jama Опубликовано 22 ноября, 2010 (изменено) · Жалоба если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит а если торрент запустить - то вообще жуть icmp-запросы тоже каждый 5-й проходят есть ли возможность полностью запретить хождение и установление сессий? Изменено 25 ноября, 2010 пользователем jama Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jama Опубликовано 25 ноября, 2010 · Жалоба up Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 26 ноября, 2010 · Жалоба up Нет такой возможности, вроде Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 29 ноября, 2010 · Жалоба есть ли возможность полностью запретить хождение и установление сессий? Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 29 ноября, 2010 · Жалоба Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilgizk Опубликовано 30 ноября, 2010 · Жалоба Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек Хм, это пожалуй повод открыть кейс в Cisco TAC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jama Опубликовано 30 ноября, 2010 · Жалоба Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек вот в этом то и проблема... очень не хочется еще один мега-ACL городить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 1 декабря, 2010 · Жалоба Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/секХм, это пожалуй повод открыть кейс в Cisco TAC. Ну у кого есть доступ в TAC открывайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 10 мая, 2012 · Жалоба В 3.7.2 все по прежнему осталось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Иванов Денис Опубликовано 11 января, 2013 · Жалоба если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит а если торрент запустить - то вообще жуть есть ли возможность полностью запретить хождение и установление сессий? Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :) Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек В 3.7.2 все по прежнему осталось? Тоже интересно, т.к. в данный момент решаем как "включать/выключать Интернет" subscriber'у. На ум пришло два способа: 1) Блокировать неизвестных subscriber'ов. В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule. При "включении Интернета" добавлять subscriber'a (login), а при "выключении" удалять subscriber'а (logout). 2) Создать Offline Package, и для его Default Rule выбрать действие Block the Flow. При "включении Интернета" устанавливать subscriber'у его package, а при "выключении" устанавливать subscriber'у Offline Package. Коллеги, пожалуйста подскажите, какой способ используете Вы. P.S.> У нас 3.8.0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow Опубликовано 11 января, 2013 (изменено) · Жалоба если ip попадает в unknown subscriber package tcp-сессия все равно устанавливается и первые несколько байт проходит а если торрент запустить - то вообще жуть есть ли возможность полностью запретить хождение и установление сессий? Повключать "Block the flow" для всех rules в Unknown Subscriber Package - может даст желаемый эффект? Сразу говорю, я не пробовал :) Дает, но первые несколько пакетов все равно просачиваются. а utorrent воплне себе качает со скоростью до 10-15кбайт/сек В 3.7.2 все по прежнему осталось? Тоже интересно, т.к. в данный момент решаем как "включать/выключать Интернет" subscriber'у. На ум пришло два способа: 1) Блокировать неизвестных subscriber'ов. В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule. При "включении Интернета" добавлять subscriber'a (login), а при "выключении" удалять subscriber'а (logout). 2) Создать Offline Package, и для его Default Rule выбрать действие Block the Flow. При "включении Интернета" устанавливать subscriber'у его package, а при "выключении" устанавливать subscriber'у Offline Package. Коллеги, пожалуйста подскажите, какой способ используете Вы. P.S.> У нас 3.8.0 Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты. Изменено 11 января, 2013 пользователем flow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Иванов Денис Опубликовано 14 января, 2013 · Жалоба flow, благодарю! Надеюсь, еще кто-нибудь поделится своими методами "включения/выключения Интернета" subscriber'ам. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 20 января, 2013 (изменено) · Жалоба Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты. sce8000, 3.7.5, "Unknown Subscriber Package" с единственным blocked "Default Rule" - каким-то образом пролезает skype, включая видеозвонки. На странице "Filtered Traffic" все галочки сняты, создание собственного пэкеджа с блокировкой всего - тоже не дает результата. Reporter на графиках определяет видеозвонок как "Voice and Video Calls*". Через сниффер видно, что обмен информацией идет именно с хостом в Интернете. Кто-нибудь сталкивался? Изменено 20 января, 2013 пользователем pronix Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 21 января, 2013 · Жалоба Все кто с левыми адресами попадают в Unknown Subscriber, на нем висит block the flow. При этом на софте 3.7.2 при тестах торренты таки дохли полностью если память не изменяет. Отключенные пользователи перемещаются в OFF пакейдж, где тоже стоит block the flow + redirect на заглушку про отсутствие $ + открыт доступ к ряду сервисов для online отплаты. sce8000, 3.7.5, "Unknown Subscriber Package" с единственным blocked "Default Rule" - каким-то образом пролезает skype, включая видеозвонки. На странице "Filtered Traffic" все галочки сняты, создание собственного пэкеджа с блокировкой всего - тоже не дает результата. Reporter на графиках определяет видеозвонок как "Voice and Video Calls*". Через сниффер видно, что обмен информацией идет именно с хостом в Интернете. Кто-нибудь сталкивался? Да, мы тоже так и не можем победить блокирование трафика для "заблокированного" клиента. SCE 8000 v.3.7.2. Перепробовали много вариантов, в том числе и озвученные здесь. Пока вынуждены добавлять блокирующее конкретный IP правило в ACL на пограничном маршрутизаторе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 24 января, 2013 · Жалоба Все дело в протокол-паке(последний 32 с такой же проблемой). Ответ TAC: "SCE performs classification before blocking. The latest signature for skype was introduced in PP28 (PP31 also includes it) and this is for skype version 5.8. Version beyond 5.8 is not officially supported by SCE. Please see more details below and let me know if you have any questions. http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/protocol_ref_guide/02_internet.html#wp1161445 " Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Иванов Денис Опубликовано 4 февраля, 2013 · Жалоба Решил поэкспериментировать на офисной сети... Попробовал сделать: В Unknown Subscriber Package выбрать действие Block the Flow для Default Rule Сработало как должно, но произошла парадоксальная ситуация: Аппаратные SIP телефоны, которые "попали" в Unknown Subscriber Package, как и нужно было отключились, но после того как убрал Block the Flow из Unknown Subscriber Package, аппаратные телефоны не подключаются к АТС (Asterisk), но программные (Twinkle и т.п.) работают. Перезагрузка телефона не помогает, а когда телефоны пытаются подключиться к АТС, на ней не видно пакетов от телефонов. Если отключить телефон из RJ45 розетки, и подключить в неё ПК с IP адресом телефона, то АТС пингуется, и на ней видно пакеты. Как бы смешно не звучало, но после такой нехитрой процедуры (подключение ПК вместо телефона и пингование АТС), если вернуть телефон на место, то он начинает работать. :) Я один такой везучий? :) Я не уверен что дело в SCE, поэтому позже еще раз воспроизведу ситуацию, и после того как отключатся телефоны, уберу из схемы SCE и посмотрю заработают ли они. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Иванов Денис Опубликовано 4 февраля, 2013 · Жалоба Я не уверен что дело в SCE, поэтому позже еще раз воспроизведу ситуацию, и после того как отключатся телефоны, уберу из схемы SCE и посмотрю заработают ли они. Воспроизвёл - телефоны отключились. Убрал SCE - телефоны тут же заработали. :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 5 февраля, 2013 · Жалоба По сабжу помогло: "SCABB --> Policies --> System Settings --> Advanced Options --> Advanced Service Configurations Options --> Multi Stage Classification --> Blocking --> true". Кто будет пробовать, хотелось бы услышать про побочные эффекты этой настройки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Иванов Денис Опубликовано 8 февраля, 2013 · Жалоба Так и не разобрался, почему после блокировки и разблокировки подписчика, у последнего не хочет работать SIP телефония. Поэтому создал отдельную тему - http://forum.nag.ru/forum/index.php?showtopic=82567 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 31 января, 2014 (изменено) · Жалоба По сабжу помогло: "SCABB --> Policies --> System Settings --> Advanced Options --> Advanced Service Configurations Options --> Multi Stage Classification --> Blocking --> true". Кто будет пробовать, хотелось бы услышать про побочные эффекты этой настройки. Сори за некропостинг, но спасибо вам, помогло. Были ли после этого какие-то подводные камни? Upd. Начал гнать редирект: не всегда перенаправляет пользователя при открытии какой-либо страницы, редиректит при обновлении страницы. Повешал редирект на Default Rule, помогло. Изменено 3 февраля, 2014 пользователем Dimic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...