fox_m Опубликовано 22 октября, 2019 · Жалоба Коллеги, подскажите хорошее коммерческое решение для блокировки сайтов в ISP? Что нынче в моде? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 22 октября, 2019 · Жалоба "хорошее" и "в моде" - это, как бы, из разных областей знаний :) PS Не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 22 октября, 2019 · Жалоба в целях ркн? модное - скат\рдп хорошее - запретсервис\карбон Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 22 октября, 2019 · Жалоба 2 часа назад, vurd сказал: в целях ркн? модное - скат\рдп хорошее - запретсервис\карбон Да, РКН. А skyDNS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
d.brusentsev Опубликовано 22 октября, 2019 (изменено) · Жалоба https://shop.nag.ru/catalog/14605.SKAT/18928.Promo-komplekty/33028.NAG-CKAT-2-miniDPI-appliance Изменено 22 октября, 2019 пользователем d.brusentsev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 23 октября, 2019 · Жалоба 20 часов назад, fox_m сказал: Да, РКН. А skyDNS? Возьмите запретсервис. Агрегирует маршруты до /24, стоит недорого. ТП разве что в жопу не целует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 23 октября, 2019 · Жалоба 1 час назад, vurd сказал: Возьмите запретсервис. Агрегирует маршруты до /24, стоит недорого. ТП разве что в жопу не целует. Это которые skydns.ru? Нам еще скат предлагают и карбон. Оба тоже на слуху. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikitaCarbonSoft Опубликовано 23 октября, 2019 · Жалоба 23 часа назад, fox_m сказал: Коллеги, подскажите хорошее коммерческое решение для блокировки сайтов в ISP? Что нынче в моде? Я бы порекомендовал вам Карбон:) Вы можете узнать о Carbon Reductor DPI X на сайте https://www.carbonsoft.ru/products/carbon-reductor/ Или задать свои вопросы мне и я постараюсь на них ответить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 23 октября, 2019 (изменено) · Жалоба 7 минут назад, NikitaCarbonSoft сказал: Я бы порекомендовал вам Карбон:) Вы можете узнать о Carbon Reductor DPI X на сайте https://www.carbonsoft.ru/products/carbon-reductor/ Или задать свои вопросы мне и я постараюсь на них ответить. Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? Да, ip выдаются абонентам статически, если это важно Изменено 23 октября, 2019 пользователем fox_m Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 23 октября, 2019 · Жалоба 1 час назад, fox_m сказал: Это которые skydns.ru? Нам еще скат предлагают и карбон. Оба тоже на слуху. Причем тут сервис фильтрации днс запросов? Нет. Я про http://zapretservice.ru/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 23 октября, 2019 (изменено) · Жалоба 1 час назад, vurd сказал: Причем тут сервис фильтрации днс запросов? Нет. Я про http://zapretservice.ru/ Skudns тоже такой сервис предоставляют. Прислали уже нам предложение https://docs.skydns.ru/zapret/connecting_schema.html#network-schemas Изменено 23 октября, 2019 пользователем fox_m Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 23 октября, 2019 · Жалоба 28 минут назад, fox_m сказал: Skudns тоже такой сервис предоставляют. Прислали уже нам предложение https://docs.skydns.ru/zapret/connecting_schema.html#network-schemas Не вижу схемы миррор или бридж, у вас маршрутизатор сможет несколько миллионов ip анонсить на фильтр? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 23 октября, 2019 · Жалоба 2 часа назад, swsn сказал: Не вижу схемы миррор или бридж, у вас маршрутизатор сможет несколько миллионов ip анонсить на фильтр? Ну допустим сможет, но забивать память этой хренью совсем не хотелось бы. Я вот понять не могу, в схеме с миррор, каким образом клиента редиректит на сайт с заглушкой? Да, копия трафика приходит на фильтр, он определил, что URL под запретом, а как он потом об этом сообщает клиенту-то? И вообще схема с миррор нужна для того, что бы не анонсить кучу маршрутов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 23 октября, 2019 · Жалоба Ну как как. Шлет сайта RST, а клиенту шлет ACK и спуфит пакеты. На 443 в обе стороны пошлет RST. И всё-таки для ясности, я вам про одну контору, вы мне про другую. Не путайте. По поводу агрегации /24, в таком раскладе выходит 129290 маршрутов. (это ***ец, ркн). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 24 октября, 2019 · Жалоба 16 часов назад, fox_m сказал: Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? У меня стоит Редуктор. Зеркалируется только исходящий от абонентов трафик (читай "запросы к сайтам"), редуктор быстренько анализирует куда это абонент собрался, и если на "запретку", то быстро отвечает отлупом, быстрее, чем приходит ответ от реального сайта. На сколько я помню, на редукторе поднимается фиктивная зона, которая по BGP анонсит адреса и сети "запреток" от себя - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=69926929 Для того, чтобы это работало как надо, у них спецтребования к процам, сетевым картам и т.п. для того сервака, где будет стоять редуктор. Почитать можно тут - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=68354167 (виртуалка со слов разработчика не подходит). У меня правда схема с зеркалированием так и не дала нужного качества работы, хотя все требования по тех.части были выполнены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikitaCarbonSoft Опубликовано 24 октября, 2019 · Жалоба 16 часов назад, fox_m сказал: Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? Да, ip выдаются абонентам статически, если это важно В общем случае мы видим GET-запрос на запрещенный ресурс. Формируем на данное обращение ответные пакеты ( 302 Редирект на страницу-заглушку + RST для сброса установления соединения в сторону абонента и запрашиваемого ресурса) За счет нахождения в сети оператора, происходит работа на опережение, в следствии чего абонент видит страницу-заглушку с запретом доступа на ресурс, а первоначальное соединение не устанавливается. Схема работы (для http) выглядит приблизительно следующим образом: A - абонент, R - редуктор, S - блокируемый сайт. A -> syn -> S установка соединения S -> syn/ack -> A установка соединения A -> ack -> S установка соединения A -> psh/ack -> S обращение к запрещённому URL R -> psh/ack -> A отправка редиректа R -> rst/ack -> A разрыв соединения S -> ack -> A ответ от сайта о том что он принял обращение к URL S -> psh/ack -> A ответ от сайта с данными, игнорируется абонентом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 24 октября, 2019 · Жалоба 5 часов назад, NikitaCarbonSoft сказал: В общем случае мы видим GET-запрос на запрещенный ресурс. Формируем на данное обращение ответные пакеты ( 302 Редирект на страницу-заглушку + RST для сброса установления соединения в сторону абонента и запрашиваемого ресурса) За счет нахождения в сети оператора, происходит работа на опережение, в следствии чего абонент видит страницу-заглушку с запретом доступа на ресурс, а первоначальное соединение не устанавливается. Схема работы (для http) выглядит приблизительно следующим образом: A - абонент, R - редуктор, S - блокируемый сайт. A -> syn -> S установка соединения S -> syn/ack -> A установка соединения A -> ack -> S установка соединения A -> psh/ack -> S обращение к запрещённому URL R -> psh/ack -> A отправка редиректа R -> rst/ack -> A разрыв соединения S -> ack -> A ответ от сайта о том что он принял обращение к URL S -> psh/ack -> A ответ от сайта с данными, игнорируется абонентом А, теперь понял. Спасибо за пояснение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikitaCarbonSoft Опубликовано 25 октября, 2019 · Жалоба 21 час назад, fox_m сказал: А, теперь понял. Спасибо за пояснение. Может ещё есть вопрос? Готов ответить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 25 октября, 2019 · Жалоба 2 минуты назад, NikitaCarbonSoft сказал: Может ещё есть вопрос? Готов ответить. Как боретесь и блокируете такое кол-во IP адресов в выгрузке? Расскажите вот про эти два нововведения. Цитата Релиз Carbon Reductor DPI X 10.02.22.0051 BGP blackhole Число IP-адресов в реестре Роскомнадзора стремится к полной таблице маршрутов сети Интернет (full view). Чтобы с этим справляться, мы ввели новый механизм синхронизации IP-адресов. Он примерно в 20 раз быстрее по сравнению с предыдущим вариантом и при этом снижает потребление оперативной памяти в 15 раз. Включить его можно в меню с помощью опции "Фильтровать Blackhole по next-hop". Цитата Релиз Carbon Reductor DPI X 10.02.15.0154 IP-адресов в реестре стало больше В едином реестре запрещенной информации 190 тысяч записей для полной блокировки по IP-адресу. Чтобы снизить нагрузку на Carbon Reductor DPI X и на маршрутизаторы с которыми он интегрируется мы объединяем IP адреса в подсети. Столкнулись с тем что эта оптимизация стала работать долго и при этом потреблять много ресурсов процессора. В новой версии нам удалось снизить время обработки 190 тысяч IP-адресов с двух минут до двух секунд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikitaCarbonSoft Опубликовано 25 октября, 2019 · Жалоба 2 часа назад, hsvt сказал: Как боретесь и блокируете такое кол-во IP адресов в выгрузке? Расскажите вот про эти два нововведения. Ввели новый механизм синхронизации IP-адресов. Тонкости его работы, к сожалению, не могу раскрыть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 5 ноября, 2019 (изменено) · Жалоба https://confluence.jaytaala.com/display/TKB/Using+ipset+to+block+IP+addresses+-+firewall 500Euro на линк :) Изменено 5 ноября, 2019 пользователем h3ll1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 6 ноября, 2019 · Жалоба 9 часов назад, h3ll1 сказал: https://confluence.jaytaala.com/display/TKB/Using+ipset+to+block+IP+addresses+-+firewall 500Euro на линк :) Когда-то, когда использовал самописный скрипт для блокировки, пользовался ipset, работало приемлемо. И эта штука давно известна. Но при чем тут 500 евро? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h3ll1 Опубликовано 12 ноября, 2019 · Жалоба Ну причем, когда сюда приезжают люди которие ищут денги, я как всем :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 ноября, 2019 · Жалоба Коллеги, имейте ввиду - КарбонСофт регулярно поднимает цены на свой сервис дважды в год. Только что пришло уведомление о том, что опять ежемесячная стоимость увеличена. Ранее поднимали в декабре 2018 и мае 2019, теперь вот в ноябре 2019. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikitaCarbonSoft Опубликовано 13 ноября, 2019 · Жалоба 2 часа назад, Andrei сказал: Коллеги, имейте ввиду - КарбонСофт регулярно поднимает цены на свой сервис дважды в год. Только что пришло уведомление о том, что опять ежемесячная стоимость увеличена. Ранее поднимали в декабре 2018 и мае 2019, теперь вот в ноябре 2019. Здравствуйте! В нашем договоре прописано, что мы можем изменить стоимость не чаще одного раза в год. Чаще менять цены мы не можем, потому что чёткого соблюдение договоров - это принцип нашей компании. Если вы столкнулись с такой ситуацией, то возможно это какая-то ошибка. Обратитесь пожалуйста в наш отдел продаж по номеру 8 (800) 777-83-70 Либо напиши в личные сообщения свои контакты, чтобы мы могли связаться с вами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...