Ptp Traffic, почему бы не формировать его, а не блокировать?

В технологии PTP нет ничего незаконного. Если вы провайдер, продающий доступ в интернет широкой публике, клиенты будут ожидать наличие PTP, если, конечно, вы не укажете в рекламном объявлении, что это ограниченный сервис. Блокировка только разозлит клиентов и отправит их к конкурентам. Если вы используете кабельную сеть, блокировать PTP нет никаких причин. Все, что вам нужно, — это ограничить количество сессий и контролировать пропускную способность, чтобы ваша сеть оставалась здоровой. Если процессоры перегреваются, пора их обновить. Если ваши клиенты участвуют в незаконной деятельности, вы не несете ответственности, поскольку в вашем контракте с ними должно быть указано, что это делается на их усмотрение и на их риск. Однако, если вы используете беспроводную сеть 802.11, вам нужно будет контролировать ее использование гораздо сильнее, чтобы защитить сеть. (Протоколы TDMA могут работать безопасно с простыми ограничениями сессий и пропускной способности, как в кабельной сети.) Давайте проясним один момент: вы никогда не сможете полностью заблокировать PTP. Ваши фильтры могут работать какое-то время, пока не будут изобретены новые методы. Это нескончаемая борьба, которую вы никогда не выиграете, и попытки сделать это будут отнимать слишком много вашего драгоценного времени. На самом деле, я знаю из опыта, что блокировка PTP может ухудшить ситуацию в сети 802.11, поскольку клиентское программное обеспечение будет запускать множество сессий, пытаясь установить начальное соединение, а затем переключаться на вещи, такие как зашифрованный режим, порт 80 http, пользователи даже будут инвестировать в VPN и т.д. Не обманывайтесь: решительный пользователь найдет способ обойти ваши фильтры и не будет заботиться о том, какой ущерб это нанесет вашей сети. Единственный оставшийся у вас вариант, поскольку эти методы очень трудно обнаружить и контролировать, — это ограничить пропускную способность пользователей. Это не лучший вариант, поскольку он вскоре отправит клиента к конкурентам. Формируя трафик вместо блокировки, вы обычно остаетесь в контроле, поскольку клиентское программное обеспечение обычно сначала пытается подключиться к другим пользователям, используя стандартные методы. В случае успеха оно не будет искать более скрытые методы. Эти стандартные методы легко обнаружить с помощью правил Layer 7 и mangle. Даже встроенный фильтр MT PTP отлавливает много стандартного трафика PTP. Используя Layer7-сопоставления (их не так много, так как они требовательны к процессору) и встроенный фильтр MT PTP, вы можете помечать пакеты с помощью правил mangle и применять дополнительные правила формирования, которые сохраняют клиента счастливым, а ваш AP здоровым. На мой взгляд, больше всего ущерба наносит загрузка на ваши AP. Загрузки могут быть намного выше (до 2 МБ), если сессии контролируются. Я использую фильтры Layer7 и встроенный фильтр для пометки всего трафика PTP. Затем я использую PCQ для ограничения загрузки/выгрузки трафика PTP до 128 кбит/с и 1 Мбит/с. У меня есть ограничение в 100 сессий для всех клиентов (новейшее программное обеспечение Mt также может ограничивать UDP-сессии). Эти ограничения, похоже, удовлетворяют большинство программного обеспечения PTP, что они имеют достаточно хорошее соединение и не беспокоятся о поиске зашифрованных пользователей и т.д. Конечно, некоторые пользователи будут принуждать к шифрованию. Если эти ребята повреждают вашу сеть, вам просто придется ограничить их целое соединение, пока не сможете заставить их согласиться на использование стандартных методов. Обычно они соглашаются. Обратите внимание: слишком низкая скорость загрузки также заставит программное обеспечение PTP искать другие способы подключения.