Jump to content
Калькуляторы

Cisco SCE Series Service Control Engine

DruGoe_DeLo

если пользователь хитро жопый

...ему класть на вообще всякие блокировки, по крайней мере в том виде, что есть сейчас.

HTTPS красиво вырезать не получится - только целиком (общались с РКН по этому вопросу).

Собственно, https почти не попадает в выдачу РКН - только мелкие ресурсы.

"Блокировки" по dns, собственно, и блокировками-то не являются.

Share this post


Link to post
Share on other sites

Коллеги,

в известном всем списке есть URL со звездочками и двоеточиями. Кто как смог это скормить SCE?

Двоеточия вроде получилось обратным слешем победить, хотя еще не полностью протестировал, а со звездами - затык.

 

И еще, кто нибудь нашел таки как в зоны IP добавлять скриптом, без использования SCA BB Console?

Вот тут есть пример приложения на яве:

http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel40x/scabbpg/scabb_pg/Programming_with_the_SCA_BB_API.html#wpxref55226

Кто нибудь осилил?

Edited by ShyLion

Share this post


Link to post
Share on other sites

Коллеги,

в известном всем списке есть URL со звездочками и двоеточиями. Кто как смог это скормить SCE?

Двоеточия вроде получилось обратным слешем победить, хотя еще не полностью протестировал, а со звездами - затык.

 

И еще, кто нибудь нашел таки как в зоны IP добавлять скриптом, без использования SCA BB Console?

Вот тут есть пример приложения на яве:

http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel40x/scabbpg/scabb_pg/Programming_with_the_SCA_BB_API.html#wpxref55226

Кто нибудь осилил?

зоны я так понимаю вам нужно добавлять для блокировки https по ip?

Share this post


Link to post
Share on other sites

зоны я так понимаю вам нужно добавлять для блокировки https по ip?

 

Да.

Конечно, можно эту задачу переложить на роутер, править на нем ACL или object-group с помощью Net::SSH:Expect, но хочется чтобы этим занималась специально купленая для этого железяка.

Share this post


Link to post
Share on other sites

Вкурил API, достаточно просто там все, слить конфу, поправить списки, залить обратно. Можно и URL и IP, причем их видно будет в SCE BB Console.

Доведу до ума - поделюсь если кому надо.

Share this post


Link to post
Share on other sites

Вкурил API, достаточно просто там все, слить конфу, поправить списки, залить обратно. Можно и URL и IP, причем их видно будет в SCE BB Console.

Доведу до ума - поделюсь если кому надо.

В итоге или никто не довел, либо зажопил - много раз такое читал на форуме

Share this post


Link to post
Share on other sites

Вкурил API, достаточно просто там все, слить конфу, поправить списки, залить обратно. Можно и URL и IP, причем их видно будет в SCE BB Console.

Доведу до ума - поделюсь если кому надо.

Не помешало бы )))

Share this post


Link to post
Share on other sites

Тоже было бы интересно, хотя бы просто какие вызовы дергать, дальше сам разберусь.

Share this post


Link to post
Share on other sites

Дабы не быть голословным, вот вам заготовки скриптов. Обращаю внимение что это все в процессе написания, но основной алгоритм видно, также видно как добавлять элементы.

https://www.dropbox.com/s/6hwubjoju4vjv13/zapret-info-download?dl=0

https://www.dropbox.com/s/qrvlmga6upsjtv3/UpdateBlacklists.java?dl=0

 

Первая ссылка - скрипт на перле. Входные данные - файл запроса и подписаный файл. Обращаю внимание, что файл запроса должен быть в кодировке 1251 и в нем должны быть ДОСовские, двухбайтные "CR/LF" переводы строки. Веб-сервис ручной загрузки на это не обращает внимание, а SOAP служба обращает! Скрипт загружает список, распаковывает, парсит XML и сохраняет список УРЛ, списки IP для блокировки HTTPS и списки IP для полной блокировки (ни одного не видел еще).

 

Если запустить с параметром -z то закачки не будет, а будет только распаковка и парсинг уже загруженого списка. Если в параметрах задать код, полученый ранее, то будет произведена загрузка по коду, без запроса. Это было для отладки.

 

Прога на яве в стадии разработки, смотрите кому интересно как и чего. Для ее работы нужно скачать API для вашей версии ПО SCE.

 

Прога на яве сделана по этим примерам:

 

http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel40x/scabbpg/scabb_pg/Programming_with_the_SCA_BB_API.html#wp1055226

Share this post


Link to post
Share on other sites

Да там API там спроектировано, что первоклассник хай-лоад бекенд напишет.

Share this post


Link to post
Share on other sites

Да там API там спроектировано, что первоклассник хай-лоад бекенд напишет.

 

Полвечера убил, чтобы найти как добавить элемент в список, пока не скачал декомпайлер и не посмотрел вовнутрь их классов.

Share this post


Link to post
Share on other sites

Налетай:

https://www.dropbox.com/sh/4az9gq12ommcaof/AADTo8584A1On_k5FLbLRjtQa?dl=0

 

должно быть покладено в /opt/zapret-info

гадить будет в /var/tmp

Flavor для HTTP должен быть FZ139

Zone для HTTPS должен быть FZ139_HTTPS

Zone для полной фильтрации по IP должен быть FZ139

Для каждого SCE создать файл /var/tmp/zapret-info_sce.XXXX, внутре три стройчки:

IP

username

password

 

кому не нравится - правьте сами

Share this post


Link to post
Share on other sites

Коллеги, подскажите, где собака порылась...

 

SCE 2020

Софт 4.1.0

 

Два глобалконтроллера, один дефолтовый, другой с Р2Р сервисом. Пытаюсь зарезать Р2Р входящий, общий входящий не уменьшается. Репортер показывает уменьшение Р2Р трафика и пропорциональное увеличение трафика Video и Gaming. На исходящем все работает нормально.

 

Плюс нормально работает точно такая-же политика на восьмитысячной железке с с софтом 4.2.0

Share this post


Link to post
Share on other sites

так может где-то выше подрезано, вот в полочку и уперся?

 

 

jar собран под софт 4.0.0

если надо другую версию, просто пересоберите с другой версией бибилиотек

Share this post


Link to post
Share on other sites

Коллеги, подскажите, где собака порылась...

 

SCE 2020

Софт 4.1.0

 

Два глобалконтроллера, один дефолтовый, другой с Р2Р сервисом. Пытаюсь зарезать Р2Р входящий, общий входящий не уменьшается. Репортер показывает уменьшение Р2Р трафика и пропорциональное увеличение трафика Video и Gaming. На исходящем все работает нормально.

 

Плюс нормально работает точно такая-же политика на восьмитысячной железке с с софтом 4.2.0

Не очень понятно, в чем собственно вопрос состоит.

При условии, что на входе трафик был уперт в какую-то полку, то ограничение p2p очевидно высвободило ресурс для

Других видов входящего трафика и они и заняли полосу.

В исходящем у вас нет ограничения сверху, поэтому при ограничении p2p роста других видов трафика не происходит.

Edited by pers123

Share this post


Link to post
Share on other sites

так может где-то выше подрезано, вот в полочку и уперся?

 

 

jar собран под софт 4.0.0

если надо другую версию, просто пересоберите с другой версией бибилиотек

А по просьбе друдящихся для 3.8.5 могли бы сделать?

Share this post


Link to post
Share on other sites

Приветствую всех!

 

Имеется SCE-8000, софт 4.2.0.

 

Столкнулся со следующей проблемой. Примерно раз в неделю или две, жалуются абоненты с одними и теми же симптомами. Отваливается часть сети Интернет, также перестают работать сервисы: у одних SMTP, POP3, у других HTTP, VPN. В общем, отваливаются те сервисы, которые у них установлены и которыми они активно пользуются для работы.

 

У всех этих абонентов белые IP-адреса. В логах тишина. Отключены attack-filter, attack-detector, anomaly detection, Spam Zombies and Email Viruses Detection.

Лечится дело удалением и добавлением в SCE проблемного сабскрайбера, через самописный SM. У абонентов с серыми IP-адресами такого замечено не было.

 

Вывод show party name <uid12345> в момент проблемы и после её лечения, практически не отличаются. Исключение составляет только P_MibSubCounters16 и P_MibSubCounters32.

 

Сталкивался кто-нибудь с подобным?

Share this post


Link to post
Share on other sites

А по просьбе друдящихся для 3.8.5 могли бы сделать?

 

Там собирать-то особо нечего.

Качаешь SCE Java API нужной версии, распаковываешь.

В отдельную папку копируешь мой исходник, и три файла:

 

jce-jdk13-133.jar

jdmkrt.jar

serviceconfigapi.jar

 

там же еще текстовик добавляешь manifest.txt c одной сторокой:

 

Main-Class: UpdateBlacklists

 

# ll

total 13792

-rw-r--r-- 1 root root 1136282 Feb 24 09:56 jce-jdk13-133.jar

-rw-r--r-- 1 root root 775593 Feb 24 09:56 jdmkrt.jar

-rw-r--r-- 1 root root 12178963 Feb 24 09:56 serviceconfigapi.jar

-rw-r--r-- 1 root root 9708 Feb 24 09:54 UpdateBlacklists.java

-rw-r--r-- 1 root root 29 Feb 24 09:57 manifest.txt

 

компилируешь класс:

javac -cp serviceconfigapi.jar UpdateBlacklists.java

 

распаковываешь все jar файлы:

jar xf jce-jdk13-133.jar

jar xf jdmkrt.jar

jar xf serviceconfigapi.jar

 

удаляешь лишнее:

rm -rf jce-jdk13-133.jar jdmkrt.jar serviceconfigapi.jar META-INF/

 

и запаковываешь все вместе обратно:

 

jar cvfm updateblacklists.jar manifest.txt *

 

ЗЫ: Я яву вижу в первый раз так близко, быть может можно как-то и без переупаковывания классы в архив засунуть, но у меня не вышло.

Share this post


Link to post
Share on other sites

Не очень понятно, в чем собственно вопрос состоит.

При условии, что на входе трафик был уперт в какую-то полку, то ограничение p2p очевидно высвободило ресурс для

Других видов входящего трафика и они и заняли полосу.

В исходящем у вас нет ограничения сверху, поэтому при ограничении p2p роста других видов трафика не происходит.

 

Благодарю за ответ, разобрался уже.

Share this post


Link to post
Share on other sites

sce 2020, 4.1.0 и протокол-пак 44, клиенты.

 

периодически ip-адреса имеющихся в списке "нормальных" подписчиков попадают в пакет N/A.

периодичность - может 15 минут не попадать. может по 20 срабатываний редиректа за секунду (подписчику "N/A" сделан редирект на страницу-заглушку).

пока заметил это за двумя клиентами, у обоих на адресах, на которых получается срабатывание, висят наты с достаточно большими подсетями за ними (трафик 50-100мбит).

один подписчик заведен как подсеть /26, второму выдан один ip (/32).

 

кто-нибудь встречался с таким? идеи, куда копать?

Share this post


Link to post
Share on other sites

Парни, подскажите, как для определенной подсети внутри дать доступ только к определенному списку УРЛ, а остальной траффик блокировать? При этом остальные должны работать ка к обычно. Сабскрайбер менеджер использовать не хочется.

Нужно сделать "детские учетки", я их буду НАТить с указаного диапазона адресов.

 

Собсно флейвор как сделать понятно.

Непонятно как в полиси задать соурс IP. Через зоны? Вроде зоны это адреса снаружи, нет?

Edited by ShyLion

Share this post


Link to post
Share on other sites

Парни, подскажите, как для определенной подсети внутри дать доступ только к определенному списку УРЛ, а остальной траффик блокировать? При этом остальные должны работать ка к обычно. Сабскрайбер менеджер использовать не хочется.

Нужно сделать "детские учетки", я их буду НАТить с указаного диапазона адресов.

 

Собсно флейвор как сделать понятно.

Непонятно как в полиси задать соурс IP. Через зоны? Вроде зоны это адреса снаружи, нет?

Используйте SM или ручками импорт сабскрайберов.

Share this post


Link to post
Share on other sites

Господа, может кто подскажет, по какой причине у меня SCE е редиректит русские урлы?

 

для примера такой

 

http://dutch-[cut].nl/ru/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-%D0%B8-%D1%80%D0%B0%D0%B7%D0%B2%D0%B8%D1%82%D0%B8%D0%B5/%D0%9D%D0%BE%D0%B2%D0%B8%D1%87%D0%BE%D0%BA%E2%80%93%D1%81%D0%B0%D0%B4%D0%BE%D0%B2%D0%BD%D0%B8%D0%BA-%D0%92%D1%8B%D1%80%D0%B0%D1%89%D0%B8%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B2-%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D0%BE%D0%BC-%D0%B3%D1%80%D1%83%D0%BD%D1%82%D0%B5-%D0%BB%D0%B5%D0%B3%D0%BA%D0%BE/

 

Насколько знаю я не один с такой проблемой...

Share this post


Link to post
Share on other sites

Парни, подскажите, как для определенной подсети внутри дать доступ только к определенному списку УРЛ, а остальной траффик блокировать? При этом остальные должны работать ка к обычно. Сабскрайбер менеджер использовать не хочется.

Нужно сделать "детские учетки", я их буду НАТить с указаного диапазона адресов.

 

Собсно флейвор как сделать понятно.

Непонятно как в полиси задать соурс IP. Через зоны? Вроде зоны это адреса снаружи, нет?

Используйте SM или ручками импорт сабскрайберов.

 

Говорю же, не хочу SM. Нашел некие анонимные группы, там можно задавать диапазон IP, плюс есть дефолтная группа 0.0.0.0/0

Кто нибудь знает как привязать политики?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this