efreeze Posted May 15, 2015 Posted May 15, 2015 Добрый день. Возникла проблема при обработке списка заблокированных сайтов: трафик через протокол HTTPS не режется совершенно, через раз режет некоторые другие URL. Пробовал заливать правила через SCA BB и через консоль (sce-url-database) результат один и тот же. Кто сталкивался с подобным поведением? Смогли побороть, и если побороли, то каким образом? З.Ы. форум штудировал, решение не нашел или не увидел З.Ы.Ы. sce работает еще как шейпер, параметр HTTP GET detections = 3 Вставить ник Quote
vurd Posted May 15, 2015 Posted May 15, 2015 https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит. Вставить ник Quote
efreeze Posted May 15, 2015 Author Posted May 15, 2015 https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит. А есть ли в этом случае способы решения? СКАТ? Вставить ник Quote
vurd Posted May 15, 2015 Posted May 15, 2015 Блокировка целиком на уровне домена, например, через DNS, ну или "путем блокировки на пограничном маршрутизаторе". Вставить ник Quote
efreeze Posted May 15, 2015 Author Posted May 15, 2015 В этом случае сайт будет закрыт целиком, а если необходимо закрыть конкретный URL? второй вариант предполагает закрытие на уровне IP, на одном IP может быть много сайтов. З.Ы. я новый пользователь, смогу ответить только через сутки :-) Вставить ник Quote
snark Posted May 15, 2015 Posted May 15, 2015 трафик через протокол HTTPS не режется совершенно Он и не должен. В Cisco Service Control URL Blacklisting Solution Guide только про HTTP и нет ни одного слова касательно HTTPS. Как вы себе представляете заглядывание SCE внутрь шифрованного пакета? HTTPS можно резать с помощью прокси сервера, где делать подмену сертификата, но в этом случае кол-во звонков в ТП на предмет ругательства браузеров запросто может быть пропорционально кол-ву килобит в портах вашей SCE :) В принципе можно попробовать получить для своей прокси хороший, годный сертификат, но я не вскрывал эту тему настолько глубоко. второй вариант предполагает закрытие на уровне IP, на одном IP может быть много сайтов Капитан Очевидность, добро пожаловать, мы вас заждались :) Вставить ник Quote
efreeze Posted May 18, 2015 Author Posted May 18, 2015 Капитан Очевидность, добро пожаловать, мы вас заждались :) И вам доброго утра :-) Он и не должен. Тогда каким образов вы фильтруете HTTPS? Про подмену сертификата я в курсе, рассматриваем вариант с годным сертификатом. Вставить ник Quote
Sergeylo Posted May 18, 2015 Posted May 18, 2015 Тогда каким образов вы фильтруете HTTPS? Блокировать по IP. Про подмену сертификата я в курсе, рассматриваем вариант с годным сертификатом. Оно вам надо? В реестре нет популярных ресурсов с https'ом. Вставить ник Quote
SyJet Posted May 18, 2015 Posted May 18, 2015 (edited) efreeze - блокировка https по ip, причём не только тем, что в реестре но и по каждому домену проходя dig-ом и добавляем в список, иначе проверку не пройдёте Edited May 18, 2015 by SyJet Вставить ник Quote
Sergeylo Posted May 18, 2015 Posted May 18, 2015 по ip, причём не только тем, что в реестре А это поле вообще можно игнорировать и руководствоваться только тем, что наdig'алось. Вставить ник Quote
efreeze Posted May 18, 2015 Author Posted May 18, 2015 по ip, причём не только тем, что в реестре это мы и так делаем - у нас есть специальный чекер, который проверяет доступность и ищет все дополнительные IP для открытых доменов. А что делать с легальным трафиком, который идет через те же IP? Трафик идет вполне ощутимый, навряд ли он весь с заблокированных сайтов Еще вопрос относительно youtube: находил тут информацию о том, что блокировка работает до первого открытого ролика, дальше в рамках существующей сессии блокировка не работает. Проблема воспроизводима, и в данный момент youtube заблокировать качественно не получается. Вставить ник Quote
Sergeylo Posted May 18, 2015 Posted May 18, 2015 что делать с легальным трафиком, который идет через те же IP? У вас задача сводится к убиению всего https-трафика на этот ip и, по возможности, отключению конкретных страниц по http. Делить трафик на "легальный" и "нелегальный" - слегка не ваша задача, ваша задача - сделать красивый отчёт. блокировка работает до первого открытого ролика, дальше в рамках существующей сессии блокировка не работает. Впервые что-то подобное читаю. Есть проблемы с блокировкой для мобильных девайсов. Но там всё шифровано. А в шифрование вы не лезете. Просто сделайте, чтобы http-ссылки не работали. Всё. Понимать РКН'овские блокировки нужно в максимальной степени буквально. Вставить ник Quote
vurd Posted May 18, 2015 Posted May 18, 2015 С ютубом решается переключением в классичесикй режим открытия потоков. Я где-то писал об этом, собственно я же и разбирался изначально. Искать лень. Вставить ник Quote
DimaM Posted May 18, 2015 Posted May 18, 2015 https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит. А есть ли в этом случае способы решения? СКАТ? СКАТ тоже не заглядывает внутрь https, но зато умеет блокировать (или, наоборот, открывать доступ в Captive Portal) для https по имени сайта в сертификате Вставить ник Quote
efreeze Posted May 19, 2015 Author Posted May 19, 2015 С ютубом решается переключением в классичесикй режим открытия потоков. Спасибо за наводку, попробую найти нужный пост. Еще слышал от коллег из других компаний, что есть способ блокировать на основе сертификата, т.е. можно получить все сертификаты закрытых сайтов и залить их на SCE, а после уже блокировать. Не знаю на сколько это возможно и возможно ли вообще. Вставить ник Quote
efreeze Posted May 19, 2015 Author Posted May 19, 2015 (edited) С ютубом решается переключением в классичесикй режим открытия потоков. Я где-то писал об этом, собственно я же и разбирался изначально. Искать лень. Вы про это пост? тыц Edited May 19, 2015 by efreeze Вставить ник Quote
vurd Posted May 19, 2015 Posted May 19, 2015 Да. Там даже кол-во детектов можно уменьшить, не существенно. Вставить ник Quote
efreeze Posted May 20, 2015 Author Posted May 20, 2015 Да. Там даже кол-во детектов можно уменьшить, не существенно. у нас и так стоит 3, при увеличении до 50 нагрузка растет в разы, а толку ноль. Вставить ник Quote
vurd Posted May 20, 2015 Posted May 20, 2015 Вы классик опен флоу включите - будет толк) Вставить ник Quote
mcdemon Posted May 21, 2015 Posted May 21, 2015 SCE2000#sh interface LineCard 0 flow-open-mode Enhanced flow open Configured mode is Enabled Enhanced flow open mode is Symmetric Error - Required privilege level higher than current level. SCE2000# расскажите, чем мой режим отличается от классик? какие подводные камни? :) Вставить ник Quote
efreeze Posted May 22, 2015 Author Posted May 22, 2015 расскажите, чем мой режим отличается от классик? Меня тоже интересует отличие классического режима от улучшенного Вставить ник Quote
efreeze Posted May 26, 2015 Author Posted May 26, 2015 В общем включил классический режим. Стало лучше, однако youtube и vk как не блокировались так и не блокируются :-( HTTP GET detection стоит 3, стоит ли увеличивать? Вставить ник Quote
vurd Posted May 26, 2015 Posted May 26, 2015 Странно. Покажите пример. Потому что у меня это решило проблему на 100%. Я как воткнул, так и забыл, пока эта тема не появилась. Вставить ник Quote
Butch3r Posted May 26, 2015 Posted May 26, 2015 Странно. Покажите пример. Потому что у меня это решило проблему на 100%. Я как воткнул, так и забыл, пока эта тема не появилась. у меня тоже на 2020 проблема решилась Вставить ник Quote
efreeze Posted May 26, 2015 Author Posted May 26, 2015 (edited) SCE 8000: SCE8000#>sh int line 0 flow-open-mode Enhanced flow open Configured mode is Disabled UDP min-packets threshold is: 5 Правила: 4. youtube.com:/watch:*:v=APqifZIoiWo* 300 36. www.youtube.com:/watch:*:v=APqifZIoiWo* 300 URL: www.youtube.com/watch?v=APqifZIoiWo Edited May 26, 2015 by efreeze Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.