Jump to content
Калькуляторы

SCE8000 и реестр

Добрый день.

 

Возникла проблема при обработке списка заблокированных сайтов: трафик через протокол HTTPS не режется совершенно, через раз режет некоторые другие URL.

Пробовал заливать правила через SCA BB и через консоль (sce-url-database) результат один и тот же.

 

Кто сталкивался с подобным поведением? Смогли побороть, и если побороли, то каким образом?

 

З.Ы. форум штудировал, решение не нашел или не увидел

 

З.Ы.Ы. sce работает еще как шейпер, параметр HTTP GET detections = 3

Share this post


Link to post
Share on other sites

https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит.

Share this post


Link to post
Share on other sites

https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит.

А есть ли в этом случае способы решения? СКАТ?

Share this post


Link to post
Share on other sites

Блокировка целиком на уровне домена, например, через DNS, ну или "путем блокировки на пограничном маршрутизаторе".

Share this post


Link to post
Share on other sites

В этом случае сайт будет закрыт целиком, а если необходимо закрыть конкретный URL?

второй вариант предполагает закрытие на уровне IP, на одном IP может быть много сайтов.

 

З.Ы. я новый пользователь, смогу ответить только через сутки :-)

Share this post


Link to post
Share on other sites

трафик через протокол HTTPS не режется совершенно

Он и не должен. В Cisco Service Control URL Blacklisting Solution Guide только про HTTP и нет ни одного слова касательно HTTPS.

Как вы себе представляете заглядывание SCE внутрь шифрованного пакета?

 

HTTPS можно резать с помощью прокси сервера, где делать подмену сертификата, но в этом случае кол-во звонков в ТП на предмет ругательства браузеров запросто может быть пропорционально кол-ву килобит в портах вашей SCE :)

В принципе можно попробовать получить для своей прокси хороший, годный сертификат, но я не вскрывал эту тему настолько глубоко.

 

 

второй вариант предполагает закрытие на уровне IP, на одном IP может быть много сайтов

Капитан Очевидность, добро пожаловать, мы вас заждались :)

Share this post


Link to post
Share on other sites
Капитан Очевидность, добро пожаловать, мы вас заждались :)

И вам доброго утра :-)

 

Он и не должен.

Тогда каким образов вы фильтруете HTTPS?

Про подмену сертификата я в курсе, рассматриваем вариант с годным сертификатом.

Share this post


Link to post
Share on other sites
Тогда каким образов вы фильтруете HTTPS?

Блокировать по IP.

Про подмену сертификата я в курсе, рассматриваем вариант с годным сертификатом.

Оно вам надо? В реестре нет популярных ресурсов с https'ом.

Share this post


Link to post
Share on other sites

efreeze - блокировка https по ip, причём не только тем, что в реестре но и по каждому домену проходя dig-ом и добавляем в список, иначе проверку не пройдёте

Edited by SyJet

Share this post


Link to post
Share on other sites
по ip, причём не только тем, что в реестре

А это поле вообще можно игнорировать и руководствоваться только тем, что наdig'алось.

Share this post


Link to post
Share on other sites
по ip, причём не только тем, что в реестре

это мы и так делаем - у нас есть специальный чекер, который проверяет доступность и ищет все дополнительные IP для открытых доменов.

 

А что делать с легальным трафиком, который идет через те же IP?

Трафик идет вполне ощутимый, навряд ли он весь с заблокированных сайтов

 

Еще вопрос относительно youtube: находил тут информацию о том, что блокировка работает до первого открытого ролика, дальше в рамках существующей сессии блокировка не работает. Проблема воспроизводима, и в данный момент youtube заблокировать качественно не получается.

Share this post


Link to post
Share on other sites
что делать с легальным трафиком, который идет через те же IP?

У вас задача сводится к убиению всего https-трафика на этот ip и, по возможности, отключению конкретных страниц по http. Делить трафик на "легальный" и "нелегальный" - слегка не ваша задача, ваша задача - сделать красивый отчёт.

блокировка работает до первого открытого ролика, дальше в рамках существующей сессии блокировка не работает.

Впервые что-то подобное читаю. Есть проблемы с блокировкой для мобильных девайсов. Но там всё шифровано. А в шифрование вы не лезете. Просто сделайте, чтобы http-ссылки не работали. Всё. Понимать РКН'овские блокировки нужно в максимальной степени буквально.

Share this post


Link to post
Share on other sites

С ютубом решается переключением в классичесикй режим открытия потоков. Я где-то писал об этом, собственно я же и разбирался изначально. Искать лень.

Share this post


Link to post
Share on other sites

https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит.

А есть ли в этом случае способы решения? СКАТ?

 

СКАТ тоже не заглядывает внутрь https, но зато умеет блокировать (или, наоборот, открывать доступ в Captive Portal)

для https по имени сайта в сертификате

Share this post


Link to post
Share on other sites
С ютубом решается переключением в классичесикй режим открытия потоков.

Спасибо за наводку, попробую найти нужный пост.

 

Еще слышал от коллег из других компаний, что есть способ блокировать на основе сертификата, т.е. можно получить все сертификаты закрытых сайтов и залить их на SCE, а после уже блокировать.

Не знаю на сколько это возможно и возможно ли вообще.

Share this post


Link to post
Share on other sites

С ютубом решается переключением в классичесикй режим открытия потоков. Я где-то писал об этом, собственно я же и разбирался изначально. Искать лень.

 

Вы про это пост?

тыц

Edited by efreeze

Share this post


Link to post
Share on other sites

Да. Там даже кол-во детектов можно уменьшить, не существенно.

Share this post


Link to post
Share on other sites

Да. Там даже кол-во детектов можно уменьшить, не существенно.

у нас и так стоит 3, при увеличении до 50 нагрузка растет в разы, а толку ноль.

Share this post


Link to post
Share on other sites

Вы классик опен флоу включите - будет толк)

Share this post


Link to post
Share on other sites

SCE2000#sh interface LineCard 0 flow-open-mode

Enhanced flow open Configured mode is Enabled

Enhanced flow open mode is Symmetric

Error - Required privilege level higher than current level.

SCE2000#

 

расскажите, чем мой режим отличается от классик?

какие подводные камни? :)

Share this post


Link to post
Share on other sites

расскажите, чем мой режим отличается от классик?

 

Меня тоже интересует отличие классического режима от улучшенного

Share this post


Link to post
Share on other sites

В общем включил классический режим.

Стало лучше, однако youtube и vk как не блокировались так и не блокируются :-(

HTTP GET detection стоит 3, стоит ли увеличивать?

Share this post


Link to post
Share on other sites

Странно. Покажите пример. Потому что у меня это решило проблему на 100%. Я как воткнул, так и забыл, пока эта тема не появилась.

Share this post


Link to post
Share on other sites

Странно. Покажите пример. Потому что у меня это решило проблему на 100%. Я как воткнул, так и забыл, пока эта тема не появилась.

у меня тоже на 2020 проблема решилась

Share this post


Link to post
Share on other sites

SCE 8000:

 

SCE8000#>sh int line 0 flow-open-mode

Enhanced flow open Configured mode is Disabled

UDP min-packets threshold is: 5

 

Правила:

4. youtube.com:/watch:*:v=APqifZIoiWo* 300

36. www.youtube.com:/watch:*:v=APqifZIoiWo* 300

 

URL: www.youtube.com/watch?v=APqifZIoiWo

Edited by efreeze

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this