Перейти к содержимому
Калькуляторы

Добрый день.

 

Возникла проблема при обработке списка заблокированных сайтов: трафик через протокол HTTPS не режется совершенно, через раз режет некоторые другие URL.

Пробовал заливать правила через SCA BB и через консоль (sce-url-database) результат один и тот же.

 

Кто сталкивался с подобным поведением? Смогли побороть, и если побороли, то каким образом?

 

З.Ы. форум штудировал, решение не нашел или не увидел

 

З.Ы.Ы. sce работает еще как шейпер, параметр HTTP GET detections = 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит.

А есть ли в этом случае способы решения? СКАТ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блокировка целиком на уровне домена, например, через DNS, ну или "путем блокировки на пограничном маршрутизаторе".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В этом случае сайт будет закрыт целиком, а если необходимо закрыть конкретный URL?

второй вариант предполагает закрытие на уровне IP, на одном IP может быть много сайтов.

 

З.Ы. я новый пользователь, смогу ответить только через сутки :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

трафик через протокол HTTPS не режется совершенно

Он и не должен. В Cisco Service Control URL Blacklisting Solution Guide только про HTTP и нет ни одного слова касательно HTTPS.

Как вы себе представляете заглядывание SCE внутрь шифрованного пакета?

 

HTTPS можно резать с помощью прокси сервера, где делать подмену сертификата, но в этом случае кол-во звонков в ТП на предмет ругательства браузеров запросто может быть пропорционально кол-ву килобит в портах вашей SCE :)

В принципе можно попробовать получить для своей прокси хороший, годный сертификат, но я не вскрывал эту тему настолько глубоко.

 

 

второй вариант предполагает закрытие на уровне IP, на одном IP может быть много сайтов

Капитан Очевидность, добро пожаловать, мы вас заждались :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Капитан Очевидность, добро пожаловать, мы вас заждались :)

И вам доброго утра :-)

 

Он и не должен.

Тогда каким образов вы фильтруете HTTPS?

Про подмену сертификата я в курсе, рассматриваем вариант с годным сертификатом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда каким образов вы фильтруете HTTPS?

Блокировать по IP.

Про подмену сертификата я в курсе, рассматриваем вариант с годным сертификатом.

Оно вам надо? В реестре нет популярных ресурсов с https'ом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

efreeze - блокировка https по ip, причём не только тем, что в реестре но и по каждому домену проходя dig-ом и добавляем в список, иначе проверку не пройдёте

Изменено пользователем SyJet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по ip, причём не только тем, что в реестре

А это поле вообще можно игнорировать и руководствоваться только тем, что наdig'алось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по ip, причём не только тем, что в реестре

это мы и так делаем - у нас есть специальный чекер, который проверяет доступность и ищет все дополнительные IP для открытых доменов.

 

А что делать с легальным трафиком, который идет через те же IP?

Трафик идет вполне ощутимый, навряд ли он весь с заблокированных сайтов

 

Еще вопрос относительно youtube: находил тут информацию о том, что блокировка работает до первого открытого ролика, дальше в рамках существующей сессии блокировка не работает. Проблема воспроизводима, и в данный момент youtube заблокировать качественно не получается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что делать с легальным трафиком, который идет через те же IP?

У вас задача сводится к убиению всего https-трафика на этот ip и, по возможности, отключению конкретных страниц по http. Делить трафик на "легальный" и "нелегальный" - слегка не ваша задача, ваша задача - сделать красивый отчёт.

блокировка работает до первого открытого ролика, дальше в рамках существующей сессии блокировка не работает.

Впервые что-то подобное читаю. Есть проблемы с блокировкой для мобильных девайсов. Но там всё шифровано. А в шифрование вы не лезете. Просто сделайте, чтобы http-ссылки не работали. Всё. Понимать РКН'овские блокировки нужно в максимальной степени буквально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С ютубом решается переключением в классичесикй режим открытия потоков. Я где-то писал об этом, собственно я же и разбирался изначально. Искать лень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https и не будет работать, там url зашифрован, есть только имя хоста, впрочем, которое sce тоже не ловит.

А есть ли в этом случае способы решения? СКАТ?

 

СКАТ тоже не заглядывает внутрь https, но зато умеет блокировать (или, наоборот, открывать доступ в Captive Portal)

для https по имени сайта в сертификате

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С ютубом решается переключением в классичесикй режим открытия потоков.

Спасибо за наводку, попробую найти нужный пост.

 

Еще слышал от коллег из других компаний, что есть способ блокировать на основе сертификата, т.е. можно получить все сертификаты закрытых сайтов и залить их на SCE, а после уже блокировать.

Не знаю на сколько это возможно и возможно ли вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С ютубом решается переключением в классичесикй режим открытия потоков. Я где-то писал об этом, собственно я же и разбирался изначально. Искать лень.

 

Вы про это пост?

тыц

Изменено пользователем efreeze

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да. Там даже кол-во детектов можно уменьшить, не существенно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да. Там даже кол-во детектов можно уменьшить, не существенно.

у нас и так стоит 3, при увеличении до 50 нагрузка растет в разы, а толку ноль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы классик опен флоу включите - будет толк)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SCE2000#sh interface LineCard 0 flow-open-mode

Enhanced flow open Configured mode is Enabled

Enhanced flow open mode is Symmetric

Error - Required privilege level higher than current level.

SCE2000#

 

расскажите, чем мой режим отличается от классик?

какие подводные камни? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

расскажите, чем мой режим отличается от классик?

 

Меня тоже интересует отличие классического режима от улучшенного

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем включил классический режим.

Стало лучше, однако youtube и vk как не блокировались так и не блокируются :-(

HTTP GET detection стоит 3, стоит ли увеличивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странно. Покажите пример. Потому что у меня это решило проблему на 100%. Я как воткнул, так и забыл, пока эта тема не появилась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странно. Покажите пример. Потому что у меня это решило проблему на 100%. Я как воткнул, так и забыл, пока эта тема не появилась.

у меня тоже на 2020 проблема решилась

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SCE 8000:

 

SCE8000#>sh int line 0 flow-open-mode

Enhanced flow open Configured mode is Disabled

UDP min-packets threshold is: 5

 

Правила:

4. youtube.com:/watch:*:v=APqifZIoiWo* 300

36. www.youtube.com:/watch:*:v=APqifZIoiWo* 300

 

URL: www.youtube.com/watch?v=APqifZIoiWo

Изменено пользователем efreeze

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.