faq обучение настройка
Текущее время: Пт мар 22, 2019 22:23

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
СообщениеДобавлено: Пт сен 28, 2012 14:28 
Не в сети

Зарегистрирован: Сб фев 28, 2009 20:17
Сообщений: 51
Откуда: Донецк
DFL-260E, HTTP ALG, активен только URL Filter, в блэклисте около двух сотен правил (торрент-трекеры), когда подключаю этот лист, серфинг на всех машинах начинает притормаживать, иногда http сессии совсем подвисают, приходится отключать лист. Неужели железо не справляется?

В офисе до 10 человек, канал 10/1, PPPoE, шейпер на IP, по портам 80,443,25,21,110,995,465,587, две трубы: 250 КБ входящая (Destination IP) и 40 КБ исходящая (Source IP), затыков с каналом нет, загрузка процессора 15-30%, занятой оперативы 64 из 256.

Проблема проявляется не сразу, подключаю лист, серфит нормально, минут через 10-15 начинает подтормаживать/подвисать, затем полностью HTTP парализует, отключаю HTTP ALG от HTTP сервиса, работает стабильно.

Могу поделиться конфигом, скрины будут позже.

_________________
DFL-260E | DFL-860E x2


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс сен 30, 2012 19:11 
Не в сети

Зарегистрирован: Сб фев 28, 2009 20:17
Сообщений: 51
Откуда: Донецк
апну темку...

DFL-260E
FW 2.40.01.08-17758
Канал PPPOE 10/1

На предприятии есть 3 сети, 1 - основная локалка (LAN), 2 - бухгалтерия (VLAN4), 3 - вафля (VLAN5).
Трубы LIMIT_IN и LIMIT_OUT обслуживают LAN и VLAN4, для VLAN5 - WIFI_LIMIT_IN и WIFI_LIMIT_OUT.

Требуется:
1. Ограничить каждого пользоавтеля, входящий 270 КБ, исходящий 50 КБ, вафля - 200/25 КБ...........шейпер настроил, работает.
2. Блэклист трекеров, зарубить расширение torrent, сделал это через HTTP ALG, при серфинге HTTP есть тормоза.

Пока такие настройки сделал, но чую, что из-за шейпера тормозит HTTP с ALG, завтра через pipe -u буду смотреть, возможно какая-то связь здесь есть.

Настройка HTTP ALG

Правила LAN_TO_WAN, настройка HTTP в сетях VLAN4 и VLAN5 аналогична
Скрытый текст: показать
Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Изображение

Создал сервис HTTP_FILTERING
Скрытый текст: показать
Изображение

Создал HTTP ALG "BLACK_LIST"
Скрытый текст: показать
Изображение Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Изображение Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Изображение Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Изображение


Настройки шейпера

Описание труб LAN, VLAN4
Скрытый текст: показать
Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Изображение Изображение Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Изображение Изображение Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Описание труб VLAN5
Скрытый текст: показать
Изображение Изображение Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Изображение Изображение Изображение

Правила
Скрытый текст: показать
Изображение
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Изображение Изображение

Порты, по которым идет ограничение
Скрытый текст: показать
80,443,25,21,110,995,465,587
Изображение



HTTP ALG правило нужно подключать в Rules (как у меня подключено)? Или в Traffic Management >> Traffic Shaping >> Pipe Rules, подцепить в сервисе LIMIT_PROTO?

Что следует добавить/изменить в настройках?

_________________
DFL-260E | DFL-860E x2


Последний раз редактировалось thedoctor Вс сен 30, 2012 19:41, всего редактировалось 3 раз(а).

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс сен 30, 2012 19:35 
Не в сети

Зарегистрирован: Сб фев 28, 2009 20:17
Сообщений: 51
Откуда: Донецк
Ребят, выручайте.

_________________
DFL-260E | DFL-860E x2


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс сен 30, 2012 20:25 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8406
Откуда: Москва
thedoctor писал(а):
Требуется:
...
2. Блэклист трекеров, зарубить расширение torrent...
Может лучше обратиться к сигнатурам IDP/IPS?
http://ftp.dlink.ru/pub/FireWall/How%20 ... 20rule.doc

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс сен 30, 2012 20:59 
Не в сети

Зарегистрирован: Сб фев 28, 2009 20:17
Сообщений: 51
Откуда: Донецк
MTRX
Можно и так, но хочу разобраться в чем причина затыков и правильно ли настроены политики ALG и шейпер.

_________________
DFL-260E | DFL-860E x2


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн окт 01, 2012 12:39 
Не в сети

Зарегистрирован: Сб фев 28, 2009 20:17
Сообщений: 51
Откуда: Донецк
Все ясно как божий день, никаких политик ALG + шейпер быть не может, т.к. в такой связке с шейпером происходят странные вещи, канал начинает задумчиво себя вести, если пользователь принимает 200 КБ, остальные курят в сторонке, хотя канал 10 мбит и нет ограничения в pipe limits, group limits = 2000, больше половины канала простаивает! И происходит чудо, когда правило ALG отключаю, шейпер работает как надо - все ходят во внешку/качают без каких либо затыков.

Максимальная нагрузка на ЦП маршрутизатора составляет 11-15%, точно не перегруз.

Камрады, посоветуйте где копать? Неделю бъюсь, безрезультатно.

PS Кстати, нет никакого значения, что стоит в правиле ALG, будь-то блеклист на 200 записей или блокировка по расширению, проблема таже.

_________________
DFL-260E | DFL-860E x2


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт окт 02, 2012 11:07 
Не в сети

Зарегистрирован: Сб фев 28, 2009 20:17
Сообщений: 51
Откуда: Донецк
Спасибо Sergey Vasiliev, подсказал, что явление такое есть, в связке с ALG трафик проходит два круга и получаем занчение/2.

_________________
DFL-260E | DFL-860E x2


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт фев 09, 2017 14:42 
Не в сети

Зарегистрирован: Вт ноя 17, 2015 09:53
Сообщений: 8
Не стал создавать новую тему. Проблема похожая, но посвежей
Есть DFL-260E
Configuration:
Version 288
NetDefendOS Version:
2.27.30.03-26421
Настроил http alg, в нем только десяток правил blacklist, подключаю этот alg к правилу ip rule, работает. Но на компах в сети (160 компов) сразу же начинаются всякие непонятки. Постепенно отключается ammyy admin, причем не на всех сразу компах, а постепенно, до каких-то можно по ammy достучаться, до каких-то нет, буквально в течении часа пропадают все. Причём в блэклистах про ammyy ни намёка. Отключаешь alg от http правила, и все опять становятся доступны.


Вложения:
2.jpg
2.jpg [ 52.28 KiB | Просмотров: 1513 ]
1.jpg
1.jpg [ 88.09 KiB | Просмотров: 1513 ]
Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вс апр 16, 2017 08:41 
Не в сети

Зарегистрирован: Чт май 11, 2006 15:10
Сообщений: 210
Откуда: Msk
Если уж пошла такая пьянка, то блокировать надо не железом, а административными методами, самый лучший результат.

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 34


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB