Jump to content
Калькуляторы

Невиновность ISP или типа DPI малой кровью

Reply to this topic

Serhio Go   

Serhio Go
Posted

Коллеги, всем доброе время суток.

На волне бушующих в соседней палате страстей возникла идея связки Catalyst3560E + WCCPv2 + Squid в транспарент-режиме в качестве частного решения DPI для блокировки урлов вида http://youtube.com/blablabla или http://vk.com/shkololo . Загоняем в аксесс-лист WCCP IP фронтендов трубки /вконтакта (их не так много), а уже на сквиде пишем лист для редиректа на сайт прокуратуры. Я правильно понимаю, что входящий траф с трубко пойдет мимо сквида? Если да, то траф через сквид получится небольшой, и проблема решается сравнительно малой кровью.

Понятно, что против https оно бессильно, это пока оставим за скобками.

 

Покритикуйте плз.

Share this post

Link to post
Share on other sites

st_re   

st_re
Posted

У вконтакта есть (как минимум была пол года назад) фича.. Если меняется IP в процессе перехода от фронтенда к серверу отдающему тяжелый контент, то 404.. е.г. я хожу по вконтактику, тычу мышем... нажимаю на ссылку и она мне отдается только если это была сссылка с вконтакта (хреф) и я пришел с того же IP с которого тыкался по ссылкам. (эт я творил безобразие в обратную сторону в плане закешировать тяжелый контент. у меня сам трафик к вконтакту шел мимо кешелки, а в кешелку завернулись запросы к кино.. пока не сделал одинаковый IP не работало)

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted

Заплатите авторам за допил nginx до понимания WCCPv2, и будет ещё сильно лучше, сквид как то не серьёзно работает, ИМХО, для продакшена.

Аксес листы я держу в map, получается быстро, но у меня для личного использования.

Share this post

Link to post
Share on other sites

Serhio Go   

Serhio Go
Posted

У вконтакта есть (как минимум была пол года назад) фича.. Если меняется IP в процессе перехода от фронтенда к серверу отдающему тяжелый контент, то 404.. е.г. я хожу по вконтактику, тычу мышем... нажимаю на ссылку и она мне отдается только если это была сссылка с вконтакта (хреф) и я пришел с того же IP с которого тыкался по ссылкам. (эт я творил безобразие в обратную сторону в плане закешировать тяжелый контент. у меня сам трафик к вконтакту шел мимо кешелки, а в кешелку завернулись запросы к кино.. пока не сделал одинаковый IP не работало)

Так, насколько я понял идеологию решения, при транспаренте фокус как раз в том, что srcIP остается неизменным.

Share this post

Link to post
Share on other sites

Alex/AT   

Alex/AT
Posted
У вконтакта есть (как минимум была пол года назад) фича..

Дома два оператора, NAT, балансировка. Подтверждаю - фича имеется. На динамике, к счастью, не проявляется - а вот статика (CDN'ка, видимо) - видео, музыка - глючит.

Share this post

Link to post
Share on other sites

snark   

snark
Posted

Catalyst + Cisco-вская прокся

Каталист подойдет наверное любой L3, т.к. даже в стареньком 3550 есть WCCP + возможность сохранения IP адреса проксируемого, т.е. адрес не подменяется адресом прокси. На кеше обязательно наличие ACNS софта.

Share this post

Link to post
Share on other sites

st_re   

st_re
Posted

 

Так, насколько я понял идеологию решения, при транспаренте фокус как раз в том, что srcIP остается неизменным.

 

Я предупредил, чтобы были в курсе.. :) понятно, что все решаемо.

Share this post

Link to post
Share on other sites

Serhio Go   

Serhio Go
Posted (edited)

Есть достаточно подробные статьи, как скрещивать кошек с кальмарами в транспаренте. Ну, что с CCE будет работать - оно понятно, для того и делали.

Каталист подойдет наверное любой L3

А вот и нет. 4900М не умеет, печаль.

 

Ладно, с понедельника начну эксперименты.

Результаты ищите среди новостей о временных блокировках трубко там-сям :)

Edited by Serhio Go

Share this post

Link to post
Share on other sites

Дегтярев Илья   

Дегтярев Илья
Posted

Зачем вам вообще WCCPv2 и прокся?

 

PBR нужного исходящего на линуховый тазик, на нем l7filter по нужным словам, прошедшее дальше роутить обратно наинтерфейс без pbr.

Share this post

Link to post
Share on other sites

snark   

snark
Posted

скрещивать кошек с кальмарами в транспаренте

Конечно можно плодить мулов, но лучше разводить скакунов, IMHO.

То о чем я писал в сквиде реализуется только с помощью tproxy, AFAIR.

 

4900М не умеет

На его скоростях это ... э-э-э ... мягко говоря, проблематично, Вы не находите?

В прочем, см. в тексте слово "наверное" ;)

 

линуховый тазик, на нем l7filter

strings еще почему-то вспомнился на ночь глядя.

Share this post

Link to post
Share on other sites

Serhio Go   

Serhio Go
Posted

скрещивать кошек с кальмарами в транспаренте

Конечно можно плодить мулов, но лучше разводить скакунов, IMHO.

То о чем я писал в сквиде реализуется только с помощью tproxy, AFAIR.

Вероятно, я не точно выразил первоначальную идею. Под сквидом в транспарент моде имелась в виду как раз его связка с tproxy.

4900М не умеет

На его скоростях это ... э-э-э ... мягко говоря, проблематично, Вы не находите?

Ну, 4500E умеет, и скорости не мешают. Тут скорее дело в общей урезанности М-ки по сравнению с 45й платформой.

В-общем, не суть, 3560E умеет, мне этого пока хватит.

В прочем, см. в тексте слово "наверное" ;)

Да видел я ;)

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...