Jump to content
Калькуляторы

DPI СКАТ поделитесь опытом

15 минут назад, VolanD666 сказал:

А зачем у вас сервера то через фильтр ходят?

 

Или вы в смысле что клиенты страдают?

Такая архитектура. :-( Единственное разумное место помещения в разрыв.

 

Ну, и клиенты тоже. Особенно понравился бан ubnt. "Никаких значимых сервисов", ага. ДБ (С) Лавров.

Share this post


Link to post
Share on other sites

К ч0рному списку надо сразу белый делать :)

[и сразу добавить туда ip апстримов]

Share this post


Link to post
Share on other sites

Да, кстати: СКАТ не блочит 2ip.ru [178.63.151.224] который в бане 178.63.0.0/16

 

Хотя по Отчётам Ревизора пропусков нету или <1%

 

Share this post


Link to post
Share on other sites
2 часа назад, VolanD666 сказал:

А зачем у вас сервера то через фильтр ходят?

Ну например СКАТ просто тупо на аплинке.

Share this post


Link to post
Share on other sites

Думается ревизор и не проверяет блокировку этих сетей.

Share this post


Link to post
Share on other sites
12 минут назад, Urs_ak сказал:

Да, кстати: СКАТ не блочит 2ip.ru

Обновите СКАТ, начнет блокировать подсети.

Мы решили пока не обновляться.

Share this post


Link to post
Share on other sites
10 минут назад, alibek сказал:

Обновите СКАТ, начнет блокировать подсети.

Мы решили пока не обновляться.

Так я тоже не хочу на выходные это ставить :)

 

Кстати коллега спрашивает - на СКАТе ОЗУ не закончится, заблокировать 20 млн. IP ?

Кто-нибудь может прокомментировать этот момент?

И не будет ли деградации по скорости обработки?

Share this post


Link to post
Share on other sites

Там ведь эти адреса не поштучно перечисляются, а в подсетях сидят.

Да и даже 20 миллионов адресов — это всего лишь 80 МБ ОЗУ.

Нагрузки я не вижу, но мы железо с запасом брали, на будущий апгрейд.

Share this post


Link to post
Share on other sites
31 минуту назад, alibek сказал:

Обновите СКАТ, начнет блокировать подсети.

Мы решили пока не обновляться.

а с чего он должен блочить 2ip.ru ?

Share this post


Link to post
Share on other sites
1 минуту назад, Mechanic сказал:

а с чего он должен блочить 2ip.ru ?

В реестре есть 178.63.0.0/16.

2ip.ru у некоторых ресолвится в 178.63.151.224.

В этом случае он должен блокироваться.

Share this post


Link to post
Share on other sites

ясно, у меня открывается на других ip

 

А как решается вопрос со стоп страницей на предмет вставки идентификатора блокировки ?

И вообще, как сво стоп- страницу настроить , что-то не нашел в вики.

Share this post


Link to post
Share on other sites
36 минут назад, alibek сказал:

Обновите СКАТ, начнет блокировать подсети.

Мы решили пока не обновляться.

Это где такое?

 

У мну - 7.5. И нового не предлагает (специально "yum clean all" сделал). Блокировки сетей - только через отдельный пакет.

Share this post


Link to post
Share on other sites

На предыдущей странице написано.

Не сам СКАТ обновляется, а к нему утилита, чтобы блокировать по подсетям.

Нужно установить пакет blacksubnets и настроить запуск скрипта в кроне.

Я это имел ввиду.

Я так понимаю, что СКАТ архитектурно блокировать подсетями не умеет, только индивидуальные адреса, а разработчики не решились в облако добавлять адреса для больших подсетей.

Share this post


Link to post
Share on other sites
1 минуту назад, alibek сказал:

На предыдущей странице написано.

Не сам СКАТ обновляется, а к нему утилита, чтобы блокировать по подсетям.

Нужно установить пакет blacksubnets и настроить запуск скрипта в кроне.

Я так понимаю, что СКАТ архитектурно блокировать подсетями не умеет, только индивидуальные адреса, а разработчики не решились в облако добавлять адреса для больших подсетей.

Мня. Ну жык я-же и отзыв там написал. :-) Работает как доктор прописал. Ничего обновлять не надо.

 

Не понравилось? Выключается. Легко: "/usr/libexec/blacksubnets.sh stop"

Share this post


Link to post
Share on other sites
2 минуты назад, snvoronkov сказал:

Работает как доктор прописал.

Верю. Но пока не буду спешить.

К тому же не думаю, что для таких подсетей Ревизор сможет оформить материалы для пропуска.

Share this post


Link to post
Share on other sites

У Карбоновцев были какие-то траблы :

Цитата

 

Но 16 апреля с единичными проблемами столкнулись несколько интернет-провайдеров. Оборудование перестало справляться с нагрузкой после того как Роскомнадзором были добавлены крупные подсети. В результате неправильной интеграции с маршрутизаторами 2 млн IP-адресов стали добавляться по 1 штуке в правила фильтрации вместо подсетей, что привело к зависанию серверов.

 

С помощью системы мониторинга техническая поддержка Carbon Soft выявила тех интернет-провайдеров, у кого ещё могут возникнуть проблемы из-за ошибок в скриптах интеграции. 68-ми провайдерам было отправлено оповещение с просьбой обратить внимание на работу маршрутизаторов.


 

https://www.carbonsoft.ru/фильтрация-telegram/

Share this post


Link to post
Share on other sites

С Карбоном изначально было ясно, что архитектура у них халтурная.

Правда то, что в СКАТ-е не предусмотрели работу с подсетями, для меня неприятным сюрпризом оказалось. Вроде бы технических сложностей особых тут нет.

Надеюсь, что они костыли с отдельным скриптом уберут и переработают движок.

 

17 минут назад, Urs_ak сказал:

В результате неправильной интеграции с маршрутизаторами 2 млн IP-адресов стали добавляться по 1 штуке в правила фильтрации вместо подсетей

Ага, а теперь давайте добавлять большими подсетями и думать, как метрики "перебить".

Смешные.

Share this post


Link to post
Share on other sites
13 минут назад, alibek сказал:

Правда то, что в СКАТ-е не предусмотрели работу с подсетями, для меня неприятным сюрпризом оказалось. Вроде бы технических сложностей особых тут нет.

Надеюсь, что они костыли с отдельным скриптом уберут и переработают движок.

У нас ребята пробовали реализовать что то типа Скат.

Я их не смог убедить что подсети нужно в отдельную таблицу засовывать и они остановились только на трёх таблицах - URL, домены и IP адреса, а подсети сбрасывали в таблицу IP. Типа последовательный поиск в двух таблицах у них получался более накладным. 

Share this post


Link to post
Share on other sites

Там даже не таблица, а дерево должно быть.

Share this post


Link to post
Share on other sites
29 минут назад, NikAlexAn сказал:

Типа последовательный поиск в двух таблицах у них получался более накладным.

Отдельная таблица действительно не нужна, только таблица должна быть не IP, а NET.

Отдельные адреса сохраняются с маской /32.

При правильной организации (дерево) поиск достаточно эффективный.

Share this post


Link to post
Share on other sites

ну по сути это mtree должно быть как в CEF, только т.к. нам не надо заголовки переписывать, а значит и adv таблица не нужна. изи

Share this post


Link to post
Share on other sites

А ничё что в случае таблицы IP поиск на полное совпадение а в случае сетей ещё и маску проверять?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now