[murano]

Можете пример дать ссылок, что пропускаются?

[YuryD]

Это все тоже учтено. И кеш у меня суточный и ясен перец из секции ip я тоже адреса добавляю, тем не менее 25 пропусков есть и почти все они HTTPS с адресами не из кеша и не из списка.

Даю наводку - РКН умалчивает, что ревизор еще и ссылки Минюста проверяет

 

С чего хоть? В отчете ревизора указаны конкретные id из выгрузки.

 

Хмм, прокуратуре похер на списки, формирмируемые ркн :) есть судебное решение - извольте бриться :) А судей заставить все свои блоки в реестр невозможно, или гуано скормят типа локалхоста, или имя документ1.дос.

[ShyLion]

Можете пример дать ссылок, что пропускаются?

 

255233

262105

263695

295073

300485

297819

303897

305591

257397

361281

382914

381297

388283

272304

279553

275172

275173

290025

313484

313485

388966

266729

284336

412471

441544

255233

Изменено 9 марта, 2017 пользователем ShyLion

[ShyLion]

SCE уперся в 20000 записей IP адресов в зонах, причем это, похоже глобальный лимит.

Подскажите, его можно как-то увеличить?

 

Хмм, прокуратуре похер на списки, формирмируемые ркн :) есть судебное решение - извольте бриться :) А судей заставить все свои блоки в реестр невозможно, или гуано скормят типа локалхоста, или имя документ1.дос.

А каков механизм узнавания оператором Рога-и-копыта в г. Тамбове, что судья в г. Мухосранск че-то там порешил?

[YuryD]

А каков механизм узнавания оператором Рога-и-копыта в г. Тамбове, что судья в г. Мухосранск че-то там порешил?

 

Прокуратура бдит и сообщит :(

[ShyLion]

SCE уперся в 20000 записей IP адресов в зонах, причем это, похоже глобальный лимит.

Подскажите, его можно как-то увеличить?

 

Короче сунул статические маршруты в Null0 на пограничном роутере и всех делов. Вместе с https айпишниками.

[Butch3r]

А как вы определили лимит в 20к записей? Как это проявилось?

[ShyLion]

А как вы определили лимит в 20к записей? Как это проявилось?

 

Wed Mar  8 20:30:01 2017 Starting
Sending request
Got code: f64ec4775c7dc20863db464a4062213e
Sleeping for 30 seconds
Server still processing, sleeping for 30 seconds
Server still processing, sleeping for 30 seconds
Got good response, saving archive
/var/tmp/zapret-info.zip saved
Unpacking /var/tmp/zapret-info.zip
Parsing /var/tmp/dump.xml
Loading DNS cache
Preprocessing XML structure
Resolving DNS cache
DNS cache size: 4883 hosts
0 1000 2000 3000 4000 4883
DNS done in 122 seconds
processing XML structure
HTTP: 62304 TRUNCATED: 780 HTTPS_IP: 6558 IP: 13534 NON 80 HTTP: 13 ERRORS: 0
Done parsing, calculating checksums
HTTP md5sum different, will update SCE
HTTPS md5sum different, will update SCE
IP md5sum not changed
Updating SCE
running: java -jar /opt/zapret-info/updateblacklists.jar /var/db/zapret-info_sce.10.0.6.23
java returned with error:
Inside all filters
Apply OSFP Setting ... false
Apply OSFP Setting finished... false
+ 08-Mar 20:34:48.339 [main] ERROR com.pcube.apps.engage.policy.SEPolicyMediator
Lookup table GT_LUT_ZoneID is full: 20000 entries exceeds the maximum allowed entries 20000
java.lang.IllegalStateException: Lookup table GT_LUT_ZoneID is full: 20000 entries exceeds the maximum allowed entries 20000
       at com.pcube.apps.framework.appconf.LookupTableTuneable.checkCanAdd(LookupTableTuneable.java:968)
       at com.pcube.apps.framework.appconf.LookupTableTuneable.addNewMapping(LookupTableTuneable.java:363)
       at com.pcube.apps.framework.appconf.LookupTableTuneable.addNewMapping(LookupTableTuneable.java:377)
       at com.pcube.apps.framework.newapply.IPPrefixLUTWriter.write(IPPrefixLUTWriter.java:54)
       at com.pcube.apps.framework.newapply.IPPrefixLUTWriter.write(IPPrefixLUTWriter.java:157)
       at com.pcube.apps.framework.newapply.ApplyEngine.writeLUT(ApplyEngine.java:137)
       at com.pcube.apps.framework.newapply.ApplyEngine.run(ApplyEngine.java:91)
       at com.pcube.apps.engage.policy.SEPolicyMediator.applyPolicy(SEPolicyMediator.java:179)
       at com.pcube.apps.engage.PolicyAPI.applyPolicy(PolicyAPI.java:197)
       at com.pcube.apps.engage.PolicyAPI.applyPolicy(PolicyAPI.java:184)
       at com.pcube.apps.engage.PolicyAPI.applyPolicy(PolicyAPI.java:174)
       at com.cisco.scabb.servconf.mgmt.ServiceConfigApi.applyServiceConfiguration(ServiceConfigApi.java:108)
       at UpdateBlacklists.applyPqb(UpdateBlacklists.java:302)
       at UpdateBlacklists.main(UpdateBlacklists.java:194)

apply operation failed: Lookup table GT_LUT_ZoneID is full: 20000 entries exceeds the maximum allowed entries 20000
Error applying config

[Butch3r]

Это она просто в лог выплюнула? У меня просто 60к записей в сце 2020, вроде всё блочится оО

[ShyLion]

Это она просто в лог выплюнула? У меня просто 60к записей в сце 2020, вроде всё блочится оО

60К это HTTP Flavor

А в Zones тоже 60К? Откуда?

[Butch3r]

Это она просто в лог выплюнула? У меня просто 60к записей в сце 2020, вроде всё блочится оО

60К это HTTP Flavor

А в Zones тоже 60К? Откуда?

хм. а для чего вы используете зоны? У меня похоже их вообще нету :)

[ShyLion]

Это она просто в лог выплюнула? У меня просто 60к записей в сце 2020, вроде всё блочится оО

60К это HTTP Flavor

А в Zones тоже 60К? Откуда?

хм. а для чего вы используете зоны? У меня похоже их вообще нету :)

 

Ну вот до сегодняшнего дня в зоны я загружал IP доменов и https ссылок. Пока не уперся. В полиси любой траффик до этих зон блокировался.

[Erlen]

Добрый день!

Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE.

В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000.

Отсюда возникают следующие вопросы:

1) Подскажите пожалуйста по лицензированию Cisco SCE8000 ? Хотим купить Б/У, но не понятно нужны ли на нее лицензии? Что вообще входит в эти лицензии?

2) Насколько тяжело будет переносить конфигурацию с Cisco SCE2020 на Cisco SCE8000?

 

Очень прошу :) Отзовитесь люди добрые =)

[YuryD]

Добрый день!

Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE.

В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000.

Отсюда возникают следующие вопросы:

 

Вам для чего ? если только для фильтрации ркн - лимон рублей с лишним явно слушком круто.

[Butch3r]

Добрый день!

Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE.

В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000.

Отсюда возникают следующие вопросы:

1) Подскажите пожалуйста по лицензированию Cisco SCE8000 ? Хотим купить Б/У, но не понятно нужны ли на нее лицензии? Что вообще входит в эти лицензии?

2) Насколько тяжело будет переносить конфигурацию с Cisco SCE2020 на Cisco SCE8000?

 

Очень прошу :) Отзовитесь люди добрые =)

не вкурсе о лицензиях. Качаете софт и ставите

будет легко, платформа таже

[Erlen]

Добрый день!

Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE.

В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000.

Отсюда возникают следующие вопросы:

 

Вам для чего ? если только для фильтрации ркн - лимон рублей с лишним явно слушком круто.

 

Ну на нем мы шейпим трафик для клиентов, ну и конечно блокируем необходимые сайты.

 

Добрый день!

Ребят, помогите пожалуйста. Необходима небольшая консультация по Cisco SCE.

В общем, сейчас стоит Cisco SCE2020 на сети, однако она уже умирает и было решено купить Cisco SCE8000.

Отсюда возникают следующие вопросы:

1) Подскажите пожалуйста по лицензированию Cisco SCE8000 ? Хотим купить Б/У, но не понятно нужны ли на нее лицензии? Что вообще входит в эти лицензии?

2) Насколько тяжело будет переносить конфигурацию с Cisco SCE2020 на Cisco SCE8000?

 

Очень прошу :) Отзовитесь люди добрые =)

не вкурсе о лицензиях. Качаете софт и ставите

будет легко, платформа таже

 

Благодарю за ответ! У меня вот аналогичная мысль возникла, что можно просто обойтись скаченным для нее софтом и управлять ее также через SCA BB Console.

[ShyLion]

Очень прошу :) Отзовитесь люди добрые =)

Лучше купите СКАТ! Нафига вам умершая платформа?

[myth]

Или nfq/extfilter. Дешево и сердито.

[YuryD]

Или nfq/extfilter. Дешево и сердито.

Кошка бросила котят :) Сердито, да и не дешево. Держать на непрофильное спецов высшего класса - это теперь дешево ? Т.е. админу высшего разряда еще и доплачивать за вредность рчц ? Нах не надо, все самописные опенсорсные решения по сопровождению - дороговаты по спецам получаются. Мое непрофильное занятие - читать почту, в логи купленного дпи иногда заглядывать, и всё. Остальные самописцы - ну тут тусуются, то не собирается, то пропускает... Ну и мы конечно обязаны запреты выполнить, но зачем своими хилыми силами ? Я, старый человек, хочу спать спокойно :)

[myth]

Держать на непрофильное спецов высшего класса - это теперь дешево ? Т.е. админу высшего разряда еще и доплачивать за вредность рчц

Ну да, один раз собрать и забыть - лютая проблема

 

Лучше купите СКАТ! Нафига вам умершая платформа?

Второй Сааб?))))

[YuryD]

Ну да, один раз собрать и забыть - лютая проблема

 

После каждого шевеления ягодиц величественной законодательной попы-вместо-головы будете пересобирасть ? :)

 

Это я к тому, что купленный и оплаченный дпи мою голову и попу в суде крепче поддержит, чем самописное решение. Был такой у сервантеса, с ветряными мельницами пытался бороться. Ну пожалуйста, только я надеюсь что вы не санчо панса, а так - боритесь....

[myth]

После каждого шевеления ягодиц величественной законодательной попы-вместо-головы будете пересобирасть

не вижу неразрешимой проблемы

[s.lobanov]

Это я к тому, что купленный и оплаченный дпи мою голову и попу в суде крепче поддержит, чем самописное решение.

 

Почему суду должно быть не всё равно какое у вас решение? Ну вот есть у вас купленный СКАТ, что-то пошло не так, случился пропуск, вас оштрафовали. Что дальше? Будете судиться с производителем СКАТа? У вас есть договорные отношения с ними, регламентирующие какие-то SLA по качеству блокировок?

 

Я сам придерживаюсь мнения, что решения по блокировке нужно брать на стороне, но ваш аргумент совсем не аргумент.

 

Лучше купите СКАТ! Нафига вам умершая платформа?

Второй Сааб?))))

 

А, что SCE живая? У SCE8000 в сентябре этого года End of SW Maintenance, а это по сути тоже самое что EoL в реалиях DPI.

 

Я понимаю какой-нибудь свитч 3550 поставить в работу, он ещё лет 10 проработает как L2/лёгкий L3, но использовать DPI на который не будет обновлений ПО это почти гарантированный фейл

[ShyLion]

Второй Сааб?))))

Аргументируй.

SCE у меня стоит вот на узле и работает мягко говоря не идеально. Не умеет HTTPS SNI, имеет лимит в 20 т. IP адресов в зоне, пропускает траффик в момент заливки конфига, при чем это все занимает минимум 5 минут времени.

Этот девайс мне насоветовали в российском представительстве сиськи как подходящий для фильтрации по спискам РКН, как оказалось это не так.

Ну и когда я говорю что девайс устарел, я аргументирую вот этим http://www.cisco.com/c/en/us/products/collateral/service-exchange/sce-8000-series-service-control-engine/eos-eol-notice-c51-734305.html

Причем заметь прекрасную фразу оттуда-же:

There is no replacement available for the Cisco SCE 8000 Series Service Control Engine at this time.

[s.lobanov]

ShyLion

Да у них тут компашка - Saab95, vlad11, myth и nevlezay80 - иногда мне кажется что один человек, просто троллит форум.