efreeze Опубликовано 15 мая, 2015 · Жалоба Добрый день. Возникла проблема при обработке списка заблокированных сайтов: трафик через протокол HTTPS не режется совершенно, через раз режет некоторые другие URL. Пробовал заливать правила через SCA BB и через консоль (sce-url-database) результат один и тот же. Кто сталкивался с подобным поведением? Смогли побороть, и если побороли, то каким образом? З.Ы. форум штудировал, решение не нашел или не увидел З.Ы.Ы. sce работает еще как шейпер, параметр HTTP GET detections = 3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 15 мая, 2015 · Жалоба https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 15 мая, 2015 · Жалоба https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит. А есть ли в этом случае способы решения? СКАТ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 15 мая, 2015 · Жалоба Блокировка целиком на уровне домена, например, через DNS, ну или "путем блокировки на пограничном маршрутизаторе". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 15 мая, 2015 · Жалоба В этом случае сайт будет закрыт целиком, а если необходимо закрыть конкретный URL? второй вариант предполагает закрытие на уровне IP, на одном IP может быть много сайтов. З.Ы. я новый пользователь, смогу ответить только через сутки :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 15 мая, 2015 · Жалоба трафик через протокол HTTPS не режется совершенно Он и не должен. В Cisco Service Control URL Blacklisting Solution Guide только про HTTP и нет ни одного слова касательно HTTPS. Как вы себе представляете заглядывание SCE внутрь шифрованного пакета? HTTPS можно резать с помощью прокси сервера, где делать подмену сертификата, но в этом случае кол-во звонков в ТП на предмет ругательства браузеров запросто может быть пропорционально кол-ву килобит в портах вашей SCE :) В принципе можно попробовать получить для своей прокси хороший, годный сертификат, но я не вскрывал эту тему настолько глубоко. второй вариант предполагает закрытие на уровне IP, на одном IP может быть много сайтов Капитан Очевидность, добро пожаловать, мы вас заждались :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 18 мая, 2015 · Жалоба Капитан Очевидность, добро пожаловать, мы вас заждались :) И вам доброго утра :-) Он и не должен. Тогда каким образов вы фильтруете HTTPS? Про подмену сертификата я в курсе, рассматриваем вариант с годным сертификатом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 18 мая, 2015 · Жалоба Тогда каким образов вы фильтруете HTTPS? Блокировать по IP. Про подмену сертификата я в курсе, рассматриваем вариант с годным сертификатом. Оно вам надо? В реестре нет популярных ресурсов с https'ом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 18 мая, 2015 (изменено) · Жалоба efreeze - блокировка https по ip, причём не только тем, что в реестре но и по каждому домену проходя dig-ом и добавляем в список, иначе проверку не пройдёте Изменено 18 мая, 2015 пользователем SyJet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 18 мая, 2015 · Жалоба по ip, причём не только тем, что в реестре А это поле вообще можно игнорировать и руководствоваться только тем, что наdig'алось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 18 мая, 2015 · Жалоба по ip, причём не только тем, что в реестре это мы и так делаем - у нас есть специальный чекер, который проверяет доступность и ищет все дополнительные IP для открытых доменов. А что делать с легальным трафиком, который идет через те же IP? Трафик идет вполне ощутимый, навряд ли он весь с заблокированных сайтов Еще вопрос относительно youtube: находил тут информацию о том, что блокировка работает до первого открытого ролика, дальше в рамках существующей сессии блокировка не работает. Проблема воспроизводима, и в данный момент youtube заблокировать качественно не получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 18 мая, 2015 · Жалоба что делать с легальным трафиком, который идет через те же IP? У вас задача сводится к убиению всего https-трафика на этот ip и, по возможности, отключению конкретных страниц по http. Делить трафик на "легальный" и "нелегальный" - слегка не ваша задача, ваша задача - сделать красивый отчёт. блокировка работает до первого открытого ролика, дальше в рамках существующей сессии блокировка не работает. Впервые что-то подобное читаю. Есть проблемы с блокировкой для мобильных девайсов. Но там всё шифровано. А в шифрование вы не лезете. Просто сделайте, чтобы http-ссылки не работали. Всё. Понимать РКН'овские блокировки нужно в максимальной степени буквально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 18 мая, 2015 · Жалоба С ютубом решается переключением в классичесикй режим открытия потоков. Я где-то писал об этом, собственно я же и разбирался изначально. Искать лень. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 18 мая, 2015 · Жалоба https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит. А есть ли в этом случае способы решения? СКАТ? СКАТ тоже не заглядывает внутрь https, но зато умеет блокировать (или, наоборот, открывать доступ в Captive Portal) для https по имени сайта в сертификате Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 19 мая, 2015 · Жалоба С ютубом решается переключением в классичесикй режим открытия потоков. Спасибо за наводку, попробую найти нужный пост. Еще слышал от коллег из других компаний, что есть способ блокировать на основе сертификата, т.е. можно получить все сертификаты закрытых сайтов и залить их на SCE, а после уже блокировать. Не знаю на сколько это возможно и возможно ли вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 19 мая, 2015 (изменено) · Жалоба С ютубом решается переключением в классичесикй режим открытия потоков. Я где-то писал об этом, собственно я же и разбирался изначально. Искать лень. Вы про это пост? тыц Изменено 19 мая, 2015 пользователем efreeze Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 19 мая, 2015 · Жалоба Да. Там даже кол-во детектов можно уменьшить, не существенно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 20 мая, 2015 · Жалоба Да. Там даже кол-во детектов можно уменьшить, не существенно. у нас и так стоит 3, при увеличении до 50 нагрузка растет в разы, а толку ноль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 20 мая, 2015 · Жалоба Вы классик опен флоу включите - будет толк) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 21 мая, 2015 · Жалоба SCE2000#sh interface LineCard 0 flow-open-mode Enhanced flow open Configured mode is Enabled Enhanced flow open mode is Symmetric Error - Required privilege level higher than current level. SCE2000# расскажите, чем мой режим отличается от классик? какие подводные камни? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 22 мая, 2015 · Жалоба расскажите, чем мой режим отличается от классик? Меня тоже интересует отличие классического режима от улучшенного Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 26 мая, 2015 · Жалоба В общем включил классический режим. Стало лучше, однако youtube и vk как не блокировались так и не блокируются :-( HTTP GET detection стоит 3, стоит ли увеличивать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 26 мая, 2015 · Жалоба Странно. Покажите пример. Потому что у меня это решило проблему на 100%. Я как воткнул, так и забыл, пока эта тема не появилась. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 26 мая, 2015 · Жалоба Странно. Покажите пример. Потому что у меня это решило проблему на 100%. Я как воткнул, так и забыл, пока эта тема не появилась. у меня тоже на 2020 проблема решилась Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efreeze Опубликовано 26 мая, 2015 (изменено) · Жалоба SCE 8000: SCE8000#>sh int line 0 flow-open-mode Enhanced flow open Configured mode is Disabled UDP min-packets threshold is: 5 Правила: 4. youtube.com:/watch:*:v=APqifZIoiWo* 300 36. www.youtube.com:/watch:*:v=APqifZIoiWo* 300 URL: www.youtube.com/watch?v=APqifZIoiWo Изменено 26 мая, 2015 пользователем efreeze Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...