Serhio Go Опубликовано 14 ноября, 2012 · Жалоба Наверное, я тормоз, но никак не могу понять, как в таком случае избежать маршрутной петли. Квагга анонсит more specific, транспорт кидает пакет серверу; тот, к примеру, решает, что ничего в пакете трогать не надо и отдает его обратно в транспорт; транспорт получает пакет от сервера и по идее должен снова вернуть его серверу согласно таблице роутинга. Петля, не? Или на серверном SVI висит роут-мап? Остальное более или менее понятно. БОРДЕР | | ------- прокси | НАС прокси шлёт анонсы насу. После фильтрации пропускает их через себя в сторону бордера. нахрена слать их обратно насу?) Нету у меня общего сегмента с NAS, сервер терминируется в L3-агрегатор, NAS'ы вообще отдельно пасутся. Да понял я уже. У меня изначально сервер одноногий, on-a-stick. Нужен просто второй интерфейс. Или простенький PBR на серверном SVI с next-hop в сторону бордера. Но вот затея с фильтрацией в userspace что-то нравится все меньше. Нидайбох влетит ютуб, или, что хуже, вконтакт - и наш DPI аяк талды. Да и TCP hijack как-то не совсем понятен. Про keep-alive уже упомянули. А есть еще websocket... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 14 ноября, 2012 · Жалоба Так-то да, какие нагрузки там будут через месяц и через полгода - неизвестно Поэтому ковыряться я ковыряюсь, но сцешка скоро на тест приедет =) А вот её как раз будем использовать в связке с анонсированием нужных адресов, что позволит обойтись относительно дешёвой sce2020 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 14 ноября, 2012 · Жалоба небольшие траблы с загрузкой на sce Error - Internal error, Input concatenated Key String are not valid: absurdopedia.wikia.com:/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE:%D0%A1%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B8%D1%82%D1%8C_%D1%81%D1%83%D0%B8%D1%86%D0%B8%D0%B4:*:* кто как борется? А можно уточнить, в какое место SCE ты это вписываешь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 ноября, 2012 · Жалоба SCE-шку, как и любой другой DPI , на ассиметричный трафик не повесить. Значит, даунлинк придётся гнать через неё. И про лимит в 100к записей не забываем.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 15 ноября, 2012 · Жалоба небольшие траблы с загрузкой на sce Error - Internal error, Input concatenated Key String are not valid: absurdopedia.wikia.com:/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE:%D0%A1%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B8%D1%82%D1%8C_%D1%81%D1%83%D0%B8%D1%86%D0%B8%D0%B4:*:* кто как борется? А можно уточнить, в какое место SCE ты это вписываешь? http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel36x/blacklist/URL_DB_QSG2.html conf t int l 0 sce-url-database import cleartext-file "ftp://1.1.1.1" flavor-id 80 ну и в флаворах создать новый http flavor вообщем см доку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 15 ноября, 2012 · Жалоба Интересный метод, почитаю. Навскидку видно, что двоеточия тут разделители между префиксами хоста, путя, итд, а у тебя в пути двоеточие есть, получается полей на одно больше чем надо. замени его на %3A или на сущность &лалала; только для двоеточия я ее не знаю. Например в префиксе запроса когда перечисляются параметры, там надо сущность аперсенда втыкать: t=615&f=175 меняешь на t=615&apm;f=175 Кстати, флавор - это не все. Через консоль SCABB вначале надо создать свой флавор в разделе флаворы/HTTP URL (и именно в него дописывать урлы), потом для пакета отдельный сервис на основе этого флавора, а потом в самом пакете выделить этот сервис и его банить или редиректить. А что касается добавления флаворов, я делаю по-другому. Есть тулзы для командной строки sca-bb-util, я ими сливаю файл config.pqb, это заархивированный xml, в него дописываю нужные строки и заливаю обратно. либрусек ушел из реестра.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 15 ноября, 2012 · Жалоба мне кажется - через FTP правильнее, тоже так делаем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 15 ноября, 2012 · Жалоба Дятел вы для редиректа что используете subcriber clicks, any, browse new site? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 15 ноября, 2012 · Жалоба Интересный метод, почитаю. Навскидку видно, что двоеточия тут разделители между префиксами хоста, путя, итд, а у тебя в пути двоеточие есть, получается полей на одно больше чем надо. замени его на %3A или на сущность &лалала; только для двоеточия я ее не знаю. Например в префиксе запроса когда перечисляются параметры, там надо сущность аперсенда втыкать: t=615&f=175 меняешь на t=615&apm;f=175 Если заменить : на %3A, то ссылка из реестра будет открываться. Надо экранировать символом \, тогда работает как надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trv7111 Опубликовано 15 ноября, 2012 · Жалоба Я накидал, на питоне, надо? Мне тоже можно скинуть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ohfsgcscft Опубликовано 15 ноября, 2012 · Жалоба SCE-шку, как и любой другой DPI , на ассиметричный трафик не повесить. Значит, даунлинк придётся гнать через неё. И про лимит в 100к записей не забываем.... Кстати не торопитесь пока покупать, лучше позже когда появятся методики обхода и в новых моделях производитель может это учтет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 15 ноября, 2012 · Жалоба Я накидал, на питоне, надо? Мне тоже можно скинуть? Собственно, он уже отправил. Еще есть реализация от tawer на perl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 15 ноября, 2012 · Жалоба Это у меня глюки, или действительно вот уже 22 часа никаких изменений в реестре? / скриптик для блокировки IP хотел поотлаживать, а изменений не видать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 15 ноября, 2012 · Жалоба Дятел вы для редиректа что используете subcriber clicks, any, browse new site? any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 15 ноября, 2012 · Жалоба Вопрос обладателям SCE2020. У нее порты в channel-group собираются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 15 ноября, 2012 · Жалоба SCE-шку, как и любой другой DPI , на ассиметричный трафик не повесить. Значит, даунлинк придётся гнать через неё. И про лимит в 100к записей не забываем.... Все элементарно - как только есть попадание пакета в исходящем, добавляете адрес источника в АЦЛ заворачивающую часть входящего :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 15 ноября, 2012 · Жалоба Интересный метод, почитаю. Навскидку видно, что двоеточия тут разделители между префиксами хоста, путя, итд, а у тебя в пути двоеточие есть, получается полей на одно больше чем надо. замени его на %3A или на сущность &лалала; только для двоеточия я ее не знаю. Например в префиксе запроса когда перечисляются параметры, там надо сущность аперсенда втыкать: t=615&f=175 меняешь на t=615&apm;f=175 Если заменить : на %3A, то ссылка из реестра будет открываться. Надо экранировать символом \, тогда работает как надо. у моих не получается ((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 15 ноября, 2012 · Жалоба Вопрос обладателям SCE2020. У нее порты в channel-group собираются? Мы через нее гоним Link Aggregation (который цискин, не помню как зовется правильно), суммарный трафик жует за милую душу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 15 ноября, 2012 (изменено) · Жалоба Интересный метод, почитаю. Навскидку видно, что двоеточия тут разделители между префиксами хоста, путя, итд, а у тебя в пути двоеточие есть, получается полей на одно больше чем надо. замени его на %3A или на сущность &лалала; только для двоеточия я ее не знаю. Например в префиксе запроса когда перечисляются параметры, там надо сущность аперсенда втыкать: t=615&f=175 меняешь на t=615&apm;f=175 Если заменить : на %3A, то ссылка из реестра будет открываться. Надо экранировать символом \, тогда работает как надо. у моих не получается ((( В config.pqb эта строка выглядит вот так: <httpUrl hostSuffix="absurdopedia.wikia.com" uriPrefix="/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE:%D0%A1%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B8%D1%82%D1%8C_%D1%81%D1%83%D0%B8%D1%86%D0%B8%D0%B4*"/> но тут запчасти урла разделены в отдельные переменные и заменять приходится только амперсанд вот так: <httpUrl hostSuffix="pipetka.net" uriPrefix="/viewtopic-pipetkanet-x.php*" paramsPrefix="t=615&f=175*"/> про амперсанд это точно, ибо я залил флавор через sca bb консоль, а потом качнул конфиг и смотрел как она его закодировала. Ди и глушит корректно. Так что в фтпшном варианте предстоит искать правильное экранирование/кодирование. Если есть возможность через фтп экспортнуть данные, то надо нарисовать какой-нибудь мудреный флавор с кучей всяких зюкв через SCA BB Console, а потом слить его и смотреть как оно выглядит. UPD. Нарыл через show running-config-application : lookup "-" o "absurdopedia.wikia.com:/wiki/%D0%9A%D0%B0%D0%BA_%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D0%BE\:%D0%A1%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B8%D1%82%D1%8C_%D1%81%D1%83%D0%B8%D1%86%D0%B8%D0%B4*:*:*" v "148" Так что двоеточие экранировать "\:" А еще сие значит, что флаворы можно дописывать прямо из CLI: conf interface LineCard 0 lookup ... ... Изменено 15 ноября, 2012 пользователем Soltik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GalVad Опубликовано 15 ноября, 2012 · Жалоба <content id="47" includeTime="2012-11-05T00:19:48"> <decision date="2012-11-01" number="1-РИ" org="Роскомнадзор"/> <url><![CDATA[http://www.gayzona.com/oral/4/2.html]]></url> <domain><![CDATA[gayzona.com]]></domain> <ip>212.7.193.13</ip> </content> Как это понимать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korvatsky Опубликовано 15 ноября, 2012 (изменено) · Жалоба Роскомнадзор рассылает провайдерам письма. Изменено 15 ноября, 2012 пользователем korvatsky Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 ноября, 2012 · Жалоба Как это понимать? Инфа поменялась тут: http://zapret-info.gov.ru/tooperators/ Перечень информации, предоставляемой в выгрузке из реестра В случае принятия Уполномоченным органом решения о внесении в Реестр указателя страницы сайта Для каждой реестровой записи выгружается указатель страницы сайта, доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет. В случае принятия Уполномоченным органом решения о внесении в Реестр доменного имени Для каждой реестровой записи выгружается доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет. Никакие указатели конкретных страниц сайтов не выгружаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 ноября, 2012 · Жалоба В случае принятия Уполномоченным органом решения о внесении в Реестр указателя страницы сайта Для каждой реестровой записи выгружается указатель страницы сайта, доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет. В случае принятия Уполномоченным органом решения о внесении в Реестр доменного имени Для каждой реестровой записи выгружается доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет. Никакие указатели конкретных страниц сайтов не выгружаются. Кстати, замечательное следствие: ЕСЛИ заполнено поле <url>, TO блокировать нужно IP или конкретную страницу. Не весь домен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 16 ноября, 2012 · Жалоба Если читать как if then elif, то да =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 ноября, 2012 · Жалоба Вот вам еще вопрос: при внесении в реестр доменного имени + ip нужно ли блокировать smtp/dns/еще какие-нибудь сервисы, которые на том же сервере висят? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...