SergioB Posted October 19, 2016 · Report post Всем привет. Наша компания сделала легкое решение для блокировок по реестру Роскомнадзора. Если кому интересно, посмотреть можно здесь: ldpi.softm.tv Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted October 19, 2016 · Report post решение с BGP в перспективе создаст проблемы с количеством маршрутов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 19, 2016 · Report post nfq_filter, чтоли, продаёте? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergioB Posted October 19, 2016 · Report post nfq_filter, чтоли, продаёте? :) Нет, не nfq_filter, это свое решение. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted October 19, 2016 · Report post А причем здесь DPI? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chrst Posted October 19, 2016 · Report post Всем привет. Наша компания сделала легкое решение для блокировок по реестру Роскомнадзора. Если кому интересно, посмотреть можно здесь: ldpi.softm.tv Решение реально революционное, не имеющее современных аналогов Системные требования к серверу Сервер с указанными ниже характеристиками сможет обслуживать выход в интернет со скоростью до 10 Гбит/с: Сетевой адаптер: количество ethernet интерфейсов: желательно два тип интерфейсов: 1000BaseT, 1000BaseX Аналогичных решений просто нет, это прорыв - до 10 Гбит/с через гигабитную карту. Думаю, стоит брать DPI. Даже пожалуй два возьму ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chrst Posted October 19, 2016 · Report post А причем здесь DPI? Что значит при чем? Это название маркетинговой схемы - DPI (Depth Pelf Illusion), что в дословном переводе означет углубленный денежный обман, а в просторечии "Лохотрон". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergioB Posted October 19, 2016 · Report post Собственно, название LiteDPI и означает, что это легкий DPI или не совсем DPI. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 19, 2016 · Report post Не совсем это как? Умеет анализировать несколько пакетов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 19, 2016 · Report post Понимает некоторые пакеты, но сделать с ними ничего не может. Организаций для скачивания Госреестра: 1 Что такое Госреестр? Клиентских серверов: 1 Что такое клиентский сервер? Количество отслеживаемых сессий: до 20 000** в текущих условиях, это ограничение позволит обработать uplink со скоростью не выше 5 Гбит/с 20к сессий это всего лишь десяток-другой абонентов. Ни о каких "не выше 5 Гбит/с" тут и речи нет. То есть вранье. Ресурсы для блокировки могут быть определены при помощи URL, IP адреса и IP подсети. А где домен и доменная маска? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted October 19, 2016 · Report post Ага, как собачка. Всё понимает, но сказать не может :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
semop Posted October 19, 2016 · Report post "Сервер, используя BGP анонсы, разворачивает на себя трафик на ресурсы, которые потенциально могут быть запрещенными." Чем это отличается от ACL на Брасе? Зачем разворачивать маршруты, чтоб заблокировать не ресурс, а вообще весь IP протокол в сторону подозрительного URL например? По описанию эта штука не сможет заблокировать URL ссылку, а блокирует весь хост. Или это описание такое и оно все-таки как то блокирует. Но я его так и понял/прочитал. Если на самом деле блокирует по IP, то зачем собирать посторонние коробки, когда это сможет сделать любой бордер или брас в стоке? Сервер в разрыв? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 19, 2016 · Report post Тем, что софт может посмотреть внутрь трафика и принять решение. На схеме выходной интерфейс как бы есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chrst Posted October 20, 2016 · Report post Тем, что софт может посмотреть внутрь трафика и принять решение. На схеме выходной интерфейс как бы есть. "Как бы есть" выходной интерфейс априори не определяет возможности софта. На самом деле, в очередной раз, групка энергичных предприимчивых молодых людей пытается втюхать за деньги стандартные средства ОС по работе с трафиком написав пару скриптов на bash и назвав это Lite. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted October 20, 2016 · Report post Легкий на*бос в коробке Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 20, 2016 · Report post никто не спорит) более чем уверен, что там nfqfilter с дописанным лимитом на "соединения", причем вероятно все же речь про пакетрейт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted October 20, 2016 · Report post Ну а что, для всяких недопровайдеров вполне может подойти, типа для БЦ и т.д. Понятно, что для промышленного использования критику не выдерживает. Но вот мы для своих трех с половиной ШПД за 1 день то же самое на виртуалке с OSPF заделали. Но мы тупо по IP все лочим, потому что наши три с половиной абонента не жалуются - это раз, а во вторых - мы с радостью их перестанем обслуживать, потому что бизнес ШПД не очень профильный. А раньше был SQUID с tproxy, когда много было абонентов VPN. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted October 20, 2016 · Report post Ospf вы зря использовали. Там сейчас 20 тысяч записей (вроде), лучше bgp. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted October 20, 2016 · Report post Работает - не трогай) Это не в ядро сети запил, а просто сервер-сервер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted October 20, 2016 · Report post Поправочка. Сейчас 43954 записей, с исключением дублей - 36453. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 20, 2016 (edited) · Report post А на кой там нужен hdd на минимум 500гБ? Нет, не nfq_filter, это свое решение. правда-правда)) Edited October 20, 2016 by myth Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 20, 2016 · Report post А на кой там нужен hdd на минимум 500гБ? Записать траффик и в 5 утра поанализировать :)))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergioB Posted October 20, 2016 (edited) · Report post Попробую ответить по порядку. 1. Это не nfqfilter. 2. Сервер не работает в разрыв, он отворачивает на себя нужный трафик и обрабатывает его. Таким образом, десятигигабитный аплинк вполне себе обрабатывается сервером с гигабитными интерфейсами. Блокируются ресурсы по url. Так что Chrst, берите два. 3. По поводу названия LiteDPI. Lite потому что: а) Не устанавливается в разрыв линии б) Решает только одну задачу - блокировку ресурсов по требованию законодательства. 4. С описанием и терминами еще поработаем. 5. dignity прав, мы не планировали это решение для крупных провайдеров и небольших, но очень, очень грамотных провайдеров. Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками, не тратя на это ресурсы своего персонала. Edited October 20, 2016 by SergioB Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 20, 2016 · Report post Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками тьма вариантов: nfqfilter, extfilter, squid, dns redirect, drop ip. Ну и напоследок - подписка. Это именно то, чего не хватает мелкому оператору - как я понимаю, по прошествии месяца и отсутствии оплаты оно превращается в тыкву? Т.е сценарий когда забыли оплатить, деньги не дошли вовремя, итд и тот же "Ревизор" успешно отрапортует о 100% неблокировке ресурсов возможен? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Chrst Posted October 21, 2016 · Report post 5. dignity прав, мы не планировали это решение для крупных провайдеров и небольших, но очень, очень грамотных провайдеров. Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками, не тратя на это ресурсы своего персонала. Практически открытым текстом - "мы планировали это решение для развода лохов". Стоимость Вашего лекарства от головной боли как то уж не очень соответствует ценнику Lite. Ценник вполне сопоставим с тем же Carbon Reductor... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...