (ну пока протокол не пофиксят)

 

Хомячкам - на вашей скорости закачек это будет отражатся только положительно

конечно если только пров у вас не злой и не взял за цель искоренить п2п как явление

он тогда враг самому себе

кроме 6to4 есть еще тередо, оно работает по рандомным udp портам.

т.е. для него тоже сигнатуры надо бы...

[Andrei]

Для Cisco тут ещё не видел:

Код

class-map type access-control match-any No_Torrent

match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB"

 

policy-map type access-control No_Torrent_PM

class No_Torrent

drop

 

interface GigabitEthernet0/0

service-policy type access-control input No_Torrent_PM

 

Ну и для мониторинга show policy-map type access-control interface gi 0/0

По уму ещё и протокол загрузить-проверять надо, но работает вполне успешно, загрузка вечерняя снизилась на 15-20% при возросшем трафике.

На циске 3725 с ios c3725-advipservicesk9-mz.124-17.bin

 

Конструкция:

 

class-map match-all bittorrent
match protocol bittorrent
match packet length min 150 max 190

policy-map inet
class bittorrent
    police 2048000 768000 768000 conform-action transmit  exceed-action drop

interface FastEthernet0/0
...
service-policy output inet

практически не работает:

 

C3725#sh policy-map int fa 0/0
FastEthernet0/0

  Service-policy output: inet

...
    Class-map: bittorrent (match-all)
      693844 packets, 144123605 bytes
      5 minute offered rate 11000 bps, drop rate 0 bps
      Match: protocol bittorrent
      Match: packet length min 50 max 190
      police:
          cir 2048000 bps, bc 768000 bytes
        conformed 693844 packets, 144123605 bytes; actions:
          transmit
        exceeded 0 packets, 0 bytes; actions:
          drop
        conformed 11000 bps, exceed 0 bps

    Class-map: class-default (match-any)
      171829357 packets, 72464367505 bytes
      5 minute offered rate 10345000 bps, drop rate 0 bps
      Match: any

 

bittorrent.pdlm на flash-ке:

 

C3725#sh flash:

System CompactFlash directory:
File  Length   Name/status
  1   10799968  c3725-ipbase-mz.123-9b.bin
  2   37526764  c3725-advipservicesk9-mz.124-17.bin
  3   4758     bittorrent.pdlm
[48331684 bytes used, 79856728 available, 128188412 total]
125184K bytes of ATA System CompactFlash (Read/Write)[/code]

 

Что-то я сделал не так? Или этой кошке такая задача не по зубам?

 

match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB"

 

Правило для "\x7F\xFF\xFF\xFF\x00" решили убрать, т.к. совпадений доли процента.

А этого просто нет. :(

[ingress]

match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB"

 

Правило для "\x7F\xFF\xFF\xFF\x00" решили убрать, т.к. совпадений доли процента.

А этого просто нет. :(

FPM для 3700 есть в 12.4 ветках

 

кроме 6to4 есть еще тередо, оно работает по рандомным udp портам.

т.е. для него тоже сигнатуры надо бы...

в том тунельном трафике который сделала Windows XP с IPv6 стеком Teredo не видно, хотя интерфейс такой есть.

[SmokerMan]

Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)

[LionSprings]

Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)

ППКС.

 

И все равно я считаю, что технические топик, начавшийся тремя днями ранее, подсовывать как коммент к новости, на базе этого топика и написанной - ну... некузяво, мягко говоря.

[Nag]

Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)

Нашел проблему.

Зачем обращать внимание на хомяков, они все равно набегут, если топик попал в ссылки на всяческих хабрах и т.п.

Придет модератор и спокойно все лишнее топором почистит...

 

И все равно я считаю, что технические топик, начавшийся тремя днями ранее, подсовывать как коммент к новости, на базе этого топика и написанной - ну... некузяво, мягко говоря.

А что в этом ужастного-то? Простая конвертация форумного топика в комменты - из-за их большой социальной значимости.

 

ЗЫ. Стереть-то пришлось постов 15. ВСЕГО! И то половина - ответы юзерам. ;-)

Причем самое забавное - разборки в стиле "троль! сам троль!" начались далеко не с гостей, а... с участников, у которых более 500 постов. Уже не буду показывать пальцем.

В общем - правильная тактика с юзерами (и прочими гостями) не отвечать! игнорировать! просто нажать кнопочку "сообщить модератору". Он придет и тихо-мирно вырубит лишнее. ;-)

[kapa]

Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)

Нашел проблему.

Зачем обращать внимание на хомяков, они все равно набегут, если топик попал в ссылки на всяческих хабрах и т.п.

Придет модератор и спокойно все лишнее топором почистит...

Зачем давать возможность писать тем, кому даже лень зарегиться?

Что этот человек хорошего сможет написать?

 

 

[nuclearcat]

Для Линупса, возможно:

iptables -I FORWARD -o eth0.33 -p udp -m string --algo bm --hex-string "|7f ff ff ff ab|" -m length --length 61

 

Ессно интерфейс убрать, и добавить -j LOG для начала (осторожно! если много траффика - может все слечь) ... если все ок -j DROP

 

--length 51 тоже... правильнее конечно задать offset, но лень думать сейчас Ж-)

[nuclearcat]

Черт, уже было :-) ну пусть остается

 

[MagMike]

Для Линупса, возможно:

iptables -I FORWARD -o eth0.33 -p udp -m string --algo bm --hex-string "|7f ff ff ff ab|" -m length --length 61

 

Ессно интерфейс убрать, и добавить -j LOG для начала (осторожно! если много траффика - может все слечь) ... если все ок -j DROP

 

--length 51 тоже... правильнее конечно задать offset, но лень думать сейчас Ж-)

ну так ранее (на 4й странице) было предложено

-m string --hex-string "|7F FF FF FF AB|" --algo kmp --from 40 --to 44

 

Изменено 27 февраля, 2010 пользователем MagMike

[Гость лень_логиниться]

наг все потер :)

жесть во все красе начала проникать на наг - http://forum.nag.ru/forum/index.php?showtopic=55217

это все в тему топа, так что... ну блин не могу перебирать все свои пасы, та и потом с роботы этот перебор повторять, так как там авторизация слетит.

[SmokerMan]

Всем нашим большое спасибо за информацию, это, наверняка, один из самых полезных топиков на форуме. Был. :-)

Нашел проблему.

Зачем обращать внимание на хомяков, они все равно набегут, если топик попал в ссылки на всяческих хабрах и т.п.

Придет модератор и спокойно все лишнее топором почистит...

Паша, говоря "был" я имел ввиду тот факт что грамотные ответы довольно быстро сняли остроту проблемы. :-) А проблема была...

[LionSprings]

А что в этом ужастного-то? Простая конвертация форумного топика в комменты - из-за их большой социальной значимости.

Это конечно твой монастырь, как скажешь - так и будет. Просто нарушена причинно-следственная связь, и это неприятно царапнуло. Все таки сначала идет событие, а к нему комментарии, а не наоборот.

Как было: Человек запостил на форум мысль про торренты. Достаточно большое количество спецов, тусящих на этом форуме, и не первую неделю мучающиеся загадкой повышения ппс и неадекватной работой оборудования, тему поддержали и развили. Нашли лекарство, и начали обмениваться мыслями. Операторскими.

Как стало при взгляде с портала: Портал опубликовал новость о наступлении события, предсказанного полтора года назад, и провайдеры, увидев это и прозрев, кинулись обсуждать, как бы побыстрее обидеть хомячков с торрентами, и не дать им вволю качать за их кровные.

То, что то комменты начинаются за три дня до новости - это никто не посмотрит.

Ни в коей мере не претендую на истину, просто высказал свою личную точку зрения. Публикуя свои наблюдения, я даже и не предполагал, что на самом деле комментирую статью главного редактора портала. Вот как-то так.

 

[Andrei]

match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB"

 

Правило для "\x7F\xFF\xFF\xFF\x00" решили убрать, т.к. совпадений доли процента.

А этого просто нет. :(

FPM для 3700 есть в 12.4 ветках

 

Остались еще где-то такие старые ИОСы? Конечно циска старенькая, но ведь работает. :)

 

 

 

... и почему все же это

class-map match-all bittorrent
match protocol bittorrent
match packet length min 150 max 190

policy-map inet
class bittorrent
    police 2048000 768000 768000 conform-action transmit  exceed-action drop

interface FastEthernet0/0
...
service-policy output inet

 

не работает? :(

[darkagent]

а ios какой

[grama]

Для 72 NPE-G2, что посоветуете ?

[darkagent]

воткнуть в разрыв какой нибудь длинк с pcf.

[alks]

to Andrei вы загружаете стандартный файл bittorent?

если да то посмотрите его содержимое

<?xml version="1.0" encoding="UTF-8"?>
<tcdf>

    <class name="bittorrent" type="access-control" match="any">
        <match>
            <regex start="l2-start" offset="54" size="32" value="\x13BitTorrent\x20protocol"></regex>
            <regex start="l2-start" offset="54" size="32" value="GET\x20.*\?info_hash="></regex>
            <regex start="l2-start" offset="54" size="32" value="[a|A][z|Z][v|V][e|E][r|R]\x01"></regex>
        </match>
    </class>

    <policy type="access-control" name="tcp_policy">
        <class name="bittorrent"></class>
        <action>drop</action>
    </policy>

</tcdf>

 

там нет сигнатуры

match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB"

 

или сами вставьте ее в файл и перезагрузите его

или как в примере выше руками определите его в class-map

 

 

 

[grama]

А на 72-х (бордер и 3 терминатора PPPoE&PPTP на них ) можно подрезать что-то ?

[alks]

А на 72-х (бордер и 3 терминатора PPPoE&PPTP на них ) можно подрезать что-то ?

можно если у вас ios 12.4

тогда или сами создайте файл протокола

или

class-map type access-control match-any No_Torrent
match start l3-start offset 40 size 5 regex "\x7F\xFF\xFF\xFF\xAB"

policy-map type access-control No_Torrent_PM
  class No_Torrent
   drop

interface GigabitEthernet XXXX
service-policy type access-control input No_Torrent_PM

 

[grama]

Спасибо. Похоже не получится на Border (Version 12.2(31)SB11) На точках входа еще не смотрел..... Version 12.4(4)XD8... подойдет ?

[Nag]

Ни в коей мере не претендую на истину, просто высказал свою личную точку зрения. Публикуя свои наблюдения, я даже и не предполагал, что на самом деле комментирую статью главного редактора портала. Вот как-то так.

Ну в общем-то это и статьей не назвать, если честно. ;-)

Просто надо было вытащить топик в комменты, и все. Ну не все читают форум - это факт, да и поисковики форумы не так часто индексируют.

В общем, я это рассматривал как чисто технический момент, а не принципиальный. Если сильно задевает - можно и не использовать.

[alks]

вообще между нами девочками - если владельцы всяких SCE sandvine arbor и прочих DPI устройств выдернули бы со своих железок сигнатуры

bittorent bittorent_udp mtp и проч - их вполне можно было бы заюзать на роутерах большинства вендоров

mikrotik cisco juniper huavei dlink etc

 

 

Спасибо. Похоже не получится на Border (Version 12.2(31)SB11) На точках входа еще не смотрел..... Version 12.4(4)XD8... подойдет ?

grama - зачем вам функционал SB ветки на бордере?

поменяйте его на 12.4

 

[vIv]

если владельцы всяких SCE sandvine arbor и прочих DPI устройств выдернули бы со своих железок сигнатуры

Мысль не осилил

[darkagent]

grama - зачем вам функционал SB ветки на бордере?

поменяйте его на 12.4

скорее шла речь о 72х с pptp.

вообще между нами девочками - если владельцы всяких SCE sandvine arbor и прочих DPI устройств выдернули бы со своих железок сигнатуры

bittorent bittorent_udp mtp и проч - их вполне можно было бы заюзать на роутерах большинства вендоров

mikrotik cisco juniper huavei dlink etc

cmhungry вроде как ковырялся на эту тему с SCE.

Изменено 27 февраля, 2010 пользователем darkagent