[SergioB]

Всем привет. Наша компания сделала легкое решение для блокировок по реестру Роскомнадзора. Если кому интересно, посмотреть можно здесь: ldpi.softm.tv

[rdc]

решение с BGP в перспективе создаст проблемы с количеством маршрутов

[Wingman]

nfq_filter, чтоли, продаёте? :)

[SergioB]

nfq_filter, чтоли, продаёте? :)

Нет, не nfq_filter, это свое решение.

[vurd]

А причем здесь DPI?

[Chrst]

Всем привет. Наша компания сделала легкое решение для блокировок по реестру Роскомнадзора. Если кому интересно, посмотреть можно здесь: ldpi.softm.tv

Решение реально революционное, не имеющее современных аналогов

 

Системные требования к серверу

 

Сервер с указанными ниже характеристиками сможет обслуживать выход в интернет со скоростью до 10 Гбит/с:

 

Сетевой адаптер:

 

количество ethernet интерфейсов: желательно два

тип интерфейсов: 1000BaseT, 1000BaseX

Аналогичных решений просто нет, это прорыв - до 10 Гбит/с через гигабитную карту. Думаю, стоит брать DPI. Даже пожалуй два возьму ;)

[Chrst]

А причем здесь DPI?

Что значит при чем? Это название маркетинговой схемы - DPI (Depth Pelf Illusion), что в дословном переводе означет углубленный денежный обман, а в просторечии "Лохотрон".

[SergioB]

Собственно, название LiteDPI и означает, что это легкий DPI или не совсем DPI.

[zhenya`]

Не совсем это как? Умеет анализировать несколько пакетов?

[alibek]

Понимает некоторые пакеты, но сделать с ними ничего не может.

 

Организаций для скачивания Госреестра: 1

Что такое Госреестр?

 

Клиентских серверов: 1

Что такое клиентский сервер?

 

Количество отслеживаемых сессий: до 20 000*

* в текущих условиях, это ограничение позволит обработать uplink со скоростью не выше 5 Гбит/с

20к сессий это всего лишь десяток-другой абонентов.

Ни о каких "не выше 5 Гбит/с" тут и речи нет.

То есть вранье.

 

Ресурсы для блокировки могут быть определены при помощи URL, IP адреса и IP подсети.

А где домен и доменная маска?

[vurd]

Ага, как собачка. Всё понимает, но сказать не может :)

[semop]

"Сервер, используя BGP анонсы, разворачивает на себя трафик на ресурсы, которые потенциально могут быть запрещенными."

 

Чем это отличается от ACL на Брасе?

Зачем разворачивать маршруты, чтоб заблокировать не ресурс, а вообще весь IP протокол в сторону подозрительного URL например?

 

По описанию эта штука не сможет заблокировать URL ссылку, а блокирует весь хост.

Или это описание такое и оно все-таки как то блокирует.

Но я его так и понял/прочитал.

 

Если на самом деле блокирует по IP, то зачем собирать посторонние коробки, когда это сможет сделать любой бордер или брас в стоке?

Сервер в разрыв?

[zhenya`]

Тем, что софт может посмотреть внутрь трафика и принять решение. На схеме выходной интерфейс как бы есть.

[Chrst]

Тем, что софт может посмотреть внутрь трафика и принять решение. На схеме выходной интерфейс как бы есть.

"Как бы есть" выходной интерфейс априори не определяет возможности софта.

 

На самом деле, в очередной раз, групка энергичных предприимчивых молодых людей пытается втюхать за деньги стандартные средства ОС по работе с трафиком написав пару скриптов на bash и назвав это Lite.

[Butch3r]

Легкий на*бос в коробке

[zhenya`]

никто не спорит) более чем уверен, что там nfqfilter с дописанным лимитом на "соединения", причем вероятно все же речь про пакетрейт.

[dignity]

Ну а что, для всяких недопровайдеров вполне может подойти, типа для БЦ и т.д. Понятно, что для промышленного использования критику не выдерживает. Но вот мы для своих трех с половиной ШПД за 1 день то же самое на виртуалке с OSPF заделали. Но мы тупо по IP все лочим, потому что наши три с половиной абонента не жалуются - это раз, а во вторых - мы с радостью их перестанем обслуживать, потому что бизнес ШПД не очень профильный. А раньше был SQUID с tproxy, когда много было абонентов VPN.

[vurd]

Ospf вы зря использовали. Там сейчас 20 тысяч записей (вроде), лучше bgp.

[dignity]

Работает - не трогай) Это не в ядро сети запил, а просто сервер-сервер.

[vurd]

Поправочка. Сейчас 43954 записей, с исключением дублей - 36453.

[myth]

А на кой там нужен hdd на минимум 500гБ?

Нет, не nfq_filter, это свое решение.

правда-правда))

Edited October 20, 2016 by myth

[ShyLion]

А на кой там нужен hdd на минимум 500гБ?

Записать траффик и в 5 утра поанализировать :))))

[SergioB]

Попробую ответить по порядку.

1. Это не nfqfilter.

2. Сервер не работает в разрыв, он отворачивает на себя нужный трафик и обрабатывает его. Таким образом, десятигигабитный аплинк вполне себе обрабатывается сервером с гигабитными интерфейсами. Блокируются ресурсы по url. Так что Chrst, берите два.

3. По поводу названия LiteDPI. Lite потому что:

а) Не устанавливается в разрыв линии

б) Решает только одну задачу - блокировку ресурсов по требованию законодательства.

4. С описанием и терминами еще поработаем.

5. dignity прав, мы не планировали это решение для крупных провайдеров и небольших, но очень, очень грамотных провайдеров. Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками, не тратя на это ресурсы своего персонала.

Edited October 20, 2016 by SergioB

[myth]

Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками

тьма вариантов: nfqfilter, extfilter, squid, dns redirect, drop ip.

 

Ну и напоследок - подписка. Это именно то, чего не хватает мелкому оператору - как я понимаю, по прошествии месяца и отсутствии оплаты оно превращается в тыкву? Т.е сценарий когда забыли оплатить, деньги не дошли вовремя, итд и тот же "Ревизор" успешно отрапортует о 100% неблокировке ресурсов возможен?

[Chrst]

5. dignity прав, мы не планировали это решение для крупных провайдеров и небольших, но очень, очень грамотных провайдеров. Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками, не тратя на это ресурсы своего персонала.

Практически открытым текстом - "мы планировали это решение для развода лохов".

 

Стоимость Вашего лекарства от головной боли как то уж не очень соответствует ценнику Lite. Ценник вполне сопоставим с тем же Carbon Reductor...