Перейти к содержимому
Калькуляторы

Блокировка сайтов. Коммерческое решение

Коллеги, подскажите хорошее коммерческое решение для блокировки сайтов в ISP? Что нынче в моде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"хорошее" и "в моде" - это, как бы, из разных областей знаний :)

 

PS Не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в целях ркн?

модное - скат\рдп

хорошее - запретсервис\карбон

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, vurd сказал:

в целях ркн?

модное - скат\рдп

хорошее - запретсервис\карбон

 

Да, РКН. А skyDNS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https://shop.nag.ru/catalog/14605.SKAT/18928.Promo-komplekty/33028.NAG-CKAT-2-miniDPI-appliance

Изменено пользователем d.brusentsev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, fox_m сказал:

Да, РКН. А skyDNS?

Возьмите запретсервис. Агрегирует маршруты до /24, стоит недорого. ТП разве что в жопу не целует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, vurd сказал:

Возьмите запретсервис. Агрегирует маршруты до /24, стоит недорого. ТП разве что в жопу не целует.

Это которые skydns.ru? Нам еще скат предлагают и карбон. Оба тоже на слуху.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 часа назад, fox_m сказал:

Коллеги, подскажите хорошее коммерческое решение для блокировки сайтов в ISP? Что нынче в моде?

Я бы порекомендовал вам Карбон:)

Вы можете узнать о Carbon Reductor DPI X на сайте https://www.carbonsoft.ru/products/carbon-reductor/ 

Или задать свои вопросы мне и я постараюсь на них ответить. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, NikitaCarbonSoft сказал:

Я бы порекомендовал вам Карбон:)

Вы можете узнать о Carbon Reductor DPI X на сайте https://www.carbonsoft.ru/products/carbon-reductor/ 

Или задать свои вопросы мне и я постараюсь на них ответить. 

Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? Да, ip выдаются абонентам статически, если это важно

Изменено пользователем fox_m

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, fox_m сказал:

Это которые skydns.ru? Нам еще скат предлагают и карбон. Оба тоже на слуху.

Причем тут сервис фильтрации днс запросов?

Нет. Я про http://zapretservice.ru/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, vurd сказал:

Причем тут сервис фильтрации днс запросов?

Нет. Я про http://zapretservice.ru/

Skudns тоже такой сервис предоставляют. Прислали уже нам предложение

https://docs.skydns.ru/zapret/connecting_schema.html#network-schemas

Изменено пользователем fox_m

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

28 минут назад, fox_m сказал:

Skudns тоже такой сервис предоставляют. Прислали уже нам предложение

https://docs.skydns.ru/zapret/connecting_schema.html#network-schemas

Не вижу схемы миррор или бридж, у вас маршрутизатор сможет несколько миллионов ip анонсить на фильтр?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, swsn сказал:

Не вижу схемы миррор или бридж, у вас маршрутизатор сможет несколько миллионов ip анонсить на фильтр?

Ну допустим сможет, но забивать память этой хренью совсем не хотелось бы. Я вот понять не могу, в схеме с миррор, каким образом клиента редиректит на сайт с заглушкой? Да, копия трафика приходит на фильтр, он определил, что URL под запретом, а как он потом об этом сообщает клиенту-то? И вообще схема с миррор нужна для того, что бы не анонсить кучу маршрутов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну как как. Шлет сайта RST, а клиенту шлет ACK и спуфит пакеты. На 443 в обе стороны пошлет RST.

И всё-таки для ясности, я вам про одну контору, вы мне про другую. Не путайте.

По поводу агрегации /24, в таком раскладе выходит 129290 маршрутов. (это ***ец, ркн).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, fox_m сказал:

Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"?

У меня стоит Редуктор. Зеркалируется только исходящий от абонентов трафик (читай "запросы к сайтам"), редуктор быстренько анализирует куда это абонент собрался, и если на "запретку", то быстро отвечает отлупом, быстрее, чем приходит ответ от реального сайта. На сколько я помню, на редукторе поднимается фиктивная зона, которая по BGP анонсит адреса и сети "запреток" от себя - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=69926929

Для того, чтобы это работало как надо, у них спецтребования к процам, сетевым картам и т.п. для того сервака, где будет стоять редуктор. Почитать можно тут - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=68354167 (виртуалка со слов разработчика не подходит).

У меня правда схема с зеркалированием так и не дала нужного качества работы, хотя все требования по тех.части были выполнены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, fox_m сказал:

Поясните по схеме с "зеркалированием" трафика. У нас сейчас трафик заворачивается на фильтр, посредством анонса в сеть /32 маршрутов. У вас, как я понял, трафик от бордера зеркалируется на фильтр, а дальше? Как происходит "отфутболивание"? Да, ip выдаются абонентам статически, если это важно

 

В общем случае мы видим GET-запрос на запрещенный ресурс. Формируем на данное обращение ответные пакеты ( 302 Редирект на страницу-заглушку  +  RST для сброса установления соединения в сторону абонента и запрашиваемого ресурса)
За счет нахождения в сети оператора, происходит работа на опережение, в следствии чего абонент видит страницу-заглушку с запретом доступа на ресурс, а  первоначальное соединение не устанавливается. 

Схема работы (для http) выглядит приблизительно следующим образом:

A - абонент, R - редуктор, S - блокируемый сайт. 

    A -> syn -> S установка соединения
    S -> syn/ack -> A установка соединения
    A -> ack -> S установка соединения
    A -> psh/ack -> S обращение к запрещённому URL
    R -> psh/ack -> A отправка редиректа
    R -> rst/ack -> A разрыв соединения
    S -> ack -> A ответ от сайта о том что он принял обращение к URL
    S -> psh/ack -> A ответ от сайта с данными, игнорируется абонентом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, NikitaCarbonSoft сказал:

В общем случае мы видим GET-запрос на запрещенный ресурс. Формируем на данное обращение ответные пакеты ( 302 Редирект на страницу-заглушку  +  RST для сброса установления соединения в сторону абонента и запрашиваемого ресурса)
За счет нахождения в сети оператора, происходит работа на опережение, в следствии чего абонент видит страницу-заглушку с запретом доступа на ресурс, а  первоначальное соединение не устанавливается. 

Схема работы (для http) выглядит приблизительно следующим образом:

A - абонент, R - редуктор, S - блокируемый сайт. 

    A -> syn -> S установка соединения
    S -> syn/ack -> A установка соединения
    A -> ack -> S установка соединения
    A -> psh/ack -> S обращение к запрещённому URL
    R -> psh/ack -> A отправка редиректа
    R -> rst/ack -> A разрыв соединения
    S -> ack -> A ответ от сайта о том что он принял обращение к URL
    S -> psh/ack -> A ответ от сайта с данными, игнорируется абонентом

 

А, теперь понял. Спасибо за пояснение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 час назад, fox_m сказал:

 

А, теперь понял. Спасибо за пояснение.

Может ещё есть вопрос? Готов ответить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, NikitaCarbonSoft сказал:

Может ещё есть вопрос? Готов ответить.

Как боретесь и блокируете такое кол-во IP адресов в выгрузке? Расскажите вот про эти два нововведения.

Цитата

 

Релиз Carbon Reductor DPI X 10.02.22.0051

BGP blackhole

Число IP-адресов в реестре Роскомнадзора стремится к полной таблице маршрутов сети Интернет (full view). Чтобы с этим справляться, мы ввели новый механизм синхронизации IP-адресов. Он примерно в 20 раз быстрее по сравнению с предыдущим вариантом и при этом снижает потребление оперативной памяти в 15 раз. Включить его можно в меню с помощью опции "Фильтровать Blackhole по next-hop".

 

Цитата

 

Релиз Carbon Reductor DPI X 10.02.15.0154

IP-адресов в реестре стало больше

В едином реестре запрещенной информации 190 тысяч записей для полной блокировки по IP-адресу. Чтобы снизить нагрузку на Carbon Reductor DPI X и на маршрутизаторы с которыми он интегрируется мы объединяем IP адреса в подсети. Столкнулись с тем что эта оптимизация стала работать долго и при этом потреблять много ресурсов процессора. В новой версии нам удалось снизить время обработки 190 тысяч IP-адресов с двух минут до двух секунд. 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, hsvt сказал:

Как боретесь и блокируете такое кол-во IP адресов в выгрузке? Расскажите вот про эти два нововведения.

 

Ввели новый механизм синхронизации IP-адресов. Тонкости его работы, к сожалению, не могу раскрыть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https://confluence.jaytaala.com/display/TKB/Using+ipset+to+block+IP+addresses+-+firewall

500Euro на линк :)

Изменено пользователем h3ll1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, h3ll1 сказал:

Когда-то, когда использовал самописный скрипт для блокировки, пользовался ipset, работало приемлемо. И эта штука давно известна. Но при чем тут 500 евро? :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну причем, когда сюда приезжают люди которие ищут денги, я как всем :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, имейте ввиду - КарбонСофт регулярно поднимает цены на свой сервис дважды в год. Только что пришло уведомление о том, что опять ежемесячная стоимость увеличена. Ранее поднимали в декабре 2018 и мае 2019, теперь вот в ноябре 2019.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Andrei сказал:

Коллеги, имейте ввиду - КарбонСофт регулярно поднимает цены на свой сервис дважды в год. Только что пришло уведомление о том, что опять ежемесячная стоимость увеличена. Ранее поднимали в декабре 2018 и мае 2019, теперь вот в ноябре 2019.

Здравствуйте! В нашем договоре прописано, что мы можем изменить стоимость не чаще одного раза в год. Чаще менять цены мы не можем, потому что чёткого соблюдение договоров - это принцип нашей компании. Если вы столкнулись с такой ситуацией, то возможно это какая-то ошибка. Обратитесь пожалуйста в наш отдел продаж по номеру 8 (800) 777-83-70 Либо напиши в личные сообщения свои контакты, чтобы мы могли связаться с вами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.