понедельник, 30 марта 2015 г.

Cisco: Блокируем P2P с NBAR

Блокирование пирингового трафика справедливо считается одной из наиболее сложных задач, так как это УГ по определению предназначено к устойчивости против цензуры.

Разного рода мыльницы имеют соответствующую опцию, но эффективность их работы под большим вопросом.

Собственно, если у нас есть Cisco с функцией NBAR, например, интегральный сервисный роутер G2, скажем, 29xx (Замечание: вам необходимо иметь активированный функционал SECURITY для полнофункционального NBAR), то можно настолько осложнить прохождение P2P трафика через роутер, что остатки будут практически бесполезны.

Убедитесь, что у вас загружен актуальный protocol pack (учтите, они регулярно обновляются, требуется подписка) и активированы необходимые technology packs:

 !  
 ip nbar protocol-pack flash0:pp-adv-isrg2-155-3.M2-23-19.1.0.pack  
 !  
 !  
 license boot module c2900 technology-package securityk9  
 license boot module c2900 technology-package datak9  
 !  
   
   

Заодно прихватим пару-тройку потенциально опасных протоколов и ограничим видео:

 class-map match-any torrent  
  match protocol bittorrent  
  match protocol bittorrent-networking  
  match protocol encrypted-bittorrent  
  match protocol encrypted-emule  
  match protocol webthunder  
  match protocol edonkey  
  match protocol edonkey-static  
  match protocol gnutella  
  match protocol goboogy  
  match protocol fasttrack-static  
  match protocol winmx  
  match protocol winny  
  match protocol ares  
  match protocol Konspire2b  
  match protocol filetopia  
  match protocol manolito  
  match protocol networking-gnutella  
  match protocol perfect-dark  
  match protocol poco  
  match protocol pptv  
  match protocol ppstream  
  match protocol share  
  match protocol songsari  
  match protocol sopcast  
  match protocol soulseek  
  match protocol tomatopang  
  match protocol xunlei-kankan  
  match protocol dht  
  match protocol torrentz  
 class-map match-any blocked  
  match protocol socks  
  match protocol teredo-ipv6-tunneled  
  match protocol game-spy  
  match protocol itunes  
  match protocol itunes-audio  
  match protocol itunes-video  
  match protocol ultrasurf  
  match protocol waste  
  match protocol hamachi  
 class-map match-any video  
  match protocol ppstream  
  match protocol zattoo  
  match protocol youtube  
  match protocol video-over-http  
  match protocol baidu-movie  
  match protocol internet-video-streaming  
  match protocol mpeg2-ts  
 !  
 !  
 policy-map Net_Limit  
  class net_admins  
   bandwidth remaining percent 50   
  class net_clients  
   bandwidth remaining percent 25   
  class torrents  
   drop  
  class blocked  
   drop   
  class video  
   bandwidth remaining percent 10   
  class class-default  
   bandwidth remaining percent 15   
 !  
 interface GigabitEthernet0/0  
 ip address YOU_EXTERNAL_IP 255.255.0.0  
 ip access-group WAN_IN in  
 ip nbar protocol-discovery  
 ip nat outside  
 ip virtual-reassembly in  
 duplex auto  
 speed auto  
 no cdp enable  
 service-policy output Net_Limit  
 !  

Вот и все, ребята. Можете тестировать. :)

PS. pptv находится в списке torrents, а не video, так как это P2P.