anix Опубликовано 6 марта, 2010 · Жалоба Коллеги, на форуме много тем поднималось по классификации трафика. есть задача, громко ее назвать можно как DPI на linux, суть - разбить весь трафик абонента на 3 класса (http, потоковое вещание и пр. и разного рода закачки (ftp, http, p2p)). Поискал решения - нашел l7-filter и ipp2p. Вопрос, а можно ли средствами iptables (length, string, mark) выделить из http трафика по длине пакетов просмотр сайтов, потоковое видео и закачки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 6 марта, 2010 · Жалоба Можно см. connbytes Только p2p идут по кусочкамm и сегментированные закачки тоже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anix Опубликовано 6 марта, 2010 · Жалоба Можносм. connbytes Только p2p идут по кусочкамm и сегментированные закачки тоже пока проверяю конструкцию вида:l7-filter userspace, в конфиге: http 6 httpvideo 7 httpaudio 7 в iptables: #заворачиваем трафик в фильтр iptables -t mangle -A PREROUTING ! -i lo -j NFQUEUE --queue-num 0 #переносим метку с пакета на соединение iptables -t mangle -A POSTROUTING -m mark --mark 6 -j CONNMARK --save-mark #переносим метку с соединения на пакеты iptables -t mangle -A POSTROUTING -m connmark --mark 6 -j CONNMARK --restore-mark #http длиннее 1,2мб - помечаем 9 iptables -t mangle -A POSTROUTING -m mark --mark 6 -m connbytes --connbytes 1200000: --connbytes-dir both --connbytes-mode bytes -j MARK --set-mark 9 iptables -t mangle -A POSTROUTING -m mark --mark 9 -j CONNMARK --save-mark iptables -t mangle -A POSTROUTING -m connmark --mark 9 -j CONNMARK --restore-mark Логику вроде отрабатывает, может есть какие моменты, которые я не учел? (аудио и видео не проверял еще, только http и закачки через http, метится верно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anix Опубликовано 9 марта, 2010 (изменено) · Жалоба Мой метод отделения закачек от просмотра страничек не проканал, кто подскажет более рабочйи вариант? :) P.S. ввел дополнительные класы трафика (dns, smtp, pop, p2p, etc), вроде отрабатывает все, а вот с http болт, думал попробовать из набора паттерны для l7-filter, но там расширений файлов не так уж и много для детектирования. Зато забавно видеть как при открывание сайтов торренты прижимаются в полосе :) Изменено 9 марта, 2010 пользователем anix Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...