Jump to content

Cisco SCE захавала мозг помогите.

DruGoe_DeLo
 Share

Recommended Posts

DruGoe_DeLo

DruGoe_DeLo

Posted
Posted

И так я напишу что я сделал.

Поставил cisco sce 2020 в сеть методом inlink.

Собрал стенда мол стоит в разрыве между абонентом и интернетом. Красота.

Запилил типа блек листы мол на какие сайты не льзя ходить. Пилил вот по этому http://shop.nag.ru/article/poshagovaya-nastrojka-url-filtratsii-na-cisco-sce

А также и по другому мануалу http://forum.nag.ru/forum/index.php?showtopic=78575&view=findpost&p=753292

В общем в первом случаи ничаго не заработало

а во втором хоть и без картинок но вроде сделано правильно и вроде как даже результат есть

 

sh int li 0 sce-url-database all

1. *:*:*:* 208

2. *vk.com:*:*:* 208

 

Но вот гад всё равно везде ходит и лазиет.

Никаких CM или SM или ещё каких серверов я не поднимал. Никаких пользователей я не заливал. В общем вопрос. Что не так. Или чаго не хватает.

Очень прям нуждаюсь либо в объяснениях либо в помощи...

 

Или нужны какие доп настройки? (чую что нужны но какие)

n1k3

n1k3

Posted
Posted

Сабскрайбер это абонент. Пакет(Package) это что то вроде тарифа, где вы расписываете трафики их ограничения приоритеты и прочие сервисы типа блокировки урлов. Короче говоря тариф. Тариф должен быть назначен абоненту.. сабскрайберу. Но у вас нет SM.. стало быть и сабскрайберы у вас все по идее должны падать в дефолтный пакет(кажется). Тогда попробуйте этот сервис с блокировкой всунуть в дефолтный пакет.

DruGoe_DeLo

DruGoe_DeLo

Posted
  • Author
Posted

Вот кстати я тоже про это думал. И пакет вставлял в дефолтный. В контроле для этого пакета выбирал Block the flow

но результата никакого.

Может она не понимает какие нужно слушать порты.

но вроде

 

SCE2000#sh system operation-status

System Operation status is Operational

Port status is:

Link on management port #1 is down

Link on port #3 is down

Link on port #4 is down

никакого криминала нет да и ошибок не показало. также

 

show interface LineCard 0 subscriber all-names

There are 1 subscribers in the data-base:

N/A

 

О каких дефолтных сабскрайберов идёт речь я канечно хз...

Сейчас попробую впиндюрить правило в Unknown Subscriber Package мож так схавает.

vurd

vurd

Posted
Posted

Кошка точно в режиме инлайн? Не транспарент случаем? Это переключается из интерфейса управления, а не с консоли. То что она пише в консоль operational означает, что кошка в принципе работает.

У меня режутся урлы таким же образом, есть только одна проблема непонятная, попозже расскажу, но в целом все работает отлично.

Самих абонентов, как сущностей подписчиков, на ней у меня нет.

 

И еще, залейте туда какой-нибудь конкретный урл, а не целиком домен, проверьте на нем

DruGoe_DeLo

DruGoe_DeLo

Posted
  • Author
Posted (edited)

Эх не рпокатила фишка.

Но вот что она в inline вроде как при настройке я то нажимал

 

и sh run говорит что вроде бы всё ништяк

 

connection-mode inline on-failure bypass

no silent

no shutdown

 

Кошка точно в режиме инлайн? Не транспарент случаем? Это переключается из интерфейса управления, а не с консоли. То что она пише в консоль operational означает, что кошка в принципе работает.

У меня режутся урлы таким же образом, есть только одна проблема непонятная, попозже расскажу, но в целом все работает отлично.

Самих абонентов, как сущностей подписчиков, на ней у меня нет.

 

И еще, залейте туда какой-нибудь конкретный урл, а не целиком домен, проверьте на нем

 

урл я так понимаю например yandex.ru будет выглядить вот так? http://www.yandex.ru/

 

с полной url не прокатило

У меня встречный вопрос.

Когда создаём пакет в закладке classification что мы выбираем в пункте Initiating Side?

Edited by DruGoe_DeLo
vurd

vurd

Posted
Posted

Нене, именно в интерфейсе, там оно называется фулл функционал, както так. Задается в sca bb.

Урл я имею в виду vk.com/id434456, точный адрес страницы на сайте.

vurd

vurd

Posted
Posted

В общем я столкнулся с такой проблемой.

Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/*

Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется.

IlyaKirilkin

IlyaKirilkin

Posted
Posted

В общем я столкнулся с такой проблемой.

Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/*

Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется.

vk.com

Без звёздочек и слешей. Остальное железяка сама допишет.

vurd

vurd

Posted
Posted

Нет, конечно. Если есть конкретные урлы, то по ним. Если только хост, то уже по нему, просто недавно обнаружил, что у меня хосты не закрываются как должны.

Какой смысл иметь SCE и закрывать весь домен? Это можно сделать на DNS-сервере проще в сто раз. :))

IlyaKirilkin

IlyaKirilkin

Posted
Posted

vurd

а как именно не так, как должны?

domain так то и не надо считывать, если только средствами сце огораживаетесь. А для неё всё достаточно просто- берёте урлы, отрезаете: http(s):// , слеши в конце и www. в начале. Потом дублируете записи, но с присовокуплённым www. и порядок. Для пущего эффекту- ищите ситуации, когда в списке есть несколько полных урлов и домен (именно в секции url), например какой нить legalrc.biz. В таких случаях полные урлы можно не вносить, а закрывать сразу домен.

vurd

vurd

Posted
Posted

Вот я про них и говорю, про те которые в url, а не в domain, там иногда встречается весь домен целиком.

Должны закрываться и wayaway.biz и wayaway.biz/index.php, потому что в реестре есть целиком этот домен (в секции url).

Список для SCE мы так и формируем, вот только теперь еще уточнилось, что нужно отрезать последний слэш.

Еще момент. Для примера с тем же вэйовэй, в списке нет адреса www.wayaway.biz, и если открыть его именно с вэвэвэ, то он открывается. Может быть нужно еще и впереди ему звездочку прикрутить для правильности фильтра.

 

p.s. сайт не рекламирую, просто очень удобен для запоминания и тестов :)

p.p.s. собственно никто не заставляет додумывать алгоритм за наших цензоров, но чисто спортивный интерес сделать правильно.

IlyaKirilkin

IlyaKirilkin

Posted
Posted

vurd

"Правильно" все равно не получится. Звёздочку нельзя, нарывался на такое: *chan.ru закроете, и всякие animechan.ru уедут вместе с ним. В связи с этим www. и пришлось добавлять . Если в фильтре есть wayaway.biz, то остальные странички так и так зафильтруются, так что запись с wayaway.biz/index.php попросту лишняя.

vurd

vurd

Posted
Posted

А что мешает *.chan.ru?

Про wayaway еще раз прочитайте мой пост. Я имел в виду, что если есть запись со слэшом на конце, то страница index.php откроется. Ясен красен, что на SCE никто не собирается вливать все страницы сайта :)

IlyaKirilkin

IlyaKirilkin

Posted
Posted

vurd

Мешает то, что недоступными окажутся http://zhazha.chan.ru, http://pelmeni.chan.ru, http://www.chan.ru. А http://chan.ru/ будет вполне себе функционировать.

Про wayway прочитал, понял и перепроверил. Внесение "site.ru/" в фильтр даст вот такую запись:

982. site.ru:/:*:* 80

И, в соответствии с мануалом ( http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel37x/blacklist/URL_DB_QSG2.html#wp41524 ) будет резать GET / . А GET /index.php будет отлично проходить.

vurd

vurd

Posted
Posted

Вот и встает теоретический вопрос. На сколько большая вероятность что будет заблочен какой-нибудь narod.ru или livejournal.com целиком по родительскому домену. На мой взгляд такая вероятность очень мала.

IlyaKirilkin

IlyaKirilkin

Posted
Posted (edited)

vurd

Как нехер. Пусть и не надолго, но вполне запросто. "Технические сбои" и ранее случались. Кстати, на такие случаи у меня список самых популярных сайтов есть, взял с liveinternet.ru и alexa.com . При формировании фильтр-списка сверяемся с топ-листом, и если что то от туда, то в фильтр не попадает. Не очень хочется, что бы в 5 утра вместо вконтактика вдруг появилась заглушка.

Edited by IlyaKirilkin
vurd

vurd

Posted
Posted

Еще один вопрос связанный с фильтрацией на SCE.

Сколько может быть максимально записей в этот самый url database. Гугление по документации что-то ответа мне не подсказало.

Реестр растет просто конскими темпами последнее время, как бы не упереться.

 

zapret.png

 

Работают люди!

DruGoe_DeLo

DruGoe_DeLo

Posted
  • Author
Posted

Народ вы очень круты.

Но у меня чтот не особо получается =\...

Можете скинуть картинки как куда какие урлы добавляете и как.

Кстати после добавления урлов через bb console и потом когда конектитесь к циске через манагер порт. И командочка

sh int li 0 sce-url-database all

показывает эти урлы? или нет пусто у вас всё. У меня всё пусто.

Версия 3.8.5

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.