Jump to content
Калькуляторы

Ericsson SE100 блокировка Блокировка по ип для всех контекстов

Reply to this topic

baronzzz   

baronzzz
Posted

Появилась острая необходимость блокировать ип. Эти ип не должны быть доступны пользователям за se100.

 

 

Архитектура такова что Эрик выполняет все функции и бордер, и брас....

Для каждого поселка, города свой контекст. Авторизация идет по типу ipoe.

 

 

 

Подскажите как можно организовать блокировку. Внешних ип.

Share this post

Link to post
Share on other sites

TheUser   

TheUser
Posted
14 часов назад, baronzzz сказал:

Появилась острая необходимость блокировать ип. Эти ип не должны быть доступны пользователям за se100.

 

Какое количество IP? Как часто добавляются/удаляются?

 

Share this post

Link to post
Share on other sites

alibek   

alibek
Posted

Ну очевидно же, что ТС хочет блокировать запрещенные сайты на SE100.

Не советую.

Я так раньше делал (через ACL) и даже работало.

Но сейчас в реестре больше 30 тысяч записей (IP+DNS) и регулярная заливка такого списка ACL добром не кончится, а кончится крашем.

Share this post

Link to post
Share on other sites

baronzzz   

baronzzz
Posted
18 минут назад, alibek сказал:

Ну очевидно же, что ТС хочет блокировать запрещенные сайты на SE100.

Не советую.

Я так раньше делал (через ACL) и даже работало.

Но сейчас в реестре больше 30 тысяч записей (IP+DNS) и регулярная заливка такого списка ACL добром не кончится, а кончится крашем.

Да, так оно и есть. Необходимо заблокировать часть ип из списка.

Планирую не обновлять часто, применить только к некоторым IP, цель, дожить до приобретения Ската и отмазки от кровавой бумажки в суд.

 

В целом же на сети фильтрую с помощью BIND.

 

Уважаемый vurd, гуру  могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ?

 

Повторюсь, вариант временный.

Share this post

Link to post
Share on other sites

baronzzz   

baronzzz
Posted

Разумен ли такой вариант как:

  

interface UPLINK_2
ip address 47.238.80.14/30
ip access-group antiddos_dns in - блокируем DDOS наших DNS-серверов с резервного канала 
!
interface UPLINK_3
ip address 47.238.80.18/30
ip access-group antiddos_dns in - блокируем DDOS наших DNS-серверов с резервного канала 
no logging console
!
ip access-list antiddos_dns
seq 10 permit udp any host 72.150.255.4 eq domain
seq 20 permit udp any host 209.258.246.4 eq domain
seq 1000 deny udp any any eq domain
seq 2000 permit ip any any

!

 

?

Share this post

Link to post
Share on other sites

Camara   

Camara
Posted
1 час назад, baronzzz сказал:

Да, так оно и есть. Необходимо заблокировать часть ип из списка.

Планирую не обновлять часто, применить только к некоторым IP, цель, дожить до приобретения Ската и отмазки от кровавой бумажки в суд.

 

В целом же на сети фильтрую с помощью BIND.

 

Уважаемый vurd, гуру  могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ?

 

Повторюсь, вариант временный.

В чем проблема взять на тест с последующим выкупом? СКАТ-6 Entry очень дешево стоит...

Share this post

Link to post
Share on other sites

baronzzz   

baronzzz
Posted
1 час назад, Camara сказал:

В чем проблема взять на тест с последующим выкупом? СКАТ-6

Было бы все так просто, так и сделали бы...

 

Тем более в первом посте, я писал причины.

Share this post

Link to post
Share on other sites

vurd   

vurd
Posted
9 часов назад, baronzzz сказал:

Уважаемый vurd, гуру  могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ?

 

Повторюсь, вариант временный.

 

3-й вариант, вам все равно его делать. Вешаете "за бордером" виртуалку с квагой, пишите скрипт, который добавляет нуль роуты в таблицу, настраиваете их анонсы по bgp на бордер. Там же вешаете апач или чо полегче для показа странички "упс это заблокировано".

 

У себя так сделано для типов блокировок ip и subnet.

Share this post

Link to post
Share on other sites

baronzzz   

baronzzz
Posted

Спасибо за варианты, но поясню, что это не примет постоянный вариант. Необходимо временное решения для 500 ИП.

 

Интересует Ваше мнение, по поводу поста: 

 

Share this post

Link to post
Share on other sites

ShyLion   

ShyLion
Posted
42 минуты назад, baronzzz сказал:

Спасибо за варианты, но поясню, что это не примет постоянный вариант. Необходимо временное решения для 500 ИП.

Да Вы дольше в тему тут пишете, чем поднять виртуалку с квагой :)

Share this post

Link to post
Share on other sites

baronzzz   

baronzzz
Posted
Только что, ShyLion сказал:

Да Вы дольше в тему тут пишете, чем поднять виртуалку с квагой :)

Если есть свободная железка, с установленным Xen или esxi, то конечно не проблема.....да и если сам узел, не в 400Км..тогда не спорю..

Share this post

Link to post
Share on other sites

ShyLion   

ShyLion
Posted
35 минут назад, baronzzz сказал:

Если есть свободная железка, с установленным Xen или esxi, то конечно не проблема.....да и если сам узел, не в 400Км..тогда не спорю..

Накрайняк можно и на билинг-сервере сделать. Билинг-то есть? Или SE100 сферически в тайге? :)

Share this post

Link to post
Share on other sites

vurd   

vurd
Posted

Я бы не делал ACL-ем. Ибо обычно это может закончится деградацией производительности и другими невнятными проблемами, особенно, если менять эти ACL на лету.

И еще, я бы не стал держать за 400км один SE100...

Сделайте лучше нульроутингом прямо на бордере, без ACL, ip route 1.1.1.1/32 null 0, или как там.

Share this post

Link to post
Share on other sites

baronzzz   

baronzzz
Posted
11 минут назад, vurd сказал:

Я бы не делал ACL-ем. Ибо обычно это может закончится деградацией производительности и другими невнятными проблемами, особенно, если менять эти ACL на лету.

И еще, я бы не стал держать за 400км один SE100...

Сделайте лучше нульроутингом прямо на бордере, без ACL, ip route 1.1.1.1/32 null 0, или как там.

Когда брал эрика, о том, что он такой "веселый" не находил информацию. Да и НАГ, активно продвигал его, купился.

Согласен, что держать не стоит его одного, но как есть так и есть...

 

Спасибо за совет, вопрос, 400 нуль роутингов потянет? Если нагрузка на сам Эрик - до 150 абонов,120 метров в пике, без ната, 1 Default View.

Share this post

Link to post
Share on other sites

baronzzz   

baronzzz
Posted
45 минут назад, pingz сказал:

Инфа 100% если владелец сайта перенесёт домен на другой ip  вы получите штраф

Спасибо, я понимаю это, вопрос не в этом. Речь об временном варианте. Я понимаю, что нет ничего дольше чем временное....но необходимо выиграть время.

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted
8 часов назад, baronzzz сказал:

Спасибо, я понимаю это, вопрос не в этом. Речь об временном варианте. Я понимаю, что нет ничего дольше чем временное....но необходимо выиграть время.

Сади в песочницу ревизор

Share this post

Link to post
Share on other sites

baronzzz   

baronzzz
Posted
1 час назад, pingz сказал:

Сади в песочницу ревизор

Как то можно развернуть ответ ? Не понял, что вы написали...

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted
48 минут назад, baronzzz сказал:

Как то можно развернуть ответ ? Не понял, что вы написали...

Если я тебя правильно понял, тебе нужно выполнять обязательства РНК? 

 

У тебя есть софтовый или аппаратный ревизор. Верно?

 

Можно временно это устройство посадить за отдельную железку которая, будет фильтровать всё. И думать о DPI. 

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...