SergioB Опубликовано 19 октября, 2016 · Жалоба Всем привет. Наша компания сделала легкое решение для блокировок по реестру Роскомнадзора. Если кому интересно, посмотреть можно здесь: ldpi.softm.tv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 19 октября, 2016 · Жалоба решение с BGP в перспективе создаст проблемы с количеством маршрутов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 19 октября, 2016 · Жалоба nfq_filter, чтоли, продаёте? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioB Опубликовано 19 октября, 2016 · Жалоба nfq_filter, чтоли, продаёте? :) Нет, не nfq_filter, это свое решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 19 октября, 2016 · Жалоба А причем здесь DPI? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 19 октября, 2016 · Жалоба Всем привет. Наша компания сделала легкое решение для блокировок по реестру Роскомнадзора. Если кому интересно, посмотреть можно здесь: ldpi.softm.tv Решение реально революционное, не имеющее современных аналогов Системные требования к серверу Сервер с указанными ниже характеристиками сможет обслуживать выход в интернет со скоростью до 10 Гбит/с: Сетевой адаптер: количество ethernet интерфейсов: желательно два тип интерфейсов: 1000BaseT, 1000BaseX Аналогичных решений просто нет, это прорыв - до 10 Гбит/с через гигабитную карту. Думаю, стоит брать DPI. Даже пожалуй два возьму ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 19 октября, 2016 · Жалоба А причем здесь DPI? Что значит при чем? Это название маркетинговой схемы - DPI (Depth Pelf Illusion), что в дословном переводе означет углубленный денежный обман, а в просторечии "Лохотрон". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioB Опубликовано 19 октября, 2016 · Жалоба Собственно, название LiteDPI и означает, что это легкий DPI или не совсем DPI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 октября, 2016 · Жалоба Не совсем это как? Умеет анализировать несколько пакетов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 19 октября, 2016 · Жалоба Понимает некоторые пакеты, но сделать с ними ничего не может. Организаций для скачивания Госреестра: 1 Что такое Госреестр? Клиентских серверов: 1 Что такое клиентский сервер? Количество отслеживаемых сессий: до 20 000** в текущих условиях, это ограничение позволит обработать uplink со скоростью не выше 5 Гбит/с 20к сессий это всего лишь десяток-другой абонентов. Ни о каких "не выше 5 Гбит/с" тут и речи нет. То есть вранье. Ресурсы для блокировки могут быть определены при помощи URL, IP адреса и IP подсети. А где домен и доменная маска? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 19 октября, 2016 · Жалоба Ага, как собачка. Всё понимает, но сказать не может :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 19 октября, 2016 · Жалоба "Сервер, используя BGP анонсы, разворачивает на себя трафик на ресурсы, которые потенциально могут быть запрещенными." Чем это отличается от ACL на Брасе? Зачем разворачивать маршруты, чтоб заблокировать не ресурс, а вообще весь IP протокол в сторону подозрительного URL например? По описанию эта штука не сможет заблокировать URL ссылку, а блокирует весь хост. Или это описание такое и оно все-таки как то блокирует. Но я его так и понял/прочитал. Если на самом деле блокирует по IP, то зачем собирать посторонние коробки, когда это сможет сделать любой бордер или брас в стоке? Сервер в разрыв? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 октября, 2016 · Жалоба Тем, что софт может посмотреть внутрь трафика и принять решение. На схеме выходной интерфейс как бы есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 20 октября, 2016 · Жалоба Тем, что софт может посмотреть внутрь трафика и принять решение. На схеме выходной интерфейс как бы есть. "Как бы есть" выходной интерфейс априори не определяет возможности софта. На самом деле, в очередной раз, групка энергичных предприимчивых молодых людей пытается втюхать за деньги стандартные средства ОС по работе с трафиком написав пару скриптов на bash и назвав это Lite. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 20 октября, 2016 · Жалоба Легкий на*бос в коробке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 20 октября, 2016 · Жалоба никто не спорит) более чем уверен, что там nfqfilter с дописанным лимитом на "соединения", причем вероятно все же речь про пакетрейт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 20 октября, 2016 · Жалоба Ну а что, для всяких недопровайдеров вполне может подойти, типа для БЦ и т.д. Понятно, что для промышленного использования критику не выдерживает. Но вот мы для своих трех с половиной ШПД за 1 день то же самое на виртуалке с OSPF заделали. Но мы тупо по IP все лочим, потому что наши три с половиной абонента не жалуются - это раз, а во вторых - мы с радостью их перестанем обслуживать, потому что бизнес ШПД не очень профильный. А раньше был SQUID с tproxy, когда много было абонентов VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 20 октября, 2016 · Жалоба Ospf вы зря использовали. Там сейчас 20 тысяч записей (вроде), лучше bgp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 20 октября, 2016 · Жалоба Работает - не трогай) Это не в ядро сети запил, а просто сервер-сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 20 октября, 2016 · Жалоба Поправочка. Сейчас 43954 записей, с исключением дублей - 36453. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 октября, 2016 (изменено) · Жалоба А на кой там нужен hdd на минимум 500гБ? Нет, не nfq_filter, это свое решение. правда-правда)) Изменено 20 октября, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 20 октября, 2016 · Жалоба А на кой там нужен hdd на минимум 500гБ? Записать траффик и в 5 утра поанализировать :)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioB Опубликовано 20 октября, 2016 (изменено) · Жалоба Попробую ответить по порядку. 1. Это не nfqfilter. 2. Сервер не работает в разрыв, он отворачивает на себя нужный трафик и обрабатывает его. Таким образом, десятигигабитный аплинк вполне себе обрабатывается сервером с гигабитными интерфейсами. Блокируются ресурсы по url. Так что Chrst, берите два. 3. По поводу названия LiteDPI. Lite потому что: а) Не устанавливается в разрыв линии б) Решает только одну задачу - блокировку ресурсов по требованию законодательства. 4. С описанием и терминами еще поработаем. 5. dignity прав, мы не планировали это решение для крупных провайдеров и небольших, но очень, очень грамотных провайдеров. Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками, не тратя на это ресурсы своего персонала. Изменено 20 октября, 2016 пользователем SergioB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 октября, 2016 · Жалоба Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками тьма вариантов: nfqfilter, extfilter, squid, dns redirect, drop ip. Ну и напоследок - подписка. Это именно то, чего не хватает мелкому оператору - как я понимаю, по прошествии месяца и отсутствии оплаты оно превращается в тыкву? Т.е сценарий когда забыли оплатить, деньги не дошли вовремя, итд и тот же "Ревизор" успешно отрапортует о 100% неблокировке ресурсов возможен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 21 октября, 2016 · Жалоба 5. dignity прав, мы не планировали это решение для крупных провайдеров и небольших, но очень, очень грамотных провайдеров. Это решение для тех, кто хочет закрыть проблему блокировки, с минимальными издержками, не тратя на это ресурсы своего персонала. Практически открытым текстом - "мы планировали это решение для развода лохов". Стоимость Вашего лекарства от головной боли как то уж не очень соответствует ценнику Lite. Ценник вполне сопоставим с тем же Carbon Reductor... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...