Cisco 6500 port-forwarding

[Andy52280]

Собственно размышления на тему zapret-info

Это возможно?

Поделитесь, пожалуйста реализацией.

[snark]

Это возможно?

Встречный вопрос - как Вы себе это представляете?

Расширенный match есть вроде только на sup 32 PISA, а у всех остальных WCCP.

[Andy52280]

а по какому-нибудь acl нельзя в wccp трафик кинуть?

[snark]

Можно, но в ACL указываются IP, а не FQDN, т.е. это не так удобно, как хотелось бы.

 

 

Кстати, можно попробовать схему:

6500 -> WCCP <-> websense

Т.е. работать будет примерно так:

1. Кошколист шлет трафик на проксю c помощью WCCP.
   
2. Прокся лезет в websense за списком не кошерных URL (демон, реализующий websense гуглится).
   
3. Если URL разрешен - трафик пропускается, если нет - делаете с ним что-то, в зависмости от прокси.
   WCCP прокся может тупо пропускать трафик не кешируя его, т.е. тупо используется как резалка URL.
   

[biox]

каталист 6500 может только завернуть http на отдельную железку (либо с помощью WCCP, либо с помощью PBR). А вот что за железку вы там будете юзать...... кто то юзает SCE2020, мы пытаемся прикрутить tproxy......

Думаю рано или поздно для Cat. 6500 выйдет модуль с функционалом SCE2020, но стоить он скорее всего будет заоблачных денег.

Edited January 26, 2013 by biox

[Zaqwr]

cat 6500 скорее сниму с поддержке чем будут для него модули новые разрабатывать

[dsk]

Тут уже было предложение, анонсите с вашего прокситаза ip из запрет списка любым динамическим протоколом.

[Andy52280]

Тут уже было предложение, анонсите с вашего прокситаза ip из запрет списка любым динамическим протоколом.

Засада в том, что 6500 у нас бордером => от прокси трафик на эти ресурсы должен пойти снова через 6500

соответственно вариант с динамикой, насколько я понимаю, отпадает

[snark]

6500 у нас бордером

Вам и предлагают анонсить ему по BGP ненужные адреса в null/адрес со страничкой/ХЗ.

[Andy52280]

Вам и предлагают анонсить ему по BGP ненужные адреса в null/адрес со страничкой/ХЗ.

Речь шла не о полной блокировке по IP, а о перенаправлении трафика, у которого DST IP из списка zapret-info на очистку в сторону прокси.

Подразумевается, что легитимный трафик со стороны прокси должен беспрепятственно уходить в интернет через ту же c6500.

 

Или достаточно будет повесить PBR на трафик, приходящий с интерфейса, к которому подключен прокси - в сторону одного из апстримов?

PBR перебьет проанонсированный со стороны прокси BGP-анонс с /32 префиксами и трафик побежит.

Эта схема будет работать?

Edited January 28, 2013 by Andy52280

[snark]

Речь шла не о полной блокировке по IP, а о перенаправлении трафика, у которого DST IP из списка zapret-info

Что мешает для таких адресов nexthop-ом быть адресу сервера с nginx-ом со страничкой "сюда низя!"?

[Andy52280]

Что мешает для таких адресов nexthop-ом быть адресу сервера с nginx-ом со страничкой "сюда низя!"?

Нужна именно фильтрация - если в реестре будет IP крупного портала, то "низя" должны получать только запросы на определенный url.

Остальной трафик должен вернуться на тот же 6500 и уже побежать в сторону интернета, а не снова в сторону прокси

[snark]

Хотите именно URL - выбор не велик - это либо websense, либо SCE (standalone ну или + тот же самый websense).

[Andy52280]

Хотите именно URL - выбор не велик - это либо websense, либо SCE (standalone ну или + тот же самый websense).

Как фильтровать понятно - непонятно как с наименьшей нагрузкой на c6500 перенести трафик с DST_IP из реестра в сторону прокси (как там прозрачно отпроксировать с фильтрацией в общих чертах понятно), далее принять трафик от прокси и отправить его в интернет.

Вот собственно именно в части, касающейся c6500 и есть некоторые сомнения.

[snark]

непонятно как с наименьшей нагрузкой на c6500 перенести трафик с DST_IP из реестра в сторону прокси

Может таки почитать про WCCP и увидеть как оно взаимодействует с ACL?

[dsk]

Или достаточно будет повесить PBR на трафик, приходящий с интерфейса, к которому подключен прокси...

Достаточно, все заработает. Тем более что трафика там будет немного.