[fox_m]

Коллеги, подскажите хорошее коммерческое решение для блокировки сайтов в ISP? Что нынче в моде?

[vop]

"хорошее" и "в моде" - это, как бы, из разных областей знаний :)

 

PS Не знаю.

[vurd]

в целях ркн?

модное - скат\рдп

хорошее - запретсервис\карбон

 

[fox_m]

2 часа назад, vurd сказал:

в целях ркн?

модное - скат\рдп

хорошее - запретсервис\карбон

 

Да, РКН. А skyDNS?

[d.brusentsev]

https://shop.nag.ru/catalog/14605.SKAT/18928.Promo-komplekty/33028.NAG-CKAT-2-miniDPI-appliance

Edited October 22 by d.brusentsev

[vurd]

20 часов назад, fox_m сказал:

Да, РКН. А skyDNS?

Возьмите запретсервис. Агрегирует маршруты до /24, стоит недорого. ТП разве что в жопу не целует.

[fox_m]

1 час назад, vurd сказал:

Возьмите запретсервис. Агрегирует маршруты до /24, стоит недорого. ТП разве что в жопу не целует.

Это которые skydns.ru? Нам еще скат предлагают и карбон. Оба тоже на слуху.

[NikitaCarbonSoft]

23 часа назад, fox_m сказал:

Коллеги, подскажите хорошее коммерческое решение для блокировки сайтов в ISP? Что нынче в моде?

Я бы порекомендовал вам Карбон:)

Вы можете узнать о Carbon Reductor DPI X на сайте https://www.carbonsoft.ru/products/carbon-reductor/ 

Или задать свои вопросы мне и я постараюсь на них ответить. 

[fox_m]

7 минут назад, NikitaCarbonSoft сказал:

Я бы порекомендовал вам Карбон:)

Вы можете узнать о Carbon Reductor DPI X на сайте https://www.carbonsoft.ru/products/carbon-reductor/ 

Или задать свои вопросы мне и я постараюсь на них ответить. 

Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? Да, ip выдаются абонентам статически, если это важно

Edited October 23 by fox_m

[vurd]

1 час назад, fox_m сказал:

Это которые skydns.ru? Нам еще скат предлагают и карбон. Оба тоже на слуху.

Причем тут сервис фильтрации днс запросов?

Нет. Я про http://zapretservice.ru/

[fox_m]

1 час назад, vurd сказал:

Причем тут сервис фильтрации днс запросов?

Нет. Я про http://zapretservice.ru/

Skudns тоже такой сервис предоставляют. Прислали уже нам предложение

https://docs.skydns.ru/zapret/connecting_schema.html#network-schemas

Edited October 23 by fox_m

[swsn]

28 минут назад, fox_m сказал:

Skudns тоже такой сервис предоставляют. Прислали уже нам предложение

https://docs.skydns.ru/zapret/connecting_schema.html#network-schemas

Не вижу схемы миррор или бридж, у вас маршрутизатор сможет несколько миллионов ip анонсить на фильтр?

[fox_m]

2 часа назад, swsn сказал:

Не вижу схемы миррор или бридж, у вас маршрутизатор сможет несколько миллионов ip анонсить на фильтр?

Ну допустим сможет, но забивать память этой хренью совсем не хотелось бы. Я вот понять не могу, в схеме с миррор, каким образом клиента редиректит на сайт с заглушкой? Да, копия трафика приходит на фильтр, он определил, что URL под запретом, а как он потом об этом сообщает клиенту-то? И вообще схема с миррор нужна для того, что бы не анонсить кучу маршрутов?

[vurd]

Ну как как. Шлет сайта RST, а клиенту шлет ACK и спуфит пакеты. На 443 в обе стороны пошлет RST.

И всё-таки для ясности, я вам про одну контору, вы мне про другую. Не путайте.

По поводу агрегации /24, в таком раскладе выходит 129290 маршрутов. (это пиздец, ркн).

 

[Andrei]

16 часов назад, fox_m сказал:

Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"?

У меня стоит Редуктор. Зеркалируется только исходящий от абонентов трафик (читай "запросы к сайтам"), редуктор быстренько анализирует куда это абонент собрался, и если на "запретку", то быстро отвечает отлупом, быстрее, чем приходит ответ от реального сайта. На сколько я помню, на редукторе поднимается фиктивная зона, которая по BGP анонсит адреса и сети "запреток" от себя - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=69926929

Для того, чтобы это работало как надо, у них спецтребования к процам, сетевым картам и т.п. для того сервака, где будет стоять редуктор. Почитать можно тут - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=68354167 (виртуалка со слов разработчика не подходит).

У меня правда схема с зеркалированием так и не дала нужного качества работы, хотя все требования по тех.части были выполнены.

[NikitaCarbonSoft]

16 часов назад, fox_m сказал:

Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? Да, ip выдаются абонентам статически, если это важно

 

В общем случае мы видим GET-запрос на запрещенный ресурс. Формируем на данное обращение ответные пакеты ( 302 Редирект на страницу-заглушку  +  RST для сброса установления соединения в сторону абонента и запрашиваемого ресурса)
За счет нахождения в сети оператора, происходит работа на опережение, в следствии чего абонент видит страницу-заглушку с запретом доступа на ресурс, а  первоначальное соединение не устанавливается. 

Схема работы (для http) выглядит приблизительно следующим образом:

A - абонент, R - редуктор, S - блокируемый сайт. 

    A -> syn -> S установка соединения
    S -> syn/ack -> A установка соединения
    A -> ack -> S установка соединения
    A -> psh/ack -> S обращение к запрещённому URL
    R -> psh/ack -> A отправка редиректа
    R -> rst/ack -> A разрыв соединения
    S -> ack -> A ответ от сайта о том что он принял обращение к URL
    S -> psh/ack -> A ответ от сайта с данными, игнорируется абонентом

[fox_m]

5 часов назад, NikitaCarbonSoft сказал:

В общем случае мы видим GET-запрос на запрещенный ресурс. Формируем на данное обращение ответные пакеты ( 302 Редирект на страницу-заглушку  +  RST для сброса установления соединения в сторону абонента и запрашиваемого ресурса)
За счет нахождения в сети оператора, происходит работа на опережение, в следствии чего абонент видит страницу-заглушку с запретом доступа на ресурс, а  первоначальное соединение не устанавливается. 

Схема работы (для http) выглядит приблизительно следующим образом:

A - абонент, R - редуктор, S - блокируемый сайт. 

    A -> syn -> S установка соединения
    S -> syn/ack -> A установка соединения
    A -> ack -> S установка соединения
    A -> psh/ack -> S обращение к запрещённому URL
    R -> psh/ack -> A отправка редиректа
    R -> rst/ack -> A разрыв соединения
    S -> ack -> A ответ от сайта о том что он принял обращение к URL
    S -> psh/ack -> A ответ от сайта с данными, игнорируется абонентом

 

А, теперь понял. Спасибо за пояснение.

[NikitaCarbonSoft]

21 час назад, fox_m сказал:

 

А, теперь понял. Спасибо за пояснение.

Может ещё есть вопрос? Готов ответить.

[hsvt]

2 минуты назад, NikitaCarbonSoft сказал:

Может ещё есть вопрос? Готов ответить.

Как боретесь и блокируете такое кол-во IP адресов в выгрузке? Расскажите вот про эти два нововведения.

Цитата

 

Релиз Carbon Reductor DPI X 10.02.22.0051

BGP blackhole

Число IP-адресов в реестре Роскомнадзора стремится к полной таблице маршрутов сети Интернет (full view). Чтобы с этим справляться, мы ввели новый механизм синхронизации IP-адресов. Он примерно в 20 раз быстрее по сравнению с предыдущим вариантом и при этом снижает потребление оперативной памяти в 15 раз. Включить его можно в меню с помощью опции "Фильтровать Blackhole по next-hop".

 

Цитата

 

Релиз Carbon Reductor DPI X 10.02.15.0154

IP-адресов в реестре стало больше

В едином реестре запрещенной информации 190 тысяч записей для полной блокировки по IP-адресу. Чтобы снизить нагрузку на Carbon Reductor DPI X и на маршрутизаторы с которыми он интегрируется мы объединяем IP адреса в подсети. Столкнулись с тем что эта оптимизация стала работать долго и при этом потреблять много ресурсов процессора. В новой версии нам удалось снизить время обработки 190 тысяч IP-адресов с двух минут до двух секунд. 

 

 

[NikitaCarbonSoft]

2 часа назад, hsvt сказал:

Как боретесь и блокируете такое кол-во IP адресов в выгрузке? Расскажите вот про эти два нововведения.

 

Ввели новый механизм синхронизации IP-адресов. Тонкости его работы, к сожалению, не могу раскрыть.

[h3ll1]

https://confluence.jaytaala.com/display/TKB/Using+ipset+to+block+IP+addresses+-+firewall

500Euro на линк :)

Edited November 5 by h3ll1

[Andrei]

9 часов назад, h3ll1 сказал:

https://confluence.jaytaala.com/display/TKB/Using+ipset+to+block+IP+addresses+-+firewall

500Euro на линк :)

Когда-то, когда использовал самописный скрипт для блокировки, пользовался ipset, работало приемлемо. И эта штука давно известна. Но при чем тут 500 евро? :)

 

[h3ll1]

Ну причем, когда сюда приезжают люди которие ищут денги, я как всем :)

[Andrei]

Коллеги, имейте ввиду - КарбонСофт регулярно поднимает цены на свой сервис дважды в год. Только что пришло уведомление о том, что опять ежемесячная стоимость увеличена. Ранее поднимали в декабре 2018 и мае 2019, теперь вот в ноябре 2019.

[NikitaCarbonSoft]

2 часа назад, Andrei сказал:

Коллеги, имейте ввиду - КарбонСофт регулярно поднимает цены на свой сервис дважды в год. Только что пришло уведомление о том, что опять ежемесячная стоимость увеличена. Ранее поднимали в декабре 2018 и мае 2019, теперь вот в ноябре 2019.

Здравствуйте! В нашем договоре прописано, что мы можем изменить стоимость не чаще одного раза в год. Чаще менять цены мы не можем, потому что чёткого соблюдение договоров - это принцип нашей компании. Если вы столкнулись с такой ситуацией, то возможно это какая-то ошибка. Обратитесь пожалуйста в наш отдел продаж по номеру 8 (800) 777-83-70 Либо напиши в личные сообщения свои контакты, чтобы мы могли связаться с вами.