Jump to content
Калькуляторы

Cisco 6500 port-forwarding завернуть трафик zapret-info на proxy

Собственно размышления на тему zapret-info

Это возможно?

Поделитесь, пожалуйста реализацией.

Share this post


Link to post
Share on other sites

Это возможно?

Встречный вопрос - как Вы себе это представляете?

Расширенный match есть вроде только на sup 32 PISA, а у всех остальных WCCP.

Share this post


Link to post
Share on other sites

а по какому-нибудь acl нельзя в wccp трафик кинуть?

Share this post


Link to post
Share on other sites

Можно, но в ACL указываются IP, а не FQDN, т.е. это не так удобно, как хотелось бы.

 

 

Кстати, можно попробовать схему:

6500 -> WCCP <-> websense

Т.е. работать будет примерно так:

  1. Кошколист шлет трафик на проксю c помощью WCCP.
  2. Прокся лезет в websense за списком не кошерных URL (демон, реализующий websense гуглится).
  3. Если URL разрешен - трафик пропускается, если нет - делаете с ним что-то, в зависмости от прокси.
    WCCP прокся может тупо пропускать трафик не кешируя его, т.е. тупо используется как резалка URL.

Share this post


Link to post
Share on other sites

каталист 6500 может только завернуть http на отдельную железку (либо с помощью WCCP, либо с помощью PBR). А вот что за железку вы там будете юзать...... кто то юзает SCE2020, мы пытаемся прикрутить tproxy......

Думаю рано или поздно для Cat. 6500 выйдет модуль с функционалом SCE2020, но стоить он скорее всего будет заоблачных денег.

Edited by biox

Share this post


Link to post
Share on other sites

cat 6500 скорее сниму с поддержке чем будут для него модули новые разрабатывать

Share this post


Link to post
Share on other sites

Тут уже было предложение, анонсите с вашего прокситаза ip из запрет списка любым динамическим протоколом.

Share this post


Link to post
Share on other sites

Тут уже было предложение, анонсите с вашего прокситаза ip из запрет списка любым динамическим протоколом.

Засада в том, что 6500 у нас бордером => от прокси трафик на эти ресурсы должен пойти снова через 6500

соответственно вариант с динамикой, насколько я понимаю, отпадает

Share this post


Link to post
Share on other sites

6500 у нас бордером

Вам и предлагают анонсить ему по BGP ненужные адреса в null/адрес со страничкой/ХЗ.

Share this post


Link to post
Share on other sites

Вам и предлагают анонсить ему по BGP ненужные адреса в null/адрес со страничкой/ХЗ.

Речь шла не о полной блокировке по IP, а о перенаправлении трафика, у которого DST IP из списка zapret-info на очистку в сторону прокси.

Подразумевается, что легитимный трафик со стороны прокси должен беспрепятственно уходить в интернет через ту же c6500.

 

Или достаточно будет повесить PBR на трафик, приходящий с интерфейса, к которому подключен прокси - в сторону одного из апстримов?

PBR перебьет проанонсированный со стороны прокси BGP-анонс с /32 префиксами и трафик побежит.

Эта схема будет работать?

Edited by Andy52280

Share this post


Link to post
Share on other sites

Речь шла не о полной блокировке по IP, а о перенаправлении трафика, у которого DST IP из списка zapret-info

Что мешает для таких адресов nexthop-ом быть адресу сервера с nginx-ом со страничкой "сюда низя!"?

Share this post


Link to post
Share on other sites

Что мешает для таких адресов nexthop-ом быть адресу сервера с nginx-ом со страничкой "сюда низя!"?

Нужна именно фильтрация - если в реестре будет IP крупного портала, то "низя" должны получать только запросы на определенный url.

Остальной трафик должен вернуться на тот же 6500 и уже побежать в сторону интернета, а не снова в сторону прокси

Share this post


Link to post
Share on other sites

Хотите именно URL - выбор не велик - это либо websense, либо SCE (standalone ну или + тот же самый websense).

Share this post


Link to post
Share on other sites

Хотите именно URL - выбор не велик - это либо websense, либо SCE (standalone ну или + тот же самый websense).

Как фильтровать понятно - непонятно как с наименьшей нагрузкой на c6500 перенести трафик с DST_IP из реестра в сторону прокси (как там прозрачно отпроксировать с фильтрацией в общих чертах понятно), далее принять трафик от прокси и отправить его в интернет.

Вот собственно именно в части, касающейся c6500 и есть некоторые сомнения.

Share this post


Link to post
Share on other sites

непонятно как с наименьшей нагрузкой на c6500 перенести трафик с DST_IP из реестра в сторону прокси

Может таки почитать про WCCP и увидеть как оно взаимодействует с ACL?

Share this post


Link to post
Share on other sites

Или достаточно будет повесить PBR на трафик, приходящий с интерфейса, к которому подключен прокси...

Достаточно, все заработает. Тем более что трафика там будет немного.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this