Jump to content

Source IP filtering

dignity
 Share

Recommended Posts

dignity

dignity

Posted
Posted

Коллеги, приветствую. Давайте порассуждаем на тему. Представим, что мы набрали большой whitelist хостов, которые получают доступ к некому клиенту. В определенный момент мы хотим трафик до этого клиента по этому source white list фильтровать. Как бы Вы решали данную задачу?

 

Мне сейчас видится так:

1) на border-е делаем маршрут /32 на условный клинер.

2) на клинере поднимаем ipset с белым списком и дальше уже схема понятная iptables/ip route

 

Вопросы в следующем,

- есть ли вариант в п2 использовать некое аппаратное решение, которое может схавать такой большой объем ACL для формирования PBR?

- если не linux (ipset/iptables/ip route), то что?

 

Спасибо за участие.

pppoetest

pppoetest

Posted
Posted

- есть ли вариант в п2 использовать некое аппаратное решение, которое может схавать такой большой объем ACL для формирования PBR?

Не уверен, но если pps к клиенту не огромный и вайтлист <= 2^20, то тазик должен прожевать. Лучше собрать лабу и погонять в тест-режиме.

dignity

dignity

Posted
  • Author
Posted

Я считаю что меньше 50-100kpps к клиенту предельный и до 100 тысяч адресов. Если больше 100kpps, там другой механизм работает.

tartila

tartila

Posted
Posted

Коллеги, приветствую. Давайте порассуждаем на тему. Представим, что мы набрали большой whitelist хостов, которые получают доступ к некому клиенту. В определенный момент мы хотим трафик до этого клиента по этому source white list фильтровать. Как бы Вы решали данную задачу?

 

Мне сейчас видится так:

1) на border-е делаем маршрут /32 на условный клинер.

2) на клинере поднимаем ipset с белым списком и дальше уже схема понятная iptables/ip route

 

Вопросы в следующем,

- есть ли вариант в п2 использовать некое аппаратное решение, которое может схавать такой большой объем ACL для формирования PBR?

- если не linux (ipset/iptables/ip route), то что?

 

Спасибо за участие.

 

Если клиент один, ставим в разрез таз на линуксе с ipset в режиме бриджа+вкл. iptables. Если таких клиентов несколько, то резать около бордера через пачку vlan.

dignity

dignity

Posted
  • Author
Posted

ну там вариантов много - пропуск+блок, пропуск+кэпча. Это уже лирика. Вопрос в чем обрабатывать вот этот source-based routing.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.