Andy52280 Опубликовано 25 января, 2013 · Жалоба Собственно размышления на тему zapret-info Это возможно? Поделитесь, пожалуйста реализацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 25 января, 2013 · Жалоба Это возможно? Встречный вопрос - как Вы себе это представляете? Расширенный match есть вроде только на sup 32 PISA, а у всех остальных WCCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andy52280 Опубликовано 25 января, 2013 · Жалоба а по какому-нибудь acl нельзя в wccp трафик кинуть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 25 января, 2013 · Жалоба Можно, но в ACL указываются IP, а не FQDN, т.е. это не так удобно, как хотелось бы. Кстати, можно попробовать схему: 6500 -> WCCP <-> websense Т.е. работать будет примерно так: Кошколист шлет трафик на проксю c помощью WCCP. Прокся лезет в websense за списком не кошерных URL (демон, реализующий websense гуглится). Если URL разрешен - трафик пропускается, если нет - делаете с ним что-то, в зависмости от прокси.WCCP прокся может тупо пропускать трафик не кешируя его, т.е. тупо используется как резалка URL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 26 января, 2013 (изменено) · Жалоба каталист 6500 может только завернуть http на отдельную железку (либо с помощью WCCP, либо с помощью PBR). А вот что за железку вы там будете юзать...... кто то юзает SCE2020, мы пытаемся прикрутить tproxy...... Думаю рано или поздно для Cat. 6500 выйдет модуль с функционалом SCE2020, но стоить он скорее всего будет заоблачных денег. Изменено 26 января, 2013 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zaqwr Опубликовано 26 января, 2013 · Жалоба cat 6500 скорее сниму с поддержке чем будут для него модули новые разрабатывать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 26 января, 2013 · Жалоба Тут уже было предложение, анонсите с вашего прокситаза ip из запрет списка любым динамическим протоколом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andy52280 Опубликовано 27 января, 2013 · Жалоба Тут уже было предложение, анонсите с вашего прокситаза ip из запрет списка любым динамическим протоколом. Засада в том, что 6500 у нас бордером => от прокси трафик на эти ресурсы должен пойти снова через 6500 соответственно вариант с динамикой, насколько я понимаю, отпадает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 28 января, 2013 · Жалоба 6500 у нас бордером Вам и предлагают анонсить ему по BGP ненужные адреса в null/адрес со страничкой/ХЗ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andy52280 Опубликовано 28 января, 2013 (изменено) · Жалоба Вам и предлагают анонсить ему по BGP ненужные адреса в null/адрес со страничкой/ХЗ. Речь шла не о полной блокировке по IP, а о перенаправлении трафика, у которого DST IP из списка zapret-info на очистку в сторону прокси. Подразумевается, что легитимный трафик со стороны прокси должен беспрепятственно уходить в интернет через ту же c6500. Или достаточно будет повесить PBR на трафик, приходящий с интерфейса, к которому подключен прокси - в сторону одного из апстримов? PBR перебьет проанонсированный со стороны прокси BGP-анонс с /32 префиксами и трафик побежит. Эта схема будет работать? Изменено 28 января, 2013 пользователем Andy52280 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 28 января, 2013 · Жалоба Речь шла не о полной блокировке по IP, а о перенаправлении трафика, у которого DST IP из списка zapret-info Что мешает для таких адресов nexthop-ом быть адресу сервера с nginx-ом со страничкой "сюда низя!"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andy52280 Опубликовано 28 января, 2013 · Жалоба Что мешает для таких адресов nexthop-ом быть адресу сервера с nginx-ом со страничкой "сюда низя!"? Нужна именно фильтрация - если в реестре будет IP крупного портала, то "низя" должны получать только запросы на определенный url. Остальной трафик должен вернуться на тот же 6500 и уже побежать в сторону интернета, а не снова в сторону прокси Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 28 января, 2013 · Жалоба Хотите именно URL - выбор не велик - это либо websense, либо SCE (standalone ну или + тот же самый websense). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andy52280 Опубликовано 28 января, 2013 · Жалоба Хотите именно URL - выбор не велик - это либо websense, либо SCE (standalone ну или + тот же самый websense). Как фильтровать понятно - непонятно как с наименьшей нагрузкой на c6500 перенести трафик с DST_IP из реестра в сторону прокси (как там прозрачно отпроксировать с фильтрацией в общих чертах понятно), далее принять трафик от прокси и отправить его в интернет. Вот собственно именно в части, касающейся c6500 и есть некоторые сомнения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 28 января, 2013 · Жалоба непонятно как с наименьшей нагрузкой на c6500 перенести трафик с DST_IP из реестра в сторону прокси Может таки почитать про WCCP и увидеть как оно взаимодействует с ACL? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 28 января, 2013 · Жалоба Или достаточно будет повесить PBR на трафик, приходящий с интерфейса, к которому подключен прокси... Достаточно, все заработает. Тем более что трафика там будет немного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...