1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 02:53

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 4 из 7
  [ Сообщений: 99 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 03, 2010 06:40 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
ibz писал(а):
.....
Это не в туннелях разумеется
Что странно - за все время тестирования он показал что мол попало только 17 пакетов, хотя реально их было больше - т.е. смотрел ваершарком - пока правило было активно - пакеты с 7fffffffab не бегали - убирал правило - начинали бегать. ...


Я к тому, что пойманных пакетов мало
Насколько я понял, почитав ссылку на первой странице (forum.nag.ru), пакетов этих и должно быть не особо много. Это пакеты инициализации, типа SYN-пакетов TCP. Их прибивание не позволит использовать uTP-протокол.

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
ibz
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 03, 2010 09:37 
Не в сети

Зарегистрирован: Вт июн 01, 2004 14:51
Сообщений: 24
GreatFoolDad писал(а):
ibz писал(а):
.....
Это не в туннелях разумеется
Что странно - за все время тестирования он показал что мол попало только 17 пакетов, хотя реально их было больше - т.е. смотрел ваершарком - пока правило было активно - пакеты с 7fffffffab не бегали - убирал правило - начинали бегать. ...


Я к тому, что пойманных пакетов мало
Насколько я понял, почитав ссылку на первой странице (forum.nag.ru), пакетов этих и должно быть не особо много. Это пакеты инициализации, типа SYN-пакетов TCP. Их прибивание не позволит использовать uTP-протокол.

Я тестировал заблокировав только icmp протокол - пинги дропались, остальное работало но счетчик не рос. Так что я думаю может счетчики на 72хх что-то другое показывают? На 36хх на "неправильных" прошивках и счетчики не росли и трафик по ощущениям (wireshark & tcpdump) не блокировался. На правильной прошивке - такие пакеты переставали пролетать (tcpdump -i ethX -nn -XX -s 128 |grep ffff на рутере в искомом смещении) и счетчик рос именно так как и должно быть - пакетов таких в сети достаточно много.
Вернуться наверх
 Профиль  
 
shicoy
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 03, 2010 12:30 
Не в сети

Зарегистрирован: Пн дек 11, 2006 11:46
Сообщений: 432
Откуда: Etherway, Чебоксары
Bigarov Ruslan писал(а):
Если не учитывать сдвиги на инкапсуляции, то для стандартного IP(UDP) трафика защита будет выглядеть так:
Для DGS-36xx:
tag
create access_profile profile_id 20 packet_content_mask offset_chunk_1 15 0xffffffff offset_chunk_2 16 0xff000000
config access_profile profile_id 20 add access_id auto_assign packet_content offset_chunk_1 0x7fffffff offset_chunk_2 0xab000000 port 1-24 deny

на прошивке 2.52 не работает.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 03, 2010 14:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
2 All > Если есть какие-то проблемы с использованием примеров, то лучше писать мне на почту, нужно указать какие ACL PCF Вы используете и пример пакетика в рсар формате, который не фильтруется данным ACL.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
terfin
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 03, 2010 15:48 
Не в сети

Зарегистрирован: Ср авг 12, 2009 11:47
Сообщений: 12
А для DGS3200 как должна выглядеть PCF? Без смещений.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 03, 2010 17:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Имеется ввиду без учёта tag и ppp инкапсуляции?

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
terfin
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 04, 2010 16:27 
Не в сети

Зарегистрирован: Ср авг 12, 2009 11:47
Сообщений: 12
Bigarov Ruslan писал(а):
Имеется ввиду без учёта tag и ppp инкапсуляции?


Без ppp.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 04, 2010 17:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
DGS-3200:
create access_profile profile_id 20 packet_content_mask offset_chunk_1 14 0xffffffff offset_chunk_2 15 0xff000000
config access_profile profile_id 20 add access_id auto_assign packet_content offset_chunk_1 0x7fffffff offset_chunk_2 0xab000000 port 1-10 deny

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Squirel
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 05, 2010 11:56 
Не в сети

Зарегистрирован: Вт дек 23, 2008 05:02
Сообщений: 27
Откуда: Chita
Для 3612G. инкапсуляция pptp в нетегированном трафике подойдут следующие правила?
Код:
create access_profile profile_id 6 packet_content_mask offset_chunk_1 24 0xFFFFFFFF offset_chunk_2 25 0xFF000000
config access_profile profile_id 6 add access_id auto_assign packet_content  offset_chunk_1 0x7FFFFFFF offset_chunk_2 0xAB000000  port 1-12 deny

Смущает малое количество дропов по acl. Спасибо.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 05, 2010 12:54 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
На сколько мне известно, данная проблема идёт на спад, так как признали неудачной идею использования UDP протокола в torrent клиентах.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 05, 2010 13:01 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Bigarov Ruslan писал(а):
На сколько мне известно, данная проблема идёт на спад, так как признали неудачной идею использования UDP протокола в torrent клиентах.

Конечно на спад, особенно когда половина провайдеров вышеописанным образом отфильтровали торрент :)
Вернуться наверх
 Профиль  
 
Transferent
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 11, 2010 01:59 
Не в сети

Зарегистрирован: Ср дек 09, 2009 10:12
Сообщений: 9
Цитата:
Для DES-3028/3052:
tag:
create access_profile packet_content_mask offset_48-63 0x0 0x0 0xFFFF 0xFFFFFF00 profile_id 20
config access_profile profile_id 20 add access_id auto_assign packet_content offset 56 0x7FFF offset 60 0xFFFFAB00 port 1-28 deny

untag:
create access_profile packet_content_mask offset_48-63 0x0 0xFFFF 0xFFFFFF00 0x0 profile_id 30
config access_profile profile_id 30 add access_id auto_assign packet_content offset 52 0x7FFF offset 56 0xFFFFAB00 port 1-28 deny

а как эти правила будут выглядеть, если использутся пппое?
Вернуться наверх
 Профиль  
 
Negator1983
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 15, 2010 20:42 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
А в 3526 есть механизмы как посмотреть сработали ли правила?
счетчик?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 15, 2010 21:31 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Negator1983 писал(а):
А в 3526 есть механизмы как посмотреть сработали ли правила?
счетчик?

неа. только реальными тестами.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 17, 2010 16:24 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
2 Transferent: Пришлите мне, пожалуйста, на почту пакетик, который нужно заблокировать в формате PCAP (с PPPoE).
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 4 из 7
  [ Сообщений: 99 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 25

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB