Перейти к содержимому
Калькуляторы

DruGoe_DeLo

если пользователь хитро жопый

...ему класть на вообще всякие блокировки, по крайней мере в том виде, что есть сейчас.

HTTPS красиво вырезать не получится - только целиком (общались с РКН по этому вопросу).

Собственно, https почти не попадает в выдачу РКН - только мелкие ресурсы.

"Блокировки" по dns, собственно, и блокировками-то не являются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги,

в известном всем списке есть URL со звездочками и двоеточиями. Кто как смог это скормить SCE?

Двоеточия вроде получилось обратным слешем победить, хотя еще не полностью протестировал, а со звездами - затык.

 

И еще, кто нибудь нашел таки как в зоны IP добавлять скриптом, без использования SCA BB Console?

Вот тут есть пример приложения на яве:

http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel40x/scabbpg/scabb_pg/Programming_with_the_SCA_BB_API.html#wpxref55226

Кто нибудь осилил?

Изменено пользователем ShyLion

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги,

в известном всем списке есть URL со звездочками и двоеточиями. Кто как смог это скормить SCE?

Двоеточия вроде получилось обратным слешем победить, хотя еще не полностью протестировал, а со звездами - затык.

 

И еще, кто нибудь нашел таки как в зоны IP добавлять скриптом, без использования SCA BB Console?

Вот тут есть пример приложения на яве:

http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel40x/scabbpg/scabb_pg/Programming_with_the_SCA_BB_API.html#wpxref55226

Кто нибудь осилил?

зоны я так понимаю вам нужно добавлять для блокировки https по ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

зоны я так понимаю вам нужно добавлять для блокировки https по ip?

 

Да.

Конечно, можно эту задачу переложить на роутер, править на нем ACL или object-group с помощью Net::SSH:Expect, но хочется чтобы этим занималась специально купленая для этого железяка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вкурил API, достаточно просто там все, слить конфу, поправить списки, залить обратно. Можно и URL и IP, причем их видно будет в SCE BB Console.

Доведу до ума - поделюсь если кому надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вкурил API, достаточно просто там все, слить конфу, поправить списки, залить обратно. Можно и URL и IP, причем их видно будет в SCE BB Console.

Доведу до ума - поделюсь если кому надо.

В итоге или никто не довел, либо зажопил - много раз такое читал на форуме

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вкурил API, достаточно просто там все, слить конфу, поправить списки, залить обратно. Можно и URL и IP, причем их видно будет в SCE BB Console.

Доведу до ума - поделюсь если кому надо.

Не помешало бы )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже было бы интересно, хотя бы просто какие вызовы дергать, дальше сам разберусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дабы не быть голословным, вот вам заготовки скриптов. Обращаю внимение что это все в процессе написания, но основной алгоритм видно, также видно как добавлять элементы.

https://www.dropbox.com/s/6hwubjoju4vjv13/zapret-info-download?dl=0

https://www.dropbox.com/s/qrvlmga6upsjtv3/UpdateBlacklists.java?dl=0

 

Первая ссылка - скрипт на перле. Входные данные - файл запроса и подписаный файл. Обращаю внимание, что файл запроса должен быть в кодировке 1251 и в нем должны быть ДОСовские, двухбайтные "CR/LF" переводы строки. Веб-сервис ручной загрузки на это не обращает внимание, а SOAP служба обращает! Скрипт загружает список, распаковывает, парсит XML и сохраняет список УРЛ, списки IP для блокировки HTTPS и списки IP для полной блокировки (ни одного не видел еще).

 

Если запустить с параметром -z то закачки не будет, а будет только распаковка и парсинг уже загруженого списка. Если в параметрах задать код, полученый ранее, то будет произведена загрузка по коду, без запроса. Это было для отладки.

 

Прога на яве в стадии разработки, смотрите кому интересно как и чего. Для ее работы нужно скачать API для вашей версии ПО SCE.

 

Прога на яве сделана по этим примерам:

 

http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel40x/scabbpg/scabb_pg/Programming_with_the_SCA_BB_API.html#wp1055226

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И да, я не настоящий сварщик, пишу как знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да там API там спроектировано, что первоклассник хай-лоад бекенд напишет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да там API там спроектировано, что первоклассник хай-лоад бекенд напишет.

 

Полвечера убил, чтобы найти как добавить элемент в список, пока не скачал декомпайлер и не посмотрел вовнутрь их классов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Налетай:

https://www.dropbox.com/sh/4az9gq12ommcaof/AADTo8584A1On_k5FLbLRjtQa?dl=0

 

должно быть покладено в /opt/zapret-info

гадить будет в /var/tmp

Flavor для HTTP должен быть FZ139

Zone для HTTPS должен быть FZ139_HTTPS

Zone для полной фильтрации по IP должен быть FZ139

Для каждого SCE создать файл /var/tmp/zapret-info_sce.XXXX, внутре три стройчки:

IP

username

password

 

кому не нравится - правьте сами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите, где собака порылась...

 

SCE 2020

Софт 4.1.0

 

Два глобалконтроллера, один дефолтовый, другой с Р2Р сервисом. Пытаюсь зарезать Р2Р входящий, общий входящий не уменьшается. Репортер показывает уменьшение Р2Р трафика и пропорциональное увеличение трафика Video и Gaming. На исходящем все работает нормально.

 

Плюс нормально работает точно такая-же политика на восьмитысячной железке с с софтом 4.2.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так может где-то выше подрезано, вот в полочку и уперся?

 

 

jar собран под софт 4.0.0

если надо другую версию, просто пересоберите с другой версией бибилиотек

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите, где собака порылась...

 

SCE 2020

Софт 4.1.0

 

Два глобалконтроллера, один дефолтовый, другой с Р2Р сервисом. Пытаюсь зарезать Р2Р входящий, общий входящий не уменьшается. Репортер показывает уменьшение Р2Р трафика и пропорциональное увеличение трафика Video и Gaming. На исходящем все работает нормально.

 

Плюс нормально работает точно такая-же политика на восьмитысячной железке с с софтом 4.2.0

Не очень понятно, в чем собственно вопрос состоит.

При условии, что на входе трафик был уперт в какую-то полку, то ограничение p2p очевидно высвободило ресурс для

Других видов входящего трафика и они и заняли полосу.

В исходящем у вас нет ограничения сверху, поэтому при ограничении p2p роста других видов трафика не происходит.

Изменено пользователем pers123

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так может где-то выше подрезано, вот в полочку и уперся?

 

 

jar собран под софт 4.0.0

если надо другую версию, просто пересоберите с другой версией бибилиотек

А по просьбе друдящихся для 3.8.5 могли бы сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приветствую всех!

 

Имеется SCE-8000, софт 4.2.0.

 

Столкнулся со следующей проблемой. Примерно раз в неделю или две, жалуются абоненты с одними и теми же симптомами. Отваливается часть сети Интернет, также перестают работать сервисы: у одних SMTP, POP3, у других HTTP, VPN. В общем, отваливаются те сервисы, которые у них установлены и которыми они активно пользуются для работы.

 

У всех этих абонентов белые IP-адреса. В логах тишина. Отключены attack-filter, attack-detector, anomaly detection, Spam Zombies and Email Viruses Detection.

Лечится дело удалением и добавлением в SCE проблемного сабскрайбера, через самописный SM. У абонентов с серыми IP-адресами такого замечено не было.

 

Вывод show party name <uid12345> в момент проблемы и после её лечения, практически не отличаются. Исключение составляет только P_MibSubCounters16 и P_MibSubCounters32.

 

Сталкивался кто-нибудь с подобным?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А по просьбе друдящихся для 3.8.5 могли бы сделать?

 

Там собирать-то особо нечего.

Качаешь SCE Java API нужной версии, распаковываешь.

В отдельную папку копируешь мой исходник, и три файла:

 

jce-jdk13-133.jar

jdmkrt.jar

serviceconfigapi.jar

 

там же еще текстовик добавляешь manifest.txt c одной сторокой:

 

Main-Class: UpdateBlacklists

 

# ll

total 13792

-rw-r--r-- 1 root root 1136282 Feb 24 09:56 jce-jdk13-133.jar

-rw-r--r-- 1 root root 775593 Feb 24 09:56 jdmkrt.jar

-rw-r--r-- 1 root root 12178963 Feb 24 09:56 serviceconfigapi.jar

-rw-r--r-- 1 root root 9708 Feb 24 09:54 UpdateBlacklists.java

-rw-r--r-- 1 root root 29 Feb 24 09:57 manifest.txt

 

компилируешь класс:

javac -cp serviceconfigapi.jar UpdateBlacklists.java

 

распаковываешь все jar файлы:

jar xf jce-jdk13-133.jar

jar xf jdmkrt.jar

jar xf serviceconfigapi.jar

 

удаляешь лишнее:

rm -rf jce-jdk13-133.jar jdmkrt.jar serviceconfigapi.jar META-INF/

 

и запаковываешь все вместе обратно:

 

jar cvfm updateblacklists.jar manifest.txt *

 

ЗЫ: Я яву вижу в первый раз так близко, быть может можно как-то и без переупаковывания классы в архив засунуть, но у меня не вышло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не очень понятно, в чем собственно вопрос состоит.

При условии, что на входе трафик был уперт в какую-то полку, то ограничение p2p очевидно высвободило ресурс для

Других видов входящего трафика и они и заняли полосу.

В исходящем у вас нет ограничения сверху, поэтому при ограничении p2p роста других видов трафика не происходит.

 

Благодарю за ответ, разобрался уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sce 2020, 4.1.0 и протокол-пак 44, клиенты.

 

периодически ip-адреса имеющихся в списке "нормальных" подписчиков попадают в пакет N/A.

периодичность - может 15 минут не попадать. может по 20 срабатываний редиректа за секунду (подписчику "N/A" сделан редирект на страницу-заглушку).

пока заметил это за двумя клиентами, у обоих на адресах, на которых получается срабатывание, висят наты с достаточно большими подсетями за ними (трафик 50-100мбит).

один подписчик заведен как подсеть /26, второму выдан один ip (/32).

 

кто-нибудь встречался с таким? идеи, куда копать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Парни, подскажите, как для определенной подсети внутри дать доступ только к определенному списку УРЛ, а остальной траффик блокировать? При этом остальные должны работать ка к обычно. Сабскрайбер менеджер использовать не хочется.

Нужно сделать "детские учетки", я их буду НАТить с указаного диапазона адресов.

 

Собсно флейвор как сделать понятно.

Непонятно как в полиси задать соурс IP. Через зоны? Вроде зоны это адреса снаружи, нет?

Изменено пользователем ShyLion

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Парни, подскажите, как для определенной подсети внутри дать доступ только к определенному списку УРЛ, а остальной траффик блокировать? При этом остальные должны работать ка к обычно. Сабскрайбер менеджер использовать не хочется.

Нужно сделать "детские учетки", я их буду НАТить с указаного диапазона адресов.

 

Собсно флейвор как сделать понятно.

Непонятно как в полиси задать соурс IP. Через зоны? Вроде зоны это адреса снаружи, нет?

Используйте SM или ручками импорт сабскрайберов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Господа, может кто подскажет, по какой причине у меня SCE е редиректит русские урлы?

 

для примера такой

 

http://dutch-[cut].nl/ru/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-%D0%B8-%D1%80%D0%B0%D0%B7%D0%B2%D0%B8%D1%82%D0%B8%D0%B5/%D0%9D%D0%BE%D0%B2%D0%B8%D1%87%D0%BE%D0%BA%E2%80%93%D1%81%D0%B0%D0%B4%D0%BE%D0%B2%D0%BD%D0%B8%D0%BA-%D0%92%D1%8B%D1%80%D0%B0%D1%89%D0%B8%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B2-%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D0%BE%D0%BC-%D0%B3%D1%80%D1%83%D0%BD%D1%82%D0%B5-%D0%BB%D0%B5%D0%B3%D0%BA%D0%BE/

 

Насколько знаю я не один с такой проблемой...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Парни, подскажите, как для определенной подсети внутри дать доступ только к определенному списку УРЛ, а остальной траффик блокировать? При этом остальные должны работать ка к обычно. Сабскрайбер менеджер использовать не хочется.

Нужно сделать "детские учетки", я их буду НАТить с указаного диапазона адресов.

 

Собсно флейвор как сделать понятно.

Непонятно как в полиси задать соурс IP. Через зоны? Вроде зоны это адреса снаружи, нет?

Используйте SM или ручками импорт сабскрайберов.

 

Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0

Кто нибудь знает как привязать политики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.