baronzzz Опубликовано 29 августа, 2017 · Жалоба Появилась острая необходимость блокировать ип. Эти ип не должны быть доступны пользователям за se100. Архитектура такова что Эрик выполняет все функции и бордер, и брас.... Для каждого поселка, города свой контекст. Авторизация идет по типу ipoe. Подскажите как можно организовать блокировку. Внешних ип. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 30 августа, 2017 · Жалоба 1. acl 2. ip route null 3. dynamic inter-context null routing Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 30 августа, 2017 · Жалоба 14 часов назад, baronzzz сказал: Появилась острая необходимость блокировать ип. Эти ип не должны быть доступны пользователям за se100. Какое количество IP? Как часто добавляются/удаляются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 30 августа, 2017 · Жалоба Ну очевидно же, что ТС хочет блокировать запрещенные сайты на SE100. Не советую. Я так раньше делал (через ACL) и даже работало. Но сейчас в реестре больше 30 тысяч записей (IP+DNS) и регулярная заливка такого списка ACL добром не кончится, а кончится крашем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 30 августа, 2017 · Жалоба 18 минут назад, alibek сказал: Ну очевидно же, что ТС хочет блокировать запрещенные сайты на SE100. Не советую. Я так раньше делал (через ACL) и даже работало. Но сейчас в реестре больше 30 тысяч записей (IP+DNS) и регулярная заливка такого списка ACL добром не кончится, а кончится крашем. Да, так оно и есть. Необходимо заблокировать часть ип из списка. Планирую не обновлять часто, применить только к некоторым IP, цель, дожить до приобретения Ската и отмазки от кровавой бумажки в суд. В целом же на сети фильтрую с помощью BIND. Уважаемый vurd, гуру могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ? Повторюсь, вариант временный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 30 августа, 2017 · Жалоба Разумен ли такой вариант как: interface UPLINK_2 ip address 47.238.80.14/30 ip access-group antiddos_dns in - блокируем DDOS наших DNS-серверов с резервного канала ! interface UPLINK_3 ip address 47.238.80.18/30 ip access-group antiddos_dns in - блокируем DDOS наших DNS-серверов с резервного канала no logging console ! ip access-list antiddos_dns seq 10 permit udp any host 72.150.255.4 eq domain seq 20 permit udp any host 209.258.246.4 eq domain seq 1000 deny udp any any eq domain seq 2000 permit ip any any ! ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Camara Опубликовано 30 августа, 2017 · Жалоба 1 час назад, baronzzz сказал: Да, так оно и есть. Необходимо заблокировать часть ип из списка. Планирую не обновлять часто, применить только к некоторым IP, цель, дожить до приобретения Ската и отмазки от кровавой бумажки в суд. В целом же на сети фильтрую с помощью BIND. Уважаемый vurd, гуру могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ? Повторюсь, вариант временный. В чем проблема взять на тест с последующим выкупом? СКАТ-6 Entry очень дешево стоит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 30 августа, 2017 · Жалоба 1 час назад, Camara сказал: В чем проблема взять на тест с последующим выкупом? СКАТ-6 Было бы все так просто, так и сделали бы... Тем более в первом посте, я писал причины. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 30 августа, 2017 · Жалоба 9 часов назад, baronzzz сказал: Уважаемый vurd, гуру могли бы Вы привести примеры 1 и 3 вариант, поясните какой из них лучше ? Повторюсь, вариант временный. 3-й вариант, вам все равно его делать. Вешаете "за бордером" виртуалку с квагой, пишите скрипт, который добавляет нуль роуты в таблицу, настраиваете их анонсы по bgp на бордер. Там же вешаете апач или чо полегче для показа странички "упс это заблокировано". У себя так сделано для типов блокировок ip и subnet. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 31 августа, 2017 · Жалоба Спасибо за варианты, но поясню, что это не примет постоянный вариант. Необходимо временное решения для 500 ИП. Интересует Ваше мнение, по поводу поста: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 31 августа, 2017 · Жалоба 42 минуты назад, baronzzz сказал: Спасибо за варианты, но поясню, что это не примет постоянный вариант. Необходимо временное решения для 500 ИП. Да Вы дольше в тему тут пишете, чем поднять виртуалку с квагой :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 31 августа, 2017 · Жалоба Только что, ShyLion сказал: Да Вы дольше в тему тут пишете, чем поднять виртуалку с квагой :) Если есть свободная железка, с установленным Xen или esxi, то конечно не проблема.....да и если сам узел, не в 400Км..тогда не спорю.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 31 августа, 2017 · Жалоба 35 минут назад, baronzzz сказал: Если есть свободная железка, с установленным Xen или esxi, то конечно не проблема.....да и если сам узел, не в 400Км..тогда не спорю.. Накрайняк можно и на билинг-сервере сделать. Билинг-то есть? Или SE100 сферически в тайге? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 31 августа, 2017 · Жалоба Не вижу смысла продолжать тему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 31 августа, 2017 · Жалоба Я бы не делал ACL-ем. Ибо обычно это может закончится деградацией производительности и другими невнятными проблемами, особенно, если менять эти ACL на лету. И еще, я бы не стал держать за 400км один SE100... Сделайте лучше нульроутингом прямо на бордере, без ACL, ip route 1.1.1.1/32 null 0, или как там. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 31 августа, 2017 · Жалоба 11 минут назад, vurd сказал: Я бы не делал ACL-ем. Ибо обычно это может закончится деградацией производительности и другими невнятными проблемами, особенно, если менять эти ACL на лету. И еще, я бы не стал держать за 400км один SE100... Сделайте лучше нульроутингом прямо на бордере, без ACL, ip route 1.1.1.1/32 null 0, или как там. Когда брал эрика, о том, что он такой "веселый" не находил информацию. Да и НАГ, активно продвигал его, купился. Согласен, что держать не стоит его одного, но как есть так и есть... Спасибо за совет, вопрос, 400 нуль роутингов потянет? Если нагрузка на сам Эрик - до 150 абонов,120 метров в пике, без ната, 1 Default View. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 31 августа, 2017 · Жалоба Инфа 100% если владелец сайта перенесёт домен на другой ip вы получите штраф Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 31 августа, 2017 · Жалоба 45 минут назад, pingz сказал: Инфа 100% если владелец сайта перенесёт домен на другой ip вы получите штраф Спасибо, я понимаю это, вопрос не в этом. Речь об временном варианте. Я понимаю, что нет ничего дольше чем временное....но необходимо выиграть время. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 1 сентября, 2017 · Жалоба 8 часов назад, baronzzz сказал: Спасибо, я понимаю это, вопрос не в этом. Речь об временном варианте. Я понимаю, что нет ничего дольше чем временное....но необходимо выиграть время. Сади в песочницу ревизор Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 1 сентября, 2017 · Жалоба 1 час назад, pingz сказал: Сади в песочницу ревизор Как то можно развернуть ответ ? Не понял, что вы написали... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 1 сентября, 2017 · Жалоба 48 минут назад, baronzzz сказал: Как то можно развернуть ответ ? Не понял, что вы написали... Если я тебя правильно понял, тебе нужно выполнять обязательства РНК? У тебя есть софтовый или аппаратный ревизор. Верно? Можно временно это устройство посадить за отдельную железку которая, будет фильтровать всё. И думать о DPI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
garryfisher Опубликовано 14 сентября, 2017 · Жалоба http://www.napalabs.ru/ пару лет назад цена вопроса была 130 тр. Ревизор проблем не видит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...