[yegorov-p]

Вот вам еще вопрос: при внесении в реестр доменного имени + ip нужно ли блокировать smtp/dns/еще какие-нибудь сервисы, которые на том же сервере висят?

Если вы баните по IP, то вы неминуемо их забаните. Или вы не об этом?

[snvoronkov]

Вот вам еще вопрос: при внесении в реестр доменного имени + ip нужно ли блокировать smtp/dns/еще какие-нибудь сервисы, которые на том же сервере висят?

 

Суда по конференции http://www.rsoc.ru/press/conference/conf8.htm при блокировке домена нужно или заблокировать по IP, или DNS-ресолвинг.

 

Хотя, мутно тут все...

 

Если читать как if then elif, то да =)

 

А там второго if не предусмотрено: или все три поля (url, domain, ip), или два (domain, ip).

[Sergey Gilfanov]

Если вы баните по IP, то вы неминуемо их забаните. Или вы не об этом?

Это понятно. Имеется в виду: закон, кажется, говорит только о блокировании сайтов/страниц (ну те то, что через браузер люди видят). А все остальные сервисы блокировка затрагивать не должна.

[snvoronkov]

Это понятно. Имеется в виду: закон, кажется, говорит только о блокировании сайтов/страниц (ну те то, что через браузер люди видят). А все остальные сервисы блокировка затрагивать не должна.

 

http://www.cp-site.com:110/porn.html

 

:-)

[ohfsgcscft]

Самое забавное, админ не сможет зайти в админку и удалить страничку, если заблокировать по IP. И админ сервера обломается с ssh, красота-ляпота.

[alks]

to Soltik что-то мне не нравится идея редактировать pqb, перекосит еще и получите нерабочий конфиг

помимо этого когда вы apply conf SCE переходит на байпас и траф летит необработанный а у меня sce работает в subscriber mode

чем ваc не устраивает просто подтягивать файл с url и матчить в flavor?

в SCA BB в флавоер вы не увидите списка url, его можно посмотреть в cli

SCE8000#show int l 0 sce-url-database all-entries

1. fast-die.sdfgsdfg:/index.php:*:* 80

2. www.shram.sdfgsdfg:/fun/ganja.shtml:*:* 80

3. weesdfgsdfg.be:*:*:* 80

4. sdfgsdfgher.me:/:*:* 80

и т.д.

Изменено 16 ноября, 2012 пользователем alks

[Serhio Go]

Вопрос обладателям SCE2020.

У нее порты в channel-group собираются?

Мы через нее гоним Link Aggregation (который цискин, не помню как зовется правильно), суммарный трафик жует за милую душу.

То есть просто etherchannel на внешнем оборудовании с обеих сторон, а на самой SCE ничего специально не настраиваете?

[yegorov-p]

А там второго if не предусмотрено: или все три поля (url, domain, ip), или два (domain, ip).

xsd-схема предусматривает еще (url, ip)

[Sergey Gilfanov]

Добавим еще плохой сценарий. Сколько времени пройдет до того момента, когда обиженный владелец

ресурса наймет бот сеть и положит системы фильтрации 'небольшим входящим' трафиком на заблокированные IP?

[snvoronkov]

xsd-схема предусматривает еще (url, ip)

 

Но пояснялка на сайте - не предусматривает. Как и варианты с одним полем, и (url, domain).

 

Только (url, domain, ip) & (domain, ip).

 

Upd: Ух, РКН сам себя загнал в прокрустово ложе XSD-схемы, где нет ни CIDR, ни RE для URL...

 

P.S.: В выгрузке ВСЕ записи с триплетом. Т.е. у кого есть DPI, то можно блокировать только по одной страничке.

Изменено 16 ноября, 2012 пользователем snvoronkov

[Soltik]

Вопрос обладателям SCE2020.

У нее порты в channel-group собираются?

Мы через нее гоним Link Aggregation (который цискин, не помню как зовется правильно), суммарный трафик жует за милую душу.

То есть просто etherchannel на внешнем оборудовании с обеих сторон, а на самой SCE ничего специально не настраиваете?

Во-во etherchannel, он самый. Ничего не надо, она сама трафик из двух ног собирает в нормальный симметричный.

[snvoronkov]

Во-во etherchannel, он самый. Ничего не надо, она сама трафик из двух ног собирает в нормальный симметричный.

 

Ничего он не собирает. Он одно соединение и так по одному плечу сольет из-за принципа балансировки.

 

Traffic in an EtherChannel is distributed across the individual bundled links in a deterministic fashion; however, the load is not necessarily balanced equally across all the links. Instead, frames are forwarded on a specific link as a result of a hashing algorithm. The algorithm can use source IP address, destination IP address, or a combination of source and destination IP addresses, source and destination MAC addresses, or TCP/UDP port numbers. The hash algorithm computes a binary pattern that selects a link number in the bundle to carry each frame.

[Soltik]

to Soltik что-то мне не нравится идея редактировать pqb, перекосит еще и получите нерабочий конфиг

помимо этого когда вы apply conf SCE переходит на байпас и траф летит необработанный а у меня sce работает в subscriber mode

чем ваc не устраивает просто подтягивать файл с url и матчить в flavor?

в SCA BB в флавоер вы не увидите списка url, его можно посмотреть в cli

SCE8000#show int l 0 sce-url-database all-entries

1. fast-die.sdfgsdfg:/index.php:*:* 80

2. www.shram.sdfgsdfg:/fun/ganja.shtml:*:* 80

3. weesdfgsdfg.be:*:*:* 80

4. sdfgsdfgher.me:/:*:* 80

и т.д.

У меня тоже в сабскрайбер мод. Ну переходит она в байпас, а что поделать, в ближайшее время мне помимо урлов все равно кое-что придется там дописывать, так что в моем случае уж лучше из одного места рулить, чем из нескольких. Хотя, конечно, отдельный от конфига список это и быстрее и безопаснее.

Да и вообще, ничего не мешает вытащить в сервис два разных флавора - и обычный, и CLIшный, и заполнять отдельно по необходимости.

 

А что касается списка флаворов - так это не виден тот, который сформирован через sce-url-database и вынесен в специальный флавор. Это ведь как раз-таки альтернатива стандартному методу, чтобы типа оператор SCA BB Console не видел блеклиста, сформированного другим оператором. А обычные флаворы видны.

[Soltik]

Во-во etherchannel, он самый. Ничего не надо, она сама трафик из двух ног собирает в нормальный симметричный.

 

Ничего он не собирает. Он одно соединение и так по одному плечу сольет из-за принципа балансировки.

 

Traffic in an EtherChannel is distributed across the individual bundled links in a deterministic fashion; however, the load is not necessarily balanced equally across all the links. Instead, frames are forwarded on a specific link as a result of a hashing algorithm. The algorithm can use source IP address, destination IP address, or a combination of source and destination IP addresses, source and destination MAC addresses, or TCP/UDP port numbers. The hash algorithm computes a binary pattern that selects a link number in the bundle to carry each frame.

Я ошибся, у нас не etherchannel, а цискин Bundle interface, котроый, впрочем, тоже по LACP работает.

И пусть даже балансировка не всегда по ip, в цитате как раз написано, что это могут быть еще и порты, и маки. Маки принадлежат уж точно не клиентам, а роутерам, между которыми стоит SCE.

А ежели балансирует по портам, то трафик одного клиента будет лететь в разных ногах. Но в любом случае каждый flow будет целым, а остальное (каунтеры по трафику, юзерам, сервисам, итд) SCE прекрасно соберет в кучу из не то что отдельных линков, а даже из разных платформ, если их стоит несколько, а езерченел состоит штук из восьми линков. Это у них MGSCP (Multigigabit Service Control Platform) называется.

Так что хоть так, хоть этак - бояться нечего.

[alebedev]

Здравствуйте.

Схема фильтрации с помощью iptables работоспособна и фактически бесплатна.

 

Например, блокируем www.youtube.com/watch?v=tznl1K0rLKA

iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "Host: www.youtube.com" -j CONNMARK --set-mark 1

iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "GET /watch?v=tznl1K0rLKA HTTP" -m connmark --mark 1 -j REJECT

 

Комментарии, возражения и советы приветствуются.

[GateKeeper]

Здравствуйте.

Схема фильтрации с помощью iptables работоспособна и фактически бесплатна.

 

Например, блокируем www.youtube.com/watch?v=tznl1K0rLKA

iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "Host: www.youtube.com" -j CONNMARK --set-mark 1

iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "GET /watch?v=tznl1K0rLKA HTTP" -m connmark --mark 1 -j REJECT

 

Комментарии, возражения и советы приветствуются.

ab натрави. Ну и "-A OUTPUT"

[alebedev]

ab натрави. Ну и "-A OUTPUT"

Прошу расшифровать

[karpa13a]

Прошу расшифровать

это с локальной тачки а не форвард)

[alebedev]

это с локальной тачки а не форвард)

Это понятно. Тестировалось локально. Каждый использует, как ему будет удобнее.

 

Основные вопросы:

1. В чем минусы подобной реализации?

2. Удовлетворяет ли такая реализация потребности?

3. Стоит ли использовать дорогие платные тех.решения, если можно сделать бесплатно указанным способом?

[MaksMMS]

наверное если оператор небольшой, то можно и так

но лучше не режект, а редиректить на какую-нибудь заглушку со страшными словами и ссылочкой на реестр

[Sergey Gilfanov]

Ну, меня, как абонента, совершенно не устраивает, что не будет нормальной таблички "заблокировано по занесению в реестр".

[GateKeeper]

Основные вопросы:

1. В чем минусы подобной реализации?

2. Удовлетворяет ли такая реализация потребности?

3. Стоит ли использовать дорогие платные тех.решения, если можно сделать бесплатно указанным способом?

На все три вопроса даст ответ результат работы утилиты ab (apache benchmark). Правда, для этого еще каку-никакую инфраструктуру поднять придется + набить файрвол хотя бы сотней правил (по текущему состоянию реестра).

[AlKov]

Здравствуйте.

Схема фильтрации с помощью iptables работоспособна и фактически бесплатна.

 

Например, блокируем www.youtube.com/watch?v=tznl1K0rLKA

iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "Host: www.youtube.com" -j CONNMARK --set-mark 1

iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "GET /watch?v=tznl1K0rLKA HTTP" -m connmark --mark 1 -j REJECT

 

Комментарии, возражения и советы приветствуются.

1. Невозможно реализовать

Ну, меня, как абонента, совершенно не устраивает, что не будет нормальной таблички "заблокировано по занесению в реестр".

что приведет к массе вопросов от хомячков. Причем вопрос на 99% будет такой - "а почему у меня не работает Интернет?".

 

2. Попробуйте зайти на запрещённый ресурс из всеми любимой "Оперы" с включённой кнопочкой "турбо". Почти уверен, что результат будет положительный.

Вывод - мёртвому припарка, т.к. по моим наблюдениям, "оперой" пользуется каждый второй... Собственно, аналогично "мёртвый" и вариант с iptables+squid+squidGuard.

Это проверял лично - опера обходит такую "затычку" на раз-два. Обходит даже заблокированные по IP домены..

[Serhio Go]

Во-во etherchannel, он самый. Ничего не надо, она сама трафик из двух ног собирает в нормальный симметричный.

 

Ничего он не собирает. Он одно соединение и так по одному плечу сольет из-за принципа балансировки.

 

Traffic in an EtherChannel is distributed across the individual bundled links in a deterministic fashion; however, the load is not necessarily balanced equally across all the links. Instead, frames are forwarded on a specific link as a result of a hashing algorithm. The algorithm can use source IP address, destination IP address, or a combination of source and destination IP addresses, source and destination MAC addresses, or TCP/UDP port numbers. The hash algorithm computes a binary pattern that selects a link number in the bundle to carry each frame.

Я ошибся, у нас не etherchannel, а цискин Bundle interface, котроый, впрочем, тоже по LACP работает.

И пусть даже балансировка не всегда по ip, в цитате как раз написано, что это могут быть еще и порты, и маки. Маки принадлежат уж точно не клиентам, а роутерам, между которыми стоит SCE.

А ежели балансирует по портам, то трафик одного клиента будет лететь в разных ногах. Но в любом случае каждый flow будет целым, а остальное (каунтеры по трафику, юзерам, сервисам, итд) SCE прекрасно соберет в кучу из не то что отдельных линков, а даже из разных платформ, если их стоит несколько, а езерченел состоит штук из восьми линков. Это у них MGSCP (Multigigabit Service Control Platform) называется.

Так что хоть так, хоть этак - бояться нечего.

Спасибо, учту.

[rps]

# Вот есть же специализированные средства для разбора XML в файлики по вкусу, хоть сразу конфиг формируй

xmlstarlet sel -T -t -m "reg:register/content" -v "concat(ip,';',url)" -n dump.xml > dump.csv[/code]

Стоит поправить под возможность иметь вхождения в список с несколькими ip-адресами для одного урла. Так каждый ip будет отдельной строкой:

xmlstarlet sel -T -t -m "reg:register/content/ip" -v "concat(self::ip,';',parent::content/child::domain,';',parent::content/child::url)" -n dump.xml