fox_m Posted October 22 · Report post Коллеги, подскажите хорошее коммерческое решение для блокировки сайтов в ISP? Что нынче в моде? Share this post Link to post Share on other sites
vop Posted October 22 · Report post "хорошее" и "в моде" - это, как бы, из разных областей знаний :) PS Не знаю. Share this post Link to post Share on other sites
vurd Posted October 22 · Report post в целях ркн? модное - скат\рдп хорошее - запретсервис\карбон Share this post Link to post Share on other sites
fox_m Posted October 22 · Report post 2 часа назад, vurd сказал: в целях ркн? модное - скат\рдп хорошее - запретсервис\карбон Да, РКН. А skyDNS? Share this post Link to post Share on other sites
d.brusentsev Posted October 22 (edited) · Report post https://shop.nag.ru/catalog/14605.SKAT/18928.Promo-komplekty/33028.NAG-CKAT-2-miniDPI-appliance Edited October 22 by d.brusentsev Share this post Link to post Share on other sites
vurd Posted October 23 · Report post 20 часов назад, fox_m сказал: Да, РКН. А skyDNS? Возьмите запретсервис. Агрегирует маршруты до /24, стоит недорого. ТП разве что в жопу не целует. Share this post Link to post Share on other sites
fox_m Posted October 23 · Report post 1 час назад, vurd сказал: Возьмите запретсервис. Агрегирует маршруты до /24, стоит недорого. ТП разве что в жопу не целует. Это которые skydns.ru? Нам еще скат предлагают и карбон. Оба тоже на слуху. Share this post Link to post Share on other sites
NikitaCarbonSoft Posted October 23 · Report post 23 часа назад, fox_m сказал: Коллеги, подскажите хорошее коммерческое решение для блокировки сайтов в ISP? Что нынче в моде? Я бы порекомендовал вам Карбон:) Вы можете узнать о Carbon Reductor DPI X на сайте https://www.carbonsoft.ru/products/carbon-reductor/ Или задать свои вопросы мне и я постараюсь на них ответить. Share this post Link to post Share on other sites
fox_m Posted October 23 (edited) · Report post 7 минут назад, NikitaCarbonSoft сказал: Я бы порекомендовал вам Карбон:) Вы можете узнать о Carbon Reductor DPI X на сайте https://www.carbonsoft.ru/products/carbon-reductor/ Или задать свои вопросы мне и я постараюсь на них ответить. Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? Да, ip выдаются абонентам статически, если это важно Edited October 23 by fox_m Share this post Link to post Share on other sites
vurd Posted October 23 · Report post 1 час назад, fox_m сказал: Это которые skydns.ru? Нам еще скат предлагают и карбон. Оба тоже на слуху. Причем тут сервис фильтрации днс запросов? Нет. Я про http://zapretservice.ru/ Share this post Link to post Share on other sites
fox_m Posted October 23 (edited) · Report post 1 час назад, vurd сказал: Причем тут сервис фильтрации днс запросов? Нет. Я про http://zapretservice.ru/ Skudns тоже такой сервис предоставляют. Прислали уже нам предложение https://docs.skydns.ru/zapret/connecting_schema.html#network-schemas Edited October 23 by fox_m Share this post Link to post Share on other sites
swsn Posted October 23 · Report post 28 минут назад, fox_m сказал: Skudns тоже такой сервис предоставляют. Прислали уже нам предложение https://docs.skydns.ru/zapret/connecting_schema.html#network-schemas Не вижу схемы миррор или бридж, у вас маршрутизатор сможет несколько миллионов ip анонсить на фильтр? Share this post Link to post Share on other sites
fox_m Posted October 23 · Report post 2 часа назад, swsn сказал: Не вижу схемы миррор или бридж, у вас маршрутизатор сможет несколько миллионов ip анонсить на фильтр? Ну допустим сможет, но забивать память этой хренью совсем не хотелось бы. Я вот понять не могу, в схеме с миррор, каким образом клиента редиректит на сайт с заглушкой? Да, копия трафика приходит на фильтр, он определил, что URL под запретом, а как он потом об этом сообщает клиенту-то? И вообще схема с миррор нужна для того, что бы не анонсить кучу маршрутов? Share this post Link to post Share on other sites
vurd Posted October 23 · Report post Ну как как. Шлет сайта RST, а клиенту шлет ACK и спуфит пакеты. На 443 в обе стороны пошлет RST. И всё-таки для ясности, я вам про одну контору, вы мне про другую. Не путайте. По поводу агрегации /24, в таком раскладе выходит 129290 маршрутов. (это пиздец, ркн). Share this post Link to post Share on other sites
Andrei Posted October 24 · Report post 16 часов назад, fox_m сказал: Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? У меня стоит Редуктор. Зеркалируется только исходящий от абонентов трафик (читай "запросы к сайтам"), редуктор быстренько анализирует куда это абонент собрался, и если на "запретку", то быстро отвечает отлупом, быстрее, чем приходит ответ от реального сайта. На сколько я помню, на редукторе поднимается фиктивная зона, которая по BGP анонсит адреса и сети "запреток" от себя - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=69926929 Для того, чтобы это работало как надо, у них спецтребования к процам, сетевым картам и т.п. для того сервака, где будет стоять редуктор. Почитать можно тут - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=68354167 (виртуалка со слов разработчика не подходит). У меня правда схема с зеркалированием так и не дала нужного качества работы, хотя все требования по тех.части были выполнены. Share this post Link to post Share on other sites
NikitaCarbonSoft Posted October 24 · Report post 16 часов назад, fox_m сказал: Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? Да, ip выдаются абонентам статически, если это важно В общем случае мы видим GET-запрос на запрещенный ресурс. Формируем на данное обращение ответные пакеты ( 302 Редирект на страницу-заглушку + RST для сброса установления соединения в сторону абонента и запрашиваемого ресурса) За счет нахождения в сети оператора, происходит работа на опережение, в следствии чего абонент видит страницу-заглушку с запретом доступа на ресурс, а первоначальное соединение не устанавливается. Схема работы (для http) выглядит приблизительно следующим образом: A - абонент, R - редуктор, S - блокируемый сайт. A -> syn -> S установка соединения S -> syn/ack -> A установка соединения A -> ack -> S установка соединения A -> psh/ack -> S обращение к запрещённому URL R -> psh/ack -> A отправка редиректа R -> rst/ack -> A разрыв соединения S -> ack -> A ответ от сайта о том что он принял обращение к URL S -> psh/ack -> A ответ от сайта с данными, игнорируется абонентом Share this post Link to post Share on other sites
fox_m Posted October 24 · Report post 5 часов назад, NikitaCarbonSoft сказал: В общем случае мы видим GET-запрос на запрещенный ресурс. Формируем на данное обращение ответные пакеты ( 302 Редирект на страницу-заглушку + RST для сброса установления соединения в сторону абонента и запрашиваемого ресурса) За счет нахождения в сети оператора, происходит работа на опережение, в следствии чего абонент видит страницу-заглушку с запретом доступа на ресурс, а первоначальное соединение не устанавливается. Схема работы (для http) выглядит приблизительно следующим образом: A - абонент, R - редуктор, S - блокируемый сайт. A -> syn -> S установка соединения S -> syn/ack -> A установка соединения A -> ack -> S установка соединения A -> psh/ack -> S обращение к запрещённому URL R -> psh/ack -> A отправка редиректа R -> rst/ack -> A разрыв соединения S -> ack -> A ответ от сайта о том что он принял обращение к URL S -> psh/ack -> A ответ от сайта с данными, игнорируется абонентом А, теперь понял. Спасибо за пояснение. Share this post Link to post Share on other sites
NikitaCarbonSoft Posted October 25 · Report post 21 час назад, fox_m сказал: А, теперь понял. Спасибо за пояснение. Может ещё есть вопрос? Готов ответить. Share this post Link to post Share on other sites
hsvt Posted October 25 · Report post 2 минуты назад, NikitaCarbonSoft сказал: Может ещё есть вопрос? Готов ответить. Как боретесь и блокируете такое кол-во IP адресов в выгрузке? Расскажите вот про эти два нововведения. Цитата Релиз Carbon Reductor DPI X 10.02.22.0051 BGP blackhole Число IP-адресов в реестре Роскомнадзора стремится к полной таблице маршрутов сети Интернет (full view). Чтобы с этим справляться, мы ввели новый механизм синхронизации IP-адресов. Он примерно в 20 раз быстрее по сравнению с предыдущим вариантом и при этом снижает потребление оперативной памяти в 15 раз. Включить его можно в меню с помощью опции "Фильтровать Blackhole по next-hop". Цитата Релиз Carbon Reductor DPI X 10.02.15.0154 IP-адресов в реестре стало больше В едином реестре запрещенной информации 190 тысяч записей для полной блокировки по IP-адресу. Чтобы снизить нагрузку на Carbon Reductor DPI X и на маршрутизаторы с которыми он интегрируется мы объединяем IP адреса в подсети. Столкнулись с тем что эта оптимизация стала работать долго и при этом потреблять много ресурсов процессора. В новой версии нам удалось снизить время обработки 190 тысяч IP-адресов с двух минут до двух секунд. Share this post Link to post Share on other sites
NikitaCarbonSoft Posted October 25 · Report post 2 часа назад, hsvt сказал: Как боретесь и блокируете такое кол-во IP адресов в выгрузке? Расскажите вот про эти два нововведения. Ввели новый механизм синхронизации IP-адресов. Тонкости его работы, к сожалению, не могу раскрыть. Share this post Link to post Share on other sites
h3ll1 Posted November 5 (edited) · Report post https://confluence.jaytaala.com/display/TKB/Using+ipset+to+block+IP+addresses+-+firewall 500Euro на линк :) Edited November 5 by h3ll1 Share this post Link to post Share on other sites
Andrei Posted November 6 · Report post 9 часов назад, h3ll1 сказал: https://confluence.jaytaala.com/display/TKB/Using+ipset+to+block+IP+addresses+-+firewall 500Euro на линк :) Когда-то, когда использовал самописный скрипт для блокировки, пользовался ipset, работало приемлемо. И эта штука давно известна. Но при чем тут 500 евро? :) Share this post Link to post Share on other sites
h3ll1 Posted November 12 · Report post Ну причем, когда сюда приезжают люди которие ищут денги, я как всем :) Share this post Link to post Share on other sites
Andrei Posted November 13 · Report post Коллеги, имейте ввиду - КарбонСофт регулярно поднимает цены на свой сервис дважды в год. Только что пришло уведомление о том, что опять ежемесячная стоимость увеличена. Ранее поднимали в декабре 2018 и мае 2019, теперь вот в ноябре 2019. Share this post Link to post Share on other sites
NikitaCarbonSoft Posted November 13 · Report post 2 часа назад, Andrei сказал: Коллеги, имейте ввиду - КарбонСофт регулярно поднимает цены на свой сервис дважды в год. Только что пришло уведомление о том, что опять ежемесячная стоимость увеличена. Ранее поднимали в декабре 2018 и мае 2019, теперь вот в ноябре 2019. Здравствуйте! В нашем договоре прописано, что мы можем изменить стоимость не чаще одного раза в год. Чаще менять цены мы не можем, потому что чёткого соблюдение договоров - это принцип нашей компании. Если вы столкнулись с такой ситуацией, то возможно это какая-то ошибка. Обратитесь пожалуйста в наш отдел продаж по номеру 8 (800) 777-83-70 Либо напиши в личные сообщения свои контакты, чтобы мы могли связаться с вами. Share this post Link to post Share on other sites