[Serhio Go]

Наверное, я тормоз, но никак не могу понять, как в таком случае избежать маршрутной петли.

Квагга анонсит more specific, транспорт кидает пакет серверу; тот, к примеру, решает, что ничего в пакете трогать не надо и отдает его обратно в транспорт; транспорт получает пакет от сервера и по идее должен снова вернуть его серверу согласно таблице роутинга.

Петля, не?

Или на серверном SVI висит роут-мап?

 

Остальное более или менее понятно.

БОРДЕР

|

| ------- прокси

|

НАС

 

прокси шлёт анонсы насу. После фильтрации пропускает их через себя в сторону бордера. нахрена слать их обратно насу?)

Нету у меня общего сегмента с NAS, сервер терминируется в L3-агрегатор, NAS'ы вообще отдельно пасутся.

Да понял я уже.

У меня изначально сервер одноногий, on-a-stick.

Нужен просто второй интерфейс. Или простенький PBR на серверном SVI с next-hop в сторону бордера.

 

Но вот затея с фильтрацией в userspace что-то нравится все меньше. Нидайбох влетит ютуб, или, что хуже, вконтакт - и наш DPI аяк талды. Да и TCP hijack как-то не совсем понятен. Про keep-alive уже упомянули. А есть еще websocket...

[Wingman]

Так-то да, какие нагрузки там будут через месяц и через полгода - неизвестно

Поэтому ковыряться я ковыряюсь, но сцешка скоро на тест приедет =) А вот её как раз будем использовать в связке с анонсированием нужных адресов, что позволит обойтись относительно дешёвой sce2020

[Soltik]

небольшие траблы с загрузкой на sce

Error - Internal error, Input concatenated Key String are not valid: absurdopedia.wikia.com:/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE:%D0%A1%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B8%D1%82%D1%8C_%D1%81%D1%83%D0%B8%D1%86%D0%B8%D0%B4:*:*

 

кто как борется?

А можно уточнить, в какое место SCE ты это вписываешь?

[Stak]

SCE-шку, как и любой другой DPI , на ассиметричный трафик не повесить. Значит, даунлинк придётся гнать через неё. И про лимит в 100к записей не забываем....

[alks]

небольшие траблы с загрузкой на sce

Error - Internal error, Input concatenated Key String are not valid: absurdopedia.wikia.com:/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE:%D0%A1%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B8%D1%82%D1%8C_%D1%81%D1%83%D0%B8%D1%86%D0%B8%D0%B4:*:*

 

кто как борется?

А можно уточнить, в какое место SCE ты это вписываешь?

 

 

http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel36x/blacklist/URL_DB_QSG2.html

 

 

conf t

int l 0

sce-url-database import cleartext-file "ftp://1.1.1.1" flavor-id 80

ну и в флаворах создать новый http flavor вообщем см доку

[Soltik]

Интересный метод, почитаю. Навскидку видно, что двоеточия тут разделители между префиксами хоста, путя, итд, а у тебя в пути двоеточие есть, получается полей на одно больше чем надо. замени его на %3A или на сущность &лалала; только для двоеточия я ее не знаю. Например в префиксе запроса когда перечисляются параметры, там надо сущность аперсенда втыкать:

t=615&f=175 меняешь на t=615&apm;f=175

 

Кстати, флавор - это не все. Через консоль SCABB вначале надо создать свой флавор в разделе флаворы/HTTP URL (и именно в него дописывать урлы), потом для пакета отдельный сервис на основе этого флавора, а потом в самом пакете выделить этот сервис и его банить или редиректить.

 

А что касается добавления флаворов, я делаю по-другому. Есть тулзы для командной строки sca-bb-util, я ими сливаю файл config.pqb, это заархивированный xml, в него дописываю нужные строки и заливаю обратно.

 

либрусек ушел из реестра..

[Дятел]

мне кажется - через FTP правильнее, тоже так делаем.

[alks]

Дятел вы для редиректа что используете subcriber clicks, any, browse new site?

[max1976]

Интересный метод, почитаю. Навскидку видно, что двоеточия тут разделители между префиксами хоста, путя, итд, а у тебя в пути двоеточие есть, получается полей на одно больше чем надо. замени его на %3A или на сущность &лалала; только для двоеточия я ее не знаю. Например в префиксе запроса когда перечисляются параметры, там надо сущность аперсенда втыкать:

t=615&f=175 меняешь на t=615&apm;f=175

Если заменить : на %3A, то ссылка из реестра будет открываться. Надо экранировать символом \, тогда работает как надо.

[trv7111]

Я накидал, на питоне, надо?

Мне тоже можно скинуть?

[ohfsgcscft]

SCE-шку, как и любой другой DPI , на ассиметричный трафик не повесить. Значит, даунлинк придётся гнать через неё. И про лимит в 100к записей не забываем....

Кстати не торопитесь пока покупать, лучше позже когда появятся методики обхода и в новых моделях производитель может это учтет.

[snvoronkov]

Я накидал, на питоне, надо?

Мне тоже можно скинуть?

 

Собственно, он уже отправил.

 

Еще есть реализация от tawer на perl

[snvoronkov]

Это у меня глюки, или действительно вот уже 22 часа никаких изменений в реестре?

 

/ скриптик для блокировки IP хотел поотлаживать, а изменений не видать...

[Дятел]

Дятел вы для редиректа что используете subcriber clicks, any, browse new site?

any

[Serhio Go]

Вопрос обладателям SCE2020.

У нее порты в channel-group собираются?

[Skylaer]

SCE-шку, как и любой другой DPI , на ассиметричный трафик не повесить. Значит, даунлинк придётся гнать через неё. И про лимит в 100к записей не забываем....

Все элементарно - как только есть попадание пакета в исходящем, добавляете адрес источника в АЦЛ заворачивающую часть входящего :)

[Дятел]

Интересный метод, почитаю. Навскидку видно, что двоеточия тут разделители между префиксами хоста, путя, итд, а у тебя в пути двоеточие есть, получается полей на одно больше чем надо. замени его на %3A или на сущность &лалала; только для двоеточия я ее не знаю. Например в префиксе запроса когда перечисляются параметры, там надо сущность аперсенда втыкать:

t=615&f=175 меняешь на t=615&apm;f=175

Если заменить : на %3A, то ссылка из реестра будет открываться. Надо экранировать символом \, тогда работает как надо.

 

у моих не получается (((

[Soltik]

Вопрос обладателям SCE2020.

У нее порты в channel-group собираются?

Мы через нее гоним Link Aggregation (который цискин, не помню как зовется правильно), суммарный трафик жует за милую душу.

[Soltik]

Интересный метод, почитаю. Навскидку видно, что двоеточия тут разделители между префиксами хоста, путя, итд, а у тебя в пути двоеточие есть, получается полей на одно больше чем надо. замени его на %3A или на сущность &лалала; только для двоеточия я ее не знаю. Например в префиксе запроса когда перечисляются параметры, там надо сущность аперсенда втыкать:

t=615&f=175 меняешь на t=615&apm;f=175

Если заменить : на %3A, то ссылка из реестра будет открываться. Надо экранировать символом \, тогда работает как надо.

 

у моих не получается (((

В config.pqb эта строка выглядит вот так:

<httpUrl hostSuffix="absurdopedia.wikia.com" uriPrefix="/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE:%D0%A1%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B8%D1%82%D1%8C_%D1%81%D1%83%D0%B8%D1%86%D0%B8%D0%B4*"/>

но тут запчасти урла разделены в отдельные переменные и заменять приходится только амперсанд вот так:

<httpUrl hostSuffix="pipetka.net" uriPrefix="/viewtopic-pipetkanet-x.php*" paramsPrefix="t=615&f=175*"/>

про амперсанд это точно, ибо я залил флавор через sca bb консоль, а потом качнул конфиг и смотрел как она его закодировала. Ди и глушит корректно.

 

Так что в фтпшном варианте предстоит искать правильное экранирование/кодирование. Если есть возможность через фтп экспортнуть данные, то надо нарисовать какой-нибудь мудреный флавор с кучей всяких зюкв через SCA BB Console, а потом слить его и смотреть как оно выглядит.

 

UPD.

Нарыл через show running-config-application :

lookup "-" o "absurdopedia.wikia.com:/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE\:%D0%A1%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B8%D1%82%D1%8C_%D1%81%D1%83%D0%B8%D1%86%D0%B8%D0%B4*:*:*" v "148"

Так что двоеточие экранировать "\:"

 

А еще сие значит, что флаворы можно дописывать прямо из CLI:

conf

interface LineCard 0

lookup ...

...

Изменено 15 ноября, 2012 пользователем Soltik

[GalVad]

<content id="47" includeTime="2012-11-05T00:19:48">
 <decision date="2012-11-01" number="1-РИ" org="Роскомнадзор"/>
 <url><![CDATA[http://www.gayzona.com/oral/4/2.html]]></url>
 <domain><![CDATA[gayzona.com]]></domain>
 <ip>212.7.193.13</ip>
</content>

 

Как это понимать?

[korvatsky]

Роскомнадзор рассылает провайдерам письма.

 

 

 

Изменено 15 ноября, 2012 пользователем korvatsky

[snvoronkov]

Как это понимать?

 

Инфа поменялась тут:

 

http://zapret-info.gov.ru/tooperators/

 

Перечень информации, предоставляемой в выгрузке из реестра

 

В случае принятия Уполномоченным органом решения о внесении в Реестр указателя страницы сайта

Для каждой реестровой записи выгружается указатель страницы сайта, доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет.

В случае принятия Уполномоченным органом решения о внесении в Реестр доменного имени

Для каждой реестровой записи выгружается доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет. Никакие указатели конкретных страниц сайтов не выгружаются.

[snvoronkov]

В случае принятия Уполномоченным органом решения о внесении в Реестр указателя страницы сайта

Для каждой реестровой записи выгружается указатель страницы сайта, доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет.

В случае принятия Уполномоченным органом решения о внесении в Реестр доменного имени

Для каждой реестровой записи выгружается доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет. Никакие указатели конкретных страниц сайтов не выгружаются.

 

Кстати, замечательное следствие:

 

ЕСЛИ заполнено поле <url>, TO блокировать нужно IP или конкретную страницу. Не весь домен.

[yegorov-p]

Если читать как if then elif, то да =)

[Sergey Gilfanov]

Вот вам еще вопрос: при внесении в реестр доменного имени + ip нужно ли блокировать smtp/dns/еще какие-нибудь сервисы, которые на том же сервере висят?