Mozda mozes sa kreiranjem custom NBAR protokola posto ima mogucnost da se zada sekvenca, pa onda sa MQC uradis policy koja ga zabranjuje. E sad ne znam da li taj softver to podrzava. Link koji objasnjava kreiranje custom protokola:
http://www.lsiinc.com/univercd...tcg/tqos_c/part_05/qsnbar5.pdf

Obzirom da covek kaze da je nemoguce instalirati noviji IOS (pretpostavljam zbog slabog hardware-a?) tesko da onda moze imati podrsku NBAR-a u postojecem IOS-u (ako je pretpostavka tacna). Sta je zapravo razlog zasto ne moze da se stavi noviji IOS?

Izvinjavam se nije stvar hardware nekog nigde nisam mogao da nadjem software za as5350 koji ima podrsku za nbar
a nisam imao dovoljno rama da bi mogao da dignem nesto sto ima vise od 16 mb
U medju vremenu Nasao sam ram sada im64 mb i stavio sam 12.4 (9) T na As5350

E sada kako da se blokira byte seqeunce ili samo da mu kroz nbar dropujem protokol ?

Slightly offtopic, ali ono "T" u verziji IOS-a znači "Trouble" (Cisco puritanci bi rekli "Technology") i ja bih najtoplije preporučio IOS koji nije "T"...

Mnogo je lakse definisati protokol preko portova, jer kod zadavanja sekvence treba znati koji je offset u payload-u te sekvence sto opet mora da se broji u wireshark-u, pa da se ukucava u hex ili ascii obliku itd. Dropovanje custom protokola definisanih preko portova sam probao i to fercera, nadam se da cu stici da isprobam i bajt-sekvencu preko offset-a.

Pozdrav!

Ovako imam seqence koje se ponavljaju a koristilo bi mnogima koji zele da zaustave odredjen vrste saobracaj na taj nacin sto ce da zaustave same klijente koji taj saobracj i prave primer SKYPE bittorent itd ... MSN ili tako nesto slicno svaki od ovih klijanata ima odrdjenu seqencu koja postoji da bi "inicirali protok"
odnosno kod skyp da bi saobracali sa super nodovim kod msn takodje da bi se logovali na login server i kod bittorrenta kada se loguju odnosno komuniciraju sa anaunce servirima ili ostalim perrovim na mrezi


primer sa ip tables kako blokirati UDP za skype i p t a b l e s −I FORWARD −p udp −m l e ng th −−l e ng th 39 −m u32 \
−−u32 ’27&0 x8f=7’ −−u32 ’31=0 x527c4833 ’ −j DROP

Testirao sam custom nbar sa sekvencom, i nisam uspeo da ubodem kombinaciju ili to jednostavno ne radi kako treba. Trazio sam na Internetu i nisam nasao da je to nekome u praksi proradilo. Probao sam da blokiram SMB transfer fajla sa jednog racunara na drugi koji od 190-og bajta payload-a ima "Confidential" kao sto sto se vidi u attachmentu.

Definicija protokola je:


ne prikazuje ni jedan pogodak. Ako neko vidi gde gresim neka kaze ili jednostavno ovo ipak ne moze da poleti tako lako :-)

Uglavnom, skype, i neke p2p aplikacije su vec definisane u nekim pldm-ovima, kao sto su gnutella i bittorrent tako da mogu da se zabrane bez mnogo muke, za msn je problem sto on moze da ide preko porta 80 koliko sam procitao na netu, pa je to mali zez. Mada ako ima neki specifican url za msn messinger moze se opet pomocu nbara blokirati, ima tema na ovom forumu o tome.

Skype sam uspeo da blokiram sa nbarom ali opet je moguce logovanje ... Dok prenos Poruka kroz taj klijent biva onemoguceno :)
filtriranje bittorenta nerade ... ?

ip nbar custom tcp445 189 ascii Confidential source tcp 445 na isti fazon sam pokusao da uradim medjutim nece ... ?

e sada da li postoji neki nacin da se napracim sopstveni pdlm ne kroz ip nbar custom ...?

i jos nesto zasto kada hocu da proverim koji pdlm koje portove filtrira nemogu to da uradim za skype


Primer bittorent



Primer skype


ispis ili ne daje nista ili daje Ambiguous command

takodje sa Ircom ... imam pdlm za njega medjutim


i jos par protokola koji nisu koherntni sa RFC standardom za navedne protokole u pdlm-u
WHY the eternal Question ?

Skype sam uspeo da blokiram sa nbarom ali opet je moguce logovanje ... Dok prenos Poruka kroz taj klijent biva onemoguceno :)
filtriranje bittorenta nerade ... ?

ip nbar custom tcp445 189 ascii Confidential source tcp 445 na isti fazon sam pokusao da uradim medjutim nece ... ?

e sada da li postoji neki nacin da se napracim sopstveni pdlm ne kroz ip nbar custom ...?

i jos nessto zasto kada hocu da proverim koji je pdlm koje portove filtrira nemogu to da uradim za skype


Primer bittorent



Primer skype


ispis ili ne daje nista ili daje Ambigouse command

takodje sa Ircom ... imam pdlm za njega medjutim


I jos par protokola koji nisu koherntni opste koriscenim portovima
Why the Eterna Question?

Izvini sto se nisam ranije javio, frka na sve strane :-)



Ne znam da li je to slucaj sa skype-om, ali znam da za neke protokole NBAR koristi Deep Packet Inspection, tako da i ako se promene portovi, opet ga prepoznaje.
Nisam nigde nasao da moze da se pravi na drugi nacin pldm-ovi, jedino sto moze je da se nove verzije ili protokoli(ako ih uopste ima) skidaju sa sajta.