yegorov-p Опубликовано 16 ноября, 2012 · Жалоба Вот вам еще вопрос: при внесении в реестр доменного имени + ip нужно ли блокировать smtp/dns/еще какие-нибудь сервисы, которые на том же сервере висят? Если вы баните по IP, то вы неминуемо их забаните. Или вы не об этом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 ноября, 2012 · Жалоба Вот вам еще вопрос: при внесении в реестр доменного имени + ip нужно ли блокировать smtp/dns/еще какие-нибудь сервисы, которые на том же сервере висят? Суда по конференции http://www.rsoc.ru/press/conference/conf8.htm при блокировке домена нужно или заблокировать по IP, или DNS-ресолвинг. Хотя, мутно тут все... Если читать как if then elif, то да =) А там второго if не предусмотрено: или все три поля (url, domain, ip), или два (domain, ip). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 ноября, 2012 · Жалоба Если вы баните по IP, то вы неминуемо их забаните. Или вы не об этом? Это понятно. Имеется в виду: закон, кажется, говорит только о блокировании сайтов/страниц (ну те то, что через браузер люди видят). А все остальные сервисы блокировка затрагивать не должна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 ноября, 2012 · Жалоба Это понятно. Имеется в виду: закон, кажется, говорит только о блокировании сайтов/страниц (ну те то, что через браузер люди видят). А все остальные сервисы блокировка затрагивать не должна. http://www.cp-site.com:110/porn.html :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ohfsgcscft Опубликовано 16 ноября, 2012 · Жалоба Самое забавное, админ не сможет зайти в админку и удалить страничку, если заблокировать по IP. И админ сервера обломается с ssh, красота-ляпота. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 16 ноября, 2012 (изменено) · Жалоба to Soltik что-то мне не нравится идея редактировать pqb, перекосит еще и получите нерабочий конфиг помимо этого когда вы apply conf SCE переходит на байпас и траф летит необработанный а у меня sce работает в subscriber mode чем ваc не устраивает просто подтягивать файл с url и матчить в flavor? в SCA BB в флавоер вы не увидите списка url, его можно посмотреть в cli SCE8000#show int l 0 sce-url-database all-entries 1. fast-die.sdfgsdfg:/index.php:*:* 80 2. www.shram.sdfgsdfg:/fun/ganja.shtml:*:* 80 3. weesdfgsdfg.be:*:*:* 80 4. sdfgsdfgher.me:/:*:* 80 и т.д. Изменено 16 ноября, 2012 пользователем alks Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 16 ноября, 2012 · Жалоба Вопрос обладателям SCE2020. У нее порты в channel-group собираются? Мы через нее гоним Link Aggregation (который цискин, не помню как зовется правильно), суммарный трафик жует за милую душу. То есть просто etherchannel на внешнем оборудовании с обеих сторон, а на самой SCE ничего специально не настраиваете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 16 ноября, 2012 · Жалоба А там второго if не предусмотрено: или все три поля (url, domain, ip), или два (domain, ip). xsd-схема предусматривает еще (url, ip) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 ноября, 2012 · Жалоба Добавим еще плохой сценарий. Сколько времени пройдет до того момента, когда обиженный владелец ресурса наймет бот сеть и положит системы фильтрации 'небольшим входящим' трафиком на заблокированные IP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 ноября, 2012 (изменено) · Жалоба xsd-схема предусматривает еще (url, ip) Но пояснялка на сайте - не предусматривает. Как и варианты с одним полем, и (url, domain). Только (url, domain, ip) & (domain, ip). Upd: Ух, РКН сам себя загнал в прокрустово ложе XSD-схемы, где нет ни CIDR, ни RE для URL... P.S.: В выгрузке ВСЕ записи с триплетом. Т.е. у кого есть DPI, то можно блокировать только по одной страничке. Изменено 16 ноября, 2012 пользователем snvoronkov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 16 ноября, 2012 · Жалоба Вопрос обладателям SCE2020. У нее порты в channel-group собираются? Мы через нее гоним Link Aggregation (который цискин, не помню как зовется правильно), суммарный трафик жует за милую душу. То есть просто etherchannel на внешнем оборудовании с обеих сторон, а на самой SCE ничего специально не настраиваете? Во-во etherchannel, он самый. Ничего не надо, она сама трафик из двух ног собирает в нормальный симметричный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 ноября, 2012 · Жалоба Во-во etherchannel, он самый. Ничего не надо, она сама трафик из двух ног собирает в нормальный симметричный. Ничего он не собирает. Он одно соединение и так по одному плечу сольет из-за принципа балансировки. Traffic in an EtherChannel is distributed across the individual bundled links in a deterministic fashion; however, the load is not necessarily balanced equally across all the links. Instead, frames are forwarded on a specific link as a result of a hashing algorithm. The algorithm can use source IP address, destination IP address, or a combination of source and destination IP addresses, source and destination MAC addresses, or TCP/UDP port numbers. The hash algorithm computes a binary pattern that selects a link number in the bundle to carry each frame. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 16 ноября, 2012 · Жалоба to Soltik что-то мне не нравится идея редактировать pqb, перекосит еще и получите нерабочий конфиг помимо этого когда вы apply conf SCE переходит на байпас и траф летит необработанный а у меня sce работает в subscriber mode чем ваc не устраивает просто подтягивать файл с url и матчить в flavor? в SCA BB в флавоер вы не увидите списка url, его можно посмотреть в cli SCE8000#show int l 0 sce-url-database all-entries 1. fast-die.sdfgsdfg:/index.php:*:* 80 2. www.shram.sdfgsdfg:/fun/ganja.shtml:*:* 80 3. weesdfgsdfg.be:*:*:* 80 4. sdfgsdfgher.me:/:*:* 80 и т.д. У меня тоже в сабскрайбер мод. Ну переходит она в байпас, а что поделать, в ближайшее время мне помимо урлов все равно кое-что придется там дописывать, так что в моем случае уж лучше из одного места рулить, чем из нескольких. Хотя, конечно, отдельный от конфига список это и быстрее и безопаснее. Да и вообще, ничего не мешает вытащить в сервис два разных флавора - и обычный, и CLIшный, и заполнять отдельно по необходимости. А что касается списка флаворов - так это не виден тот, который сформирован через sce-url-database и вынесен в специальный флавор. Это ведь как раз-таки альтернатива стандартному методу, чтобы типа оператор SCA BB Console не видел блеклиста, сформированного другим оператором. А обычные флаворы видны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 16 ноября, 2012 · Жалоба Во-во etherchannel, он самый. Ничего не надо, она сама трафик из двух ног собирает в нормальный симметричный. Ничего он не собирает. Он одно соединение и так по одному плечу сольет из-за принципа балансировки. Traffic in an EtherChannel is distributed across the individual bundled links in a deterministic fashion; however, the load is not necessarily balanced equally across all the links. Instead, frames are forwarded on a specific link as a result of a hashing algorithm. The algorithm can use source IP address, destination IP address, or a combination of source and destination IP addresses, source and destination MAC addresses, or TCP/UDP port numbers. The hash algorithm computes a binary pattern that selects a link number in the bundle to carry each frame. Я ошибся, у нас не etherchannel, а цискин Bundle interface, котроый, впрочем, тоже по LACP работает. И пусть даже балансировка не всегда по ip, в цитате как раз написано, что это могут быть еще и порты, и маки. Маки принадлежат уж точно не клиентам, а роутерам, между которыми стоит SCE. А ежели балансирует по портам, то трафик одного клиента будет лететь в разных ногах. Но в любом случае каждый flow будет целым, а остальное (каунтеры по трафику, юзерам, сервисам, итд) SCE прекрасно соберет в кучу из не то что отдельных линков, а даже из разных платформ, если их стоит несколько, а езерченел состоит штук из восьми линков. Это у них MGSCP (Multigigabit Service Control Platform) называется. Так что хоть так, хоть этак - бояться нечего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alebedev Опубликовано 16 ноября, 2012 · Жалоба Здравствуйте. Схема фильтрации с помощью iptables работоспособна и фактически бесплатна. Например, блокируем www.youtube.com/watch?v=tznl1K0rLKA iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "Host: www.youtube.com" -j CONNMARK --set-mark 1 iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "GET /watch?v=tznl1K0rLKA HTTP" -m connmark --mark 1 -j REJECT Комментарии, возражения и советы приветствуются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 16 ноября, 2012 · Жалоба Здравствуйте. Схема фильтрации с помощью iptables работоспособна и фактически бесплатна. Например, блокируем www.youtube.com/watch?v=tznl1K0rLKA iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "Host: www.youtube.com" -j CONNMARK --set-mark 1 iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "GET /watch?v=tznl1K0rLKA HTTP" -m connmark --mark 1 -j REJECT Комментарии, возражения и советы приветствуются. ab натрави. Ну и "-A OUTPUT" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alebedev Опубликовано 16 ноября, 2012 · Жалоба ab натрави. Ну и "-A OUTPUT" Прошу расшифровать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 16 ноября, 2012 · Жалоба Прошу расшифровать это с локальной тачки а не форвард) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alebedev Опубликовано 16 ноября, 2012 · Жалоба это с локальной тачки а не форвард) Это понятно. Тестировалось локально. Каждый использует, как ему будет удобнее. Основные вопросы: 1. В чем минусы подобной реализации? 2. Удовлетворяет ли такая реализация потребности? 3. Стоит ли использовать дорогие платные тех.решения, если можно сделать бесплатно указанным способом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaksMMS Опубликовано 16 ноября, 2012 · Жалоба наверное если оператор небольшой, то можно и так но лучше не режект, а редиректить на какую-нибудь заглушку со страшными словами и ссылочкой на реестр Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 16 ноября, 2012 · Жалоба Ну, меня, как абонента, совершенно не устраивает, что не будет нормальной таблички "заблокировано по занесению в реестр". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 16 ноября, 2012 · Жалоба Основные вопросы: 1. В чем минусы подобной реализации? 2. Удовлетворяет ли такая реализация потребности? 3. Стоит ли использовать дорогие платные тех.решения, если можно сделать бесплатно указанным способом? На все три вопроса даст ответ результат работы утилиты ab (apache benchmark). Правда, для этого еще каку-никакую инфраструктуру поднять придется + набить файрвол хотя бы сотней правил (по текущему состоянию реестра). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 16 ноября, 2012 · Жалоба Здравствуйте. Схема фильтрации с помощью iptables работоспособна и фактически бесплатна. Например, блокируем www.youtube.com/watch?v=tznl1K0rLKA iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "Host: www.youtube.com" -j CONNMARK --set-mark 1 iptables -A OUTPUT --protocol tcp --dport 80 --match string --algo bm --string "GET /watch?v=tznl1K0rLKA HTTP" -m connmark --mark 1 -j REJECT Комментарии, возражения и советы приветствуются. 1. Невозможно реализовать Ну, меня, как абонента, совершенно не устраивает, что не будет нормальной таблички "заблокировано по занесению в реестр". что приведет к массе вопросов от хомячков. Причем вопрос на 99% будет такой - "а почему у меня не работает Интернет?". 2. Попробуйте зайти на запрещённый ресурс из всеми любимой "Оперы" с включённой кнопочкой "турбо". Почти уверен, что результат будет положительный. Вывод - мёртвому припарка, т.к. по моим наблюдениям, "оперой" пользуется каждый второй... Собственно, аналогично "мёртвый" и вариант с iptables+squid+squidGuard. Это проверял лично - опера обходит такую "затычку" на раз-два. Обходит даже заблокированные по IP домены.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 16 ноября, 2012 · Жалоба Во-во etherchannel, он самый. Ничего не надо, она сама трафик из двух ног собирает в нормальный симметричный. Ничего он не собирает. Он одно соединение и так по одному плечу сольет из-за принципа балансировки. Traffic in an EtherChannel is distributed across the individual bundled links in a deterministic fashion; however, the load is not necessarily balanced equally across all the links. Instead, frames are forwarded on a specific link as a result of a hashing algorithm. The algorithm can use source IP address, destination IP address, or a combination of source and destination IP addresses, source and destination MAC addresses, or TCP/UDP port numbers. The hash algorithm computes a binary pattern that selects a link number in the bundle to carry each frame. Я ошибся, у нас не etherchannel, а цискин Bundle interface, котроый, впрочем, тоже по LACP работает. И пусть даже балансировка не всегда по ip, в цитате как раз написано, что это могут быть еще и порты, и маки. Маки принадлежат уж точно не клиентам, а роутерам, между которыми стоит SCE. А ежели балансирует по портам, то трафик одного клиента будет лететь в разных ногах. Но в любом случае каждый flow будет целым, а остальное (каунтеры по трафику, юзерам, сервисам, итд) SCE прекрасно соберет в кучу из не то что отдельных линков, а даже из разных платформ, если их стоит несколько, а езерченел состоит штук из восьми линков. Это у них MGSCP (Multigigabit Service Control Platform) называется. Так что хоть так, хоть этак - бояться нечего. Спасибо, учту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rps Опубликовано 16 ноября, 2012 · Жалоба # Вот есть же специализированные средства для разбора XML в файлики по вкусу, хоть сразу конфиг формируй xmlstarlet sel -T -t -m "reg:register/content" -v "concat(ip,';',url)" -n dump.xml > dump.csv[/code] Стоит поправить под возможность иметь вхождения в список с несколькими ip-адресами для одного урла. Так каждый ip будет отдельной строкой: xmlstarlet sel -T -t -m "reg:register/content/ip" -v "concat(self::ip,';',parent::content/child::domain,';',parent::content/child::url)" -n dump.xml Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...