Перейти к содержимому
Калькуляторы

Ericsson SE100 блокировка Блокировка по ип для всех контекстов

Появилась острая необходимость блокировать ип. Эти ип не должны быть доступны пользователям за se100.

 

 

Архитектура такова что Эрик выполняет все функции и бордер, и брас....

Для каждого поселка, города свой контекст. Авторизация идет по типу ipoe.

 

 

 

Подскажите как можно организовать блокировку. Внешних ип.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. acl

2. ip route null

3. dynamic inter-context null routing

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, baronzzz сказал:

Появилась острая необходимость блокировать ип. Эти ип не должны быть доступны пользователям за se100.

 

Какое количество IP? Как часто добавляются/удаляются?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну очевидно же, что ТС хочет блокировать запрещенные сайты на SE100.

Не советую.

Я так раньше делал (через ACL) и даже работало.

Но сейчас в реестре больше 30 тысяч записей (IP+DNS) и регулярная заливка такого списка ACL добром не кончится, а кончится крашем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, alibek сказал:

Ну очевидно же, что ТС хочет блокировать запрещенные сайты на SE100.

Не советую.

Я так раньше делал (через ACL) и даже работало.

Но сейчас в реестре больше 30 тысяч записей (IP+DNS) и регулярная заливка такого списка ACL добром не кончится, а кончится крашем.

Да, так оно и есть. Необходимо заблокировать часть ип из списка.

Планирую не обновлять часто, применить только к некоторым IP, цель, дожить до приобретения Ската и отмазки от кровавой бумажки в суд.

 

В целом же на сети фильтрую с помощью BIND.

 

Уважаемый vurd, гуру  могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ?

 

Повторюсь, вариант временный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разумен ли такой вариант как:

 

interface UPLINK_2
ip address 47.238.80.14/30
ip access-group antiddos_dns in - блокируем DDOS наших DNS-серверов с резервного канала 
!
interface UPLINK_3
ip address 47.238.80.18/30
ip access-group antiddos_dns in - блокируем DDOS наших DNS-серверов с резервного канала 
no logging console
!
ip access-list antiddos_dns
seq 10 permit udp any host 72.150.255.4 eq domain
seq 20 permit udp any host 209.258.246.4 eq domain
seq 1000 deny udp any any eq domain
seq 2000 permit ip any any

!

 

?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, baronzzz сказал:

Да, так оно и есть. Необходимо заблокировать часть ип из списка.

Планирую не обновлять часто, применить только к некоторым IP, цель, дожить до приобретения Ската и отмазки от кровавой бумажки в суд.

 

В целом же на сети фильтрую с помощью BIND.

 

Уважаемый vurd, гуру  могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ?

 

Повторюсь, вариант временный.

В чем проблема взять на тест с последующим выкупом? СКАТ-6 Entry очень дешево стоит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Camara сказал:

В чем проблема взять на тест с последующим выкупом? СКАТ-6

Было бы все так просто, так и сделали бы...

 

Тем более в первом посте, я писал причины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, baronzzz сказал:

Уважаемый vurd, гуру  могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ?

 

Повторюсь, вариант временный.

 

3-й вариант, вам все равно его делать. Вешаете "за бордером" виртуалку с квагой, пишите скрипт, который добавляет нуль роуты в таблицу, настраиваете их анонсы по bgp на бордер. Там же вешаете апач или чо полегче для показа странички "упс это заблокировано".

 

У себя так сделано для типов блокировок ip и subnet.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за варианты, но поясню, что это не примет постоянный вариант. Необходимо временное решения для 500 ИП.

 

Интересует Ваше мнение, по поводу поста: 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

42 минуты назад, baronzzz сказал:

Спасибо за варианты, но поясню, что это не примет постоянный вариант. Необходимо временное решения для 500 ИП.

Да Вы дольше в тему тут пишете, чем поднять виртуалку с квагой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, ShyLion сказал:

Да Вы дольше в тему тут пишете, чем поднять виртуалку с квагой :)

Если есть свободная железка, с установленным Xen или esxi, то конечно не проблема.....да и если сам узел, не в 400Км..тогда не спорю..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

35 минут назад, baronzzz сказал:

Если есть свободная железка, с установленным Xen или esxi, то конечно не проблема.....да и если сам узел, не в 400Км..тогда не спорю..

Накрайняк можно и на билинг-сервере сделать. Билинг-то есть? Или SE100 сферически в тайге? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не вижу смысла продолжать тему.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы не делал ACL-ем. Ибо обычно это может закончится деградацией производительности и другими невнятными проблемами, особенно, если менять эти ACL на лету.

И еще, я бы не стал держать за 400км один SE100...

Сделайте лучше нульроутингом прямо на бордере, без ACL, ip route 1.1.1.1/32 null 0, или как там.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 минут назад, vurd сказал:

Я бы не делал ACL-ем. Ибо обычно это может закончится деградацией производительности и другими невнятными проблемами, особенно, если менять эти ACL на лету.

И еще, я бы не стал держать за 400км один SE100...

Сделайте лучше нульроутингом прямо на бордере, без ACL, ip route 1.1.1.1/32 null 0, или как там.

Когда брал эрика, о том, что он такой "веселый" не находил информацию. Да и НАГ, активно продвигал его, купился.

Согласен, что держать не стоит его одного, но как есть так и есть...

 

Спасибо за совет, вопрос, 400 нуль роутингов потянет? Если нагрузка на сам Эрик - до 150 абонов,120 метров в пике, без ната, 1 Default View.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Инфа 100% если владелец сайта перенесёт домен на другой ip  вы получите штраф

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45 минут назад, pingz сказал:

Инфа 100% если владелец сайта перенесёт домен на другой ip  вы получите штраф

Спасибо, я понимаю это, вопрос не в этом. Речь об временном варианте. Я понимаю, что нет ничего дольше чем временное....но необходимо выиграть время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, baronzzz сказал:

Спасибо, я понимаю это, вопрос не в этом. Речь об временном варианте. Я понимаю, что нет ничего дольше чем временное....но необходимо выиграть время.

Сади в песочницу ревизор

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, pingz сказал:

Сади в песочницу ревизор

Как то можно развернуть ответ ? Не понял, что вы написали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

48 минут назад, baronzzz сказал:

Как то можно развернуть ответ ? Не понял, что вы написали...

Если я тебя правильно понял, тебе нужно выполнять обязательства РНК? 

 

У тебя есть софтовый или аппаратный ревизор. Верно?

 

Можно временно это устройство посадить за отдельную железку которая, будет фильтровать всё. И думать о DPI. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://www.napalabs.ru/ пару лет назад цена вопроса была 130 тр. Ревизор проблем не видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.