Перейти к содержимому
Калькуляторы

Cisco 6500 port-forwarding завернуть трафик zapret-info на proxy

Собственно размышления на тему zapret-info

Это возможно?

Поделитесь, пожалуйста реализацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это возможно?

Встречный вопрос - как Вы себе это представляете?

Расширенный match есть вроде только на sup 32 PISA, а у всех остальных WCCP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а по какому-нибудь acl нельзя в wccp трафик кинуть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно, но в ACL указываются IP, а не FQDN, т.е. это не так удобно, как хотелось бы.

 

 

Кстати, можно попробовать схему:

6500 -> WCCP <-> websense

Т.е. работать будет примерно так:

  1. Кошколист шлет трафик на проксю c помощью WCCP.
  2. Прокся лезет в websense за списком не кошерных URL (демон, реализующий websense гуглится).
  3. Если URL разрешен - трафик пропускается, если нет - делаете с ним что-то, в зависмости от прокси.
    WCCP прокся может тупо пропускать трафик не кешируя его, т.е. тупо используется как резалка URL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

каталист 6500 может только завернуть http на отдельную железку (либо с помощью WCCP, либо с помощью PBR). А вот что за железку вы там будете юзать...... кто то юзает SCE2020, мы пытаемся прикрутить tproxy......

Думаю рано или поздно для Cat. 6500 выйдет модуль с функционалом SCE2020, но стоить он скорее всего будет заоблачных денег.

Изменено пользователем biox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

cat 6500 скорее сниму с поддержке чем будут для него модули новые разрабатывать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут уже было предложение, анонсите с вашего прокситаза ip из запрет списка любым динамическим протоколом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут уже было предложение, анонсите с вашего прокситаза ip из запрет списка любым динамическим протоколом.

Засада в том, что 6500 у нас бордером => от прокси трафик на эти ресурсы должен пойти снова через 6500

соответственно вариант с динамикой, насколько я понимаю, отпадает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6500 у нас бордером

Вам и предлагают анонсить ему по BGP ненужные адреса в null/адрес со страничкой/ХЗ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам и предлагают анонсить ему по BGP ненужные адреса в null/адрес со страничкой/ХЗ.

Речь шла не о полной блокировке по IP, а о перенаправлении трафика, у которого DST IP из списка zapret-info на очистку в сторону прокси.

Подразумевается, что легитимный трафик со стороны прокси должен беспрепятственно уходить в интернет через ту же c6500.

 

Или достаточно будет повесить PBR на трафик, приходящий с интерфейса, к которому подключен прокси - в сторону одного из апстримов?

PBR перебьет проанонсированный со стороны прокси BGP-анонс с /32 префиксами и трафик побежит.

Эта схема будет работать?

Изменено пользователем Andy52280

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Речь шла не о полной блокировке по IP, а о перенаправлении трафика, у которого DST IP из списка zapret-info

Что мешает для таких адресов nexthop-ом быть адресу сервера с nginx-ом со страничкой "сюда низя!"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что мешает для таких адресов nexthop-ом быть адресу сервера с nginx-ом со страничкой "сюда низя!"?

Нужна именно фильтрация - если в реестре будет IP крупного портала, то "низя" должны получать только запросы на определенный url.

Остальной трафик должен вернуться на тот же 6500 и уже побежать в сторону интернета, а не снова в сторону прокси

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотите именно URL - выбор не велик - это либо websense, либо SCE (standalone ну или + тот же самый websense).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотите именно URL - выбор не велик - это либо websense, либо SCE (standalone ну или + тот же самый websense).

Как фильтровать понятно - непонятно как с наименьшей нагрузкой на c6500 перенести трафик с DST_IP из реестра в сторону прокси (как там прозрачно отпроксировать с фильтрацией в общих чертах понятно), далее принять трафик от прокси и отправить его в интернет.

Вот собственно именно в части, касающейся c6500 и есть некоторые сомнения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

непонятно как с наименьшей нагрузкой на c6500 перенести трафик с DST_IP из реестра в сторону прокси

Может таки почитать про WCCP и увидеть как оно взаимодействует с ACL?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Или достаточно будет повесить PBR на трафик, приходящий с интерфейса, к которому подключен прокси...

Достаточно, все заработает. Тем более что трафика там будет немного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.