murano Опубликовано 7 марта, 2017 · Жалоба Можете пример дать ссылок, что пропускаются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 7 марта, 2017 · Жалоба Это все тоже учтено. И кеш у меня суточный и ясен перец из секции ip я тоже адреса добавляю, тем не менее 25 пропусков есть и почти все они HTTPS с адресами не из кеша и не из списка. Даю наводку - РКН умалчивает, что ревизор еще и ссылки Минюста проверяет С чего хоть? В отчете ревизора указаны конкретные id из выгрузки. Хмм, прокуратуре похер на списки, формирмируемые ркн :) есть судебное решение - извольте бриться :) А судей заставить все свои блоки в реестр невозможно, или гуано скормят типа локалхоста, или имя документ1.дос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 9 марта, 2017 (изменено) · Жалоба Можете пример дать ссылок, что пропускаются? 255233 262105 263695 295073 300485 297819 303897 305591 257397 361281 382914 381297 388283 272304 279553 275172 275173 290025 313484 313485 388966 266729 284336 412471 441544 255233 Изменено 9 марта, 2017 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 9 марта, 2017 · Жалоба SCE уперся в 20000 записей IP адресов в зонах, причем это, похоже глобальный лимит. Подскажите, его можно как-то увеличить? Хмм, прокуратуре похер на списки, формирмируемые ркн :) есть судебное решение - извольте бриться :) А судей заставить все свои блоки в реестр невозможно, или гуано скормят типа локалхоста, или имя документ1.дос. А каков механизм узнавания оператором Рога-и-копыта в г. Тамбове, что судья в г. Мухосранск че-то там порешил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 марта, 2017 · Жалоба А каков механизм узнавания оператором Рога-и-копыта в г. Тамбове, что судья в г. Мухосранск че-то там порешил? Прокуратура бдит и сообщит :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 9 марта, 2017 · Жалоба SCE уперся в 20000 записей IP адресов в зонах, причем это, похоже глобальный лимит. Подскажите, его можно как-то увеличить? Короче сунул статические маршруты в Null0 на пограничном роутере и всех делов. Вместе с https айпишниками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 9 марта, 2017 · Жалоба А как вы определили лимит в 20к записей? Как это проявилось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 9 марта, 2017 · Жалоба А как вы определили лимит в 20к записей? Как это проявилось? Wed Mar 8 20:30:01 2017 Starting Sending request Got code: f64ec4775c7dc20863db464a4062213e Sleeping for 30 seconds Server still processing, sleeping for 30 seconds Server still processing, sleeping for 30 seconds Got good response, saving archive /var/tmp/zapret-info.zip saved Unpacking /var/tmp/zapret-info.zip Parsing /var/tmp/dump.xml Loading DNS cache Preprocessing XML structure Resolving DNS cache DNS cache size: 4883 hosts 0 1000 2000 3000 4000 4883 DNS done in 122 seconds processing XML structure HTTP: 62304 TRUNCATED: 780 HTTPS_IP: 6558 IP: 13534 NON 80 HTTP: 13 ERRORS: 0 Done parsing, calculating checksums HTTP md5sum different, will update SCE HTTPS md5sum different, will update SCE IP md5sum not changed Updating SCE running: java -jar /opt/zapret-info/updateblacklists.jar /var/db/zapret-info_sce.10.0.6.23 java returned with error: Inside all filters Apply OSFP Setting ... false Apply OSFP Setting finished... false + 08-Mar 20:34:48.339 [main] ERROR com.pcube.apps.engage.policy.SEPolicyMediator Lookup table GT_LUT_ZoneID is full: 20000 entries exceeds the maximum allowed entries 20000 java.lang.IllegalStateException: Lookup table GT_LUT_ZoneID is full: 20000 entries exceeds the maximum allowed entries 20000 at com.pcube.apps.framework.appconf.LookupTableTuneable.checkCanAdd(LookupTableTuneable.java:968) at com.pcube.apps.framework.appconf.LookupTableTuneable.addNewMapping(LookupTableTuneable.java:363) at com.pcube.apps.framework.appconf.LookupTableTuneable.addNewMapping(LookupTableTuneable.java:377) at com.pcube.apps.framework.newapply.IPPrefixLUTWriter.write(IPPrefixLUTWriter.java:54) at com.pcube.apps.framework.newapply.IPPrefixLUTWriter.write(IPPrefixLUTWriter.java:157) at com.pcube.apps.framework.newapply.ApplyEngine.writeLUT(ApplyEngine.java:137) at com.pcube.apps.framework.newapply.ApplyEngine.run(ApplyEngine.java:91) at com.pcube.apps.engage.policy.SEPolicyMediator.applyPolicy(SEPolicyMediator.java:179) at com.pcube.apps.engage.PolicyAPI.applyPolicy(PolicyAPI.java:197) at com.pcube.apps.engage.PolicyAPI.applyPolicy(PolicyAPI.java:184) at com.pcube.apps.engage.PolicyAPI.applyPolicy(PolicyAPI.java:174) at com.cisco.scabb.servconf.mgmt.ServiceConfigApi.applyServiceConfiguration(ServiceConfigApi.java:108) at UpdateBlacklists.applyPqb(UpdateBlacklists.java:302) at UpdateBlacklists.main(UpdateBlacklists.java:194) apply operation failed: Lookup table GT_LUT_ZoneID is full: 20000 entries exceeds the maximum allowed entries 20000 Error applying config Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 9 марта, 2017 · Жалоба Это она просто в лог выплюнула? У меня просто 60к записей в сце 2020, вроде всё блочится оО Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 9 марта, 2017 · Жалоба Это она просто в лог выплюнула? У меня просто 60к записей в сце 2020, вроде всё блочится оО 60К это HTTP Flavor А в Zones тоже 60К? Откуда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 9 марта, 2017 · Жалоба Это она просто в лог выплюнула? У меня просто 60к записей в сце 2020, вроде всё блочится оО 60К это HTTP Flavor А в Zones тоже 60К? Откуда? хм. а для чего вы используете зоны? У меня похоже их вообще нету :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 9 марта, 2017 · Жалоба Это она просто в лог выплюнула? У меня просто 60к записей в сце 2020, вроде всё блочится оО 60К это HTTP Flavor А в Zones тоже 60К? Откуда? хм. а для чего вы используете зоны? У меня похоже их вообще нету :) Ну вот до сегодняшнего дня в зоны я загружал IP доменов и https ссылок. Пока не уперся. В полиси любой траффик до этих зон блокировался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Erlen Опубликовано 10 марта, 2017 · Жалоба Добрый день! Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE. В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000. Отсюда возникают следующие вопросы: 1) Подскажите пожалуйста по лицензированию Cisco SCE8000 ? Хотим купить Б/У, но не понятно нужны ли на нее лицензии? Что вообще входит в эти лицензии? 2) Насколько тяжело будет переносить конфигурацию с Cisco SCE2020 на Cisco SCE8000? Очень прошу :) Отзовитесь люди добрые =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 10 марта, 2017 · Жалоба Добрый день! Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE. В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000. Отсюда возникают следующие вопросы: Вам для чего ? если только для фильтрации ркн - лимон рублей с лишним явно слушком круто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 10 марта, 2017 · Жалоба Добрый день! Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE. В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000. Отсюда возникают следующие вопросы: 1) Подскажите пожалуйста по лицензированию Cisco SCE8000 ? Хотим купить Б/У, но не понятно нужны ли на нее лицензии? Что вообще входит в эти лицензии? 2) Насколько тяжело будет переносить конфигурацию с Cisco SCE2020 на Cisco SCE8000? Очень прошу :) Отзовитесь люди добрые =) не вкурсе о лицензиях. Качаете софт и ставитебудет легко, платформа таже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Erlen Опубликовано 11 марта, 2017 · Жалоба Добрый день! Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE. В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000. Отсюда возникают следующие вопросы: Вам для чего ? если только для фильтрации ркн - лимон рублей с лишним явно слушком круто. Ну на нем мы шейпим трафик для клиентов, ну и конечно блокируем необходимые сайты. Добрый день! Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE. В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000. Отсюда возникают следующие вопросы: 1) Подскажите пожалуйста по лицензированию Cisco SCE8000 ? Хотим купить Б/У, но не понятно нужны ли на нее лицензии? Что вообще входит в эти лицензии? 2) Насколько тяжело будет переносить конфигурацию с Cisco SCE2020 на Cisco SCE8000? Очень прошу :) Отзовитесь люди добрые =) не вкурсе о лицензиях. Качаете софт и ставитебудет легко, платформа таже Благодарю за ответ! У меня вот аналогичная мысль возникла, что можно просто обойтись скаченным для нее софтом и управлять ее также через SCA BB Console. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 13 марта, 2017 · Жалоба Очень прошу :) Отзовитесь люди добрые =) Лучше купите СКАТ! Нафига вам умершая платформа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 марта, 2017 · Жалоба Или nfq/extfilter. Дешево и сердито. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 марта, 2017 · Жалоба Или nfq/extfilter. Дешево и сердито. Кошка бросила котят :) Сердито, да и не дешево. Держать на непрофильное спецов высшего класса - это теперь дешево ? Т.е. админу высшего разряда еще и доплачивать за вредность рчц ? Нах не надо, все самописные опенсорсные решения по сопровождению - дороговаты по спецам получаются. Мое непрофильное занятие - читать почту, в логи купленного дпи иногда заглядывать, и всё. Остальные самописцы - ну тут тусуются, то не собирается, то пропускает... Ну и мы конечно обязаны запреты выполнить, но зачем своими хилыми силами ? Я, старый человек, хочу спать спокойно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 марта, 2017 · Жалоба Держать на непрофильное спецов высшего класса - это теперь дешево ? Т.е. админу высшего разряда еще и доплачивать за вредность рчц Ну да, один раз собрать и забыть - лютая проблема Лучше купите СКАТ! Нафига вам умершая платформа? Второй Сааб?)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 марта, 2017 · Жалоба Ну да, один раз собрать и забыть - лютая проблема После каждого шевеления ягодиц величественной законодательной попы-вместо-головы будете пересобирасть ? :) Это я к тому, что купленный и оплаченный дпи мою голову и попу в суде крепче поддержит, чем самописное решение. Был такой у сервантеса, с ветряными мельницами пытался бороться. Ну пожалуйста, только я надеюсь что вы не санчо панса, а так - боритесь.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 марта, 2017 · Жалоба После каждого шевеления ягодиц величественной законодательной попы-вместо-головы будете пересобирасть не вижу неразрешимой проблемы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 марта, 2017 · Жалоба Это я к тому, что купленный и оплаченный дпи мою голову и попу в суде крепче поддержит, чем самописное решение. Почему суду должно быть не всё равно какое у вас решение? Ну вот есть у вас купленный СКАТ, что-то пошло не так, случился пропуск, вас оштрафовали. Что дальше? Будете судиться с производителем СКАТа? У вас есть договорные отношения с ними, регламентирующие какие-то SLA по качеству блокировок? Я сам придерживаюсь мнения, что решения по блокировке нужно брать на стороне, но ваш аргумент совсем не аргумент. Лучше купите СКАТ! Нафига вам умершая платформа? Второй Сааб?)))) А, что SCE живая? У SCE8000 в сентябре этого года End of SW Maintenance, а это по сути тоже самое что EoL в реалиях DPI. Я понимаю какой-нибудь свитч 3550 поставить в работу, он ещё лет 10 проработает как L2/лёгкий L3, но использовать DPI на который не будет обновлений ПО это почти гарантированный фейл Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 марта, 2017 · Жалоба Второй Сааб?)))) Аргументируй. SCE у меня стоит вот на узле и работает мягко говоря не идеально. Не умеет HTTPS SNI, имеет лимит в 20 т. IP адресов в зоне, пропускает траффик в момент заливки конфига, при чем это все занимает минимум 5 минут времени. Этот девайс мне насоветовали в российском представительстве сиськи как подходящий для фильтрации по спискам РКН, как оказалось это не так. Ну и когда я говорю что девайс устарел, я аргументирую вот этим http://www.cisco.com/c/en/us/products/collateral/service-exchange/sce-8000-series-service-control-engine/eos-eol-notice-c51-734305.html Причем заметь прекрасную фразу оттуда-же: There is no replacement available for the Cisco SCE 8000 Series Service Control Engine at this time. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 марта, 2017 · Жалоба ShyLion Да у них тут компашка - Saab95, vlad11, myth и nevlezay80 - иногда мне кажется что один человек, просто троллит форум. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...