Jump to content

Невиновность ISP

Serhio Go
 Share

Recommended Posts

Serhio Go

Serhio Go

Posted
Posted

Коллеги, всем доброе время суток.

На волне бушующих в соседней палате страстей возникла идея связки Catalyst3560E + WCCPv2 + Squid в транспарент-режиме в качестве частного решения DPI для блокировки урлов вида http://youtube.com/blablabla или http://vk.com/shkololo . Загоняем в аксесс-лист WCCP IP фронтендов трубки /вконтакта (их не так много), а уже на сквиде пишем лист для редиректа на сайт прокуратуры. Я правильно понимаю, что входящий траф с трубко пойдет мимо сквида? Если да, то траф через сквид получится небольшой, и проблема решается сравнительно малой кровью.

Понятно, что против https оно бессильно, это пока оставим за скобками.

 

Покритикуйте плз.

st_re

st_re

Posted
Posted

У вконтакта есть (как минимум была пол года назад) фича.. Если меняется IP в процессе перехода от фронтенда к серверу отдающему тяжелый контент, то 404.. е.г. я хожу по вконтактику, тычу мышем... нажимаю на ссылку и она мне отдается только если это была сссылка с вконтакта (хреф) и я пришел с того же IP с которого тыкался по ссылкам. (эт я творил безобразие в обратную сторону в плане закешировать тяжелый контент. у меня сам трафик к вконтакту шел мимо кешелки, а в кешелку завернулись запросы к кино.. пока не сделал одинаковый IP не работало)

Ivan_83

Ivan_83

Posted
Posted

Заплатите авторам за допил nginx до понимания WCCPv2, и будет ещё сильно лучше, сквид как то не серьёзно работает, ИМХО, для продакшена.

Аксес листы я держу в map, получается быстро, но у меня для личного использования.

Serhio Go

Serhio Go

Posted
  • Author
Posted

У вконтакта есть (как минимум была пол года назад) фича.. Если меняется IP в процессе перехода от фронтенда к серверу отдающему тяжелый контент, то 404.. е.г. я хожу по вконтактику, тычу мышем... нажимаю на ссылку и она мне отдается только если это была сссылка с вконтакта (хреф) и я пришел с того же IP с которого тыкался по ссылкам. (эт я творил безобразие в обратную сторону в плане закешировать тяжелый контент. у меня сам трафик к вконтакту шел мимо кешелки, а в кешелку завернулись запросы к кино.. пока не сделал одинаковый IP не работало)

Так, насколько я понял идеологию решения, при транспаренте фокус как раз в том, что srcIP остается неизменным.

Alex/AT

Alex/AT

Posted
Posted
У вконтакта есть (как минимум была пол года назад) фича..

Дома два оператора, NAT, балансировка. Подтверждаю - фича имеется. На динамике, к счастью, не проявляется - а вот статика (CDN'ка, видимо) - видео, музыка - глючит.

snark

snark

Posted
Posted

Catalyst + Cisco-вская прокся

Каталист подойдет наверное любой L3, т.к. даже в стареньком 3550 есть WCCP + возможность сохранения IP адреса проксируемого, т.е. адрес не подменяется адресом прокси. На кеше обязательно наличие ACNS софта.

st_re

st_re

Posted
Posted

 

Так, насколько я понял идеологию решения, при транспаренте фокус как раз в том, что srcIP остается неизменным.

 

Я предупредил, чтобы были в курсе.. :) понятно, что все решаемо.

Serhio Go

Serhio Go

Posted
  • Author
Posted (edited)

Есть достаточно подробные статьи, как скрещивать кошек с кальмарами в транспаренте. Ну, что с CCE будет работать - оно понятно, для того и делали.

Каталист подойдет наверное любой L3

А вот и нет. 4900М не умеет, печаль.

 

Ладно, с понедельника начну эксперименты.

Результаты ищите среди новостей о временных блокировках трубко там-сям :)

Edited by Serhio Go
snark

snark

Posted
Posted

скрещивать кошек с кальмарами в транспаренте

Конечно можно плодить мулов, но лучше разводить скакунов, IMHO.

То о чем я писал в сквиде реализуется только с помощью tproxy, AFAIR.

 

4900М не умеет

На его скоростях это ... э-э-э ... мягко говоря, проблематично, Вы не находите?

В прочем, см. в тексте слово "наверное" ;)

 

линуховый тазик, на нем l7filter

strings еще почему-то вспомнился на ночь глядя.

Serhio Go

Serhio Go

Posted
  • Author
Posted

скрещивать кошек с кальмарами в транспаренте

Конечно можно плодить мулов, но лучше разводить скакунов, IMHO.

То о чем я писал в сквиде реализуется только с помощью tproxy, AFAIR.

Вероятно, я не точно выразил первоначальную идею. Под сквидом в транспарент моде имелась в виду как раз его связка с tproxy.

4900М не умеет

На его скоростях это ... э-э-э ... мягко говоря, проблематично, Вы не находите?

Ну, 4500E умеет, и скорости не мешают. Тут скорее дело в общей урезанности М-ки по сравнению с 45й платформой.

В-общем, не суть, 3560E умеет, мне этого пока хватит.

В прочем, см. в тексте слово "наверное" ;)

Да видел я ;)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.