>> Généralement, quand tu veux brider: tu priorise ce que tu peux analyser, si
>> ce n'est pas analysable, c'est crypte et P2P et tu brides.
>> Pour cela NBAR de cisco ca suffit - je peux même poster une config si tu
>> veux tester :p
>
> montre nous comment tu fais cela pour du p2p dans un tunnel ssh svp
Ca donne quelque chose comme ca. Maintenant NBAR c'est vraiment la plus simple
des solutions DPI, les produit commerciaux spécialisé font beaucoup mieux. Mais
tu as l'idee.
Sans "match protocol ssh" le tunnel passe dans la classe default qui comme tu
peux le voir n'a pas grand chose (je suis dur ...:p)
Thomas
-----
class-map match-any good-traffic
match protocol http
match protocol secure-http
match protocol telnet
match protocol smtp
match protocol pptp
match protocol pop3
match protocol imap
match protocol dns
match protocol icmp
match protocol netshow
match protocol rtsp
match protocol ipsec
match protocol ftp
match protocol gre
match access-group name good-traffic
policy-map custumer-qos
class good-traffic
class class-default
police cir 500000
exceed-action drop
interface FastEthernet0/0
description Customer LAN
ip address ............
no ip redirects
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
load-interval 30
duplex auto
speed auto
no keepalive
no cdp enable
service-policy input customer-qos
service-policy output customer-qos
ip flow-top-talkers
top 50
sort-by bytes
ip access-list extended good-traffic
permit tcp any any eq www
permit tcp any eq www any
permit tcp any any eq smtp
permit tcp any eq smtp any
permit tcp any any eq ftp
permit tcp any eq ftp any
permit tcp any any eq 443
permit tcp any eq 443 any
permit tcp any any eq pop3
permit tcp any eq pop3 any
permit tcp any any eq 1935
permit tcp any eq 1935 any
[ajoute la ce que tu veux autoriser ....]
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
