SergioB Опубликовано 19 октября, 2016 Всем привет. Наша компания сделала легкое решение для блокировок по реестру Роскомнадзора. Если кому интересно, посмотреть можно здесь: ldpi.softm.tv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 19 октября, 2016 решение с BGP в перспективе создаст проблемы с количеством маршрутов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 19 октября, 2016 nfq_filter, чтоли, продаёте? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioB Опубликовано 19 октября, 2016 nfq_filter, чтоли, продаёте? :) Нет, не nfq_filter, это свое решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 19 октября, 2016 А причем здесь DPI? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 19 октября, 2016 Всем привет. Наша компания сделала легкое решение для блокировок по реестру Роскомнадзора. Если кому интересно, посмотреть можно здесь: ldpi.softm.tv Решение реально революционное, не имеющее современных аналогов Системные требования к серверу Сервер с указанными ниже характеристиками сможет обслуживать выход в интернет со скоростью до 10 Гбит/с: Сетевой адаптер: количество ethernet интерфейсов: желательно два тип интерфейсов: 1000BaseT, 1000BaseX Аналогичных решений просто нет, это прорыв - до 10 Гбит/с через гигабитную карту. Думаю, стоит брать DPI. Даже пожалуй два возьму ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 19 октября, 2016 А причем здесь DPI? Что значит при чем? Это название маркетинговой схемы - DPI (Depth Pelf Illusion), что в дословном переводе означет углубленный денежный обман, а в просторечии "Лохотрон". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioB Опубликовано 19 октября, 2016 Собственно, название LiteDPI и означает, что это легкий DPI или не совсем DPI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 октября, 2016 Не совсем это как? Умеет анализировать несколько пакетов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 19 октября, 2016 Понимает некоторые пакеты, но сделать с ними ничего не может. Организаций для скачивания Госреестра: 1 Что такое Госреестр? Клиентских серверов: 1 Что такое клиентский сервер? Количество отслеживаемых сессий: до 20 000** в текущих условиях, это ограничение позволит обработать uplink со скоростью не выше 5 Гбит/с 20к сессий это всего лишь десяток-другой абонентов. Ни о каких "не выше 5 Гбит/с" тут и речи нет. То есть вранье. Ресурсы для блокировки могут быть определены при помощи URL, IP адреса и IP подсети. А где домен и доменная маска? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 19 октября, 2016 Ага, как собачка. Всё понимает, но сказать не может :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 19 октября, 2016 "Сервер, используя BGP анонсы, разворачивает на себя трафик на ресурсы, которые потенциально могут быть запрещенными." Чем это отличается от ACL на Брасе? Зачем разворачивать маршруты, чтоб заблокировать не ресурс, а вообще весь IP протокол в сторону подозрительного URL например? По описанию эта штука не сможет заблокировать URL ссылку, а блокирует весь хост. Или это описание такое и оно все-таки как то блокирует. Но я его так и понял/прочитал. Если на самом деле блокирует по IP, то зачем собирать посторонние коробки, когда это сможет сделать любой бордер или брас в стоке? Сервер в разрыв? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 октября, 2016 Тем, что софт может посмотреть внутрь трафика и принять решение. На схеме выходной интерфейс как бы есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 20 октября, 2016 Тем, что софт может посмотреть внутрь трафика и принять решение. На схеме выходной интерфейс как бы есть. "Как бы есть" выходной интерфейс априори не определяет возможности софта. На самом деле, в очередной раз, групка энергичных предприимчивых молодых людей пытается втюхать за деньги стандартные средства ОС по работе с трафиком написав пару скриптов на bash и назвав это Lite. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 20 октября, 2016 Легкий на*бос в коробке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 20 октября, 2016 никто не спорит) более чем уверен, что там nfqfilter с дописанным лимитом на "соединения", причем вероятно все же речь про пакетрейт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 20 октября, 2016 Ну а что, для всяких недопровайдеров вполне может подойти, типа для БЦ и т.д. Понятно, что для промышленного использования критику не выдерживает. Но вот мы для своих трех с половиной ШПД за 1 день то же самое на виртуалке с OSPF заделали. Но мы тупо по IP все лочим, потому что наши три с половиной абонента не жалуются - это раз, а во вторых - мы с радостью их перестанем обслуживать, потому что бизнес ШПД не очень профильный. А раньше был SQUID с tproxy, когда много было абонентов VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 20 октября, 2016 Ospf вы зря использовали. Там сейчас 20 тысяч записей (вроде), лучше bgp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 20 октября, 2016 Работает - не трогай) Это не в ядро сети запил, а просто сервер-сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 20 октября, 2016 Поправочка. Сейчас 43954 записей, с исключением дублей - 36453. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 октября, 2016 (изменено) А на кой там нужен hdd на минимум 500гБ? Нет, не nfq_filter, это свое решение. правда-правда)) Изменено 20 октября, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 20 октября, 2016 А на кой там нужен hdd на минимум 500гБ? Записать траффик и в 5 утра поанализировать :)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioB Опубликовано 20 октября, 2016 (изменено) Попробую ответить по порядку. 1. Это не nfqfilter. 2. Сервер не работает в разрыв, он отворачивает на себя нужный трафик и обрабатывает его. Таким образом, десятигигабитный аплинк вполне себе обрабатывается сервером с гигабитными интерфейсами. Блокируются ресурсы по url. Так что Chrst, берите два. 3. По поводу названия LiteDPI. Lite потому что: а) Не устанавливается в разрыв линии б) Решает только одну задачу - блокировку ресурсов по требованию законодательства. 4. С описанием и терминами еще поработаем. 5. dignity прав, мы не планировали это решение для крупных провайдеров и небольших, но очень, очень грамотных провайдеров. Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками, не тратя на это ресурсы своего персонала. Изменено 20 октября, 2016 пользователем SergioB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 октября, 2016 Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками тьма вариантов: nfqfilter, extfilter, squid, dns redirect, drop ip. Ну и напоследок - подписка. Это именно то, чего не хватает мелкому оператору - как я понимаю, по прошествии месяца и отсутствии оплаты оно превращается в тыкву? Т.е сценарий когда забыли оплатить, деньги не дошли вовремя, итд и тот же "Ревизор" успешно отрапортует о 100% неблокировке ресурсов возможен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 21 октября, 2016 5. dignity прав, мы не планировали это решение для крупных провайдеров и небольших, но очень, очень грамотных провайдеров. Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками, не тратя на это ресурсы своего персонала. Практически открытым текстом - "мы планировали это решение для развода лохов". Стоимость Вашего лекарства от головной боли как то уж не очень соответствует ценнику Lite. Ценник вполне сопоставим с тем же Carbon Reductor... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...