Перейти к содержимому
Калькуляторы

Cisco SCE захавала мозг помогите.

И так я напишу что я сделал.

Поставил cisco sce 2020 в сеть методом inlink.

Собрал стенда мол стоит в разрыве между абонентом и интернетом. Красота.

Запилил типа блек листы мол на какие сайты не льзя ходить. Пилил вот по этому http://shop.nag.ru/article/poshagovaya-nastrojka-url-filtratsii-na-cisco-sce

А также и по другому мануалу http://forum.nag.ru/forum/index.php?showtopic=78575&view=findpost&p=753292

В общем в первом случаи ничаго не заработало

а во втором хоть и без картинок но вроде сделано правильно и вроде как даже результат есть

 

sh int li 0 sce-url-database all

1. *:*:*:* 208

2. *vk.com:*:*:* 208

 

Но вот гад всё равно везде ходит и лазиет.

Никаких CM или SM или ещё каких серверов я не поднимал. Никаких пользователей я не заливал. В общем вопрос. Что не так. Или чаго не хватает.

Очень прям нуждаюсь либо в объяснениях либо в помощи...

 

Или нужны какие доп настройки? (чую что нужны но какие)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пакет с сервисом блокировки какому-нибудь сабскрайберу назначен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

О новые слова. Что за сабскрайбер?

Куды его впиндюрить чтобы ему хорошо стало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там есть два дефолтных сабскрайбера, впиндюривать им обоим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сабскрайбер это абонент. Пакет(Package) это что то вроде тарифа, где вы расписываете трафики их ограничения приоритеты и прочие сервисы типа блокировки урлов. Короче говоря тариф. Тариф должен быть назначен абоненту.. сабскрайберу. Но у вас нет SM.. стало быть и сабскрайберы у вас все по идее должны падать в дефолтный пакет(кажется). Тогда попробуйте этот сервис с блокировкой всунуть в дефолтный пакет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот кстати я тоже про это думал. И пакет вставлял в дефолтный. В контроле для этого пакета выбирал Block the flow

но результата никакого.

Может она не понимает какие нужно слушать порты.

но вроде

 

SCE2000#sh system operation-status

System Operation status is Operational

Port status is:

Link on management port #1 is down

Link on port #3 is down

Link on port #4 is down

никакого криминала нет да и ошибок не показало. также

 

show interface LineCard 0 subscriber all-names

There are 1 subscribers in the data-base:

N/A

 

О каких дефолтных сабскрайберов идёт речь я канечно хз...

Сейчас попробую впиндюрить правило в Unknown Subscriber Package мож так схавает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кошка точно в режиме инлайн? Не транспарент случаем? Это переключается из интерфейса управления, а не с консоли. То что она пише в консоль operational означает, что кошка в принципе работает.

У меня режутся урлы таким же образом, есть только одна проблема непонятная, попозже расскажу, но в целом все работает отлично.

Самих абонентов, как сущностей подписчиков, на ней у меня нет.

 

И еще, залейте туда какой-нибудь конкретный урл, а не целиком домен, проверьте на нем

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эх не рпокатила фишка.

Но вот что она в inline вроде как при настройке я то нажимал

 

и sh run говорит что вроде бы всё ништяк

 

connection-mode inline on-failure bypass

no silent

no shutdown

 

Кошка точно в режиме инлайн? Не транспарент случаем? Это переключается из интерфейса управления, а не с консоли. То что она пише в консоль operational означает, что кошка в принципе работает.

У меня режутся урлы таким же образом, есть только одна проблема непонятная, попозже расскажу, но в целом все работает отлично.

Самих абонентов, как сущностей подписчиков, на ней у меня нет.

 

И еще, залейте туда какой-нибудь конкретный урл, а не целиком домен, проверьте на нем

 

урл я так понимаю например yandex.ru будет выглядить вот так? http://www.yandex.ru/

 

с полной url не прокатило

У меня встречный вопрос.

Когда создаём пакет в закладке classification что мы выбираем в пункте Initiating Side?

Изменено пользователем DruGoe_DeLo

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нене, именно в интерфейсе, там оно называется фулл функционал, както так. Задается в sca bb.

Урл я имею в виду vk.com/id434456, точный адрес страницы на сайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Урл я имею в виду vk.com/id434456, точный адрес страницы на сайте

А весь сайт как тогда заблокировать? vk.com прокатит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем я столкнулся с такой проблемой.

Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/*

Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем я столкнулся с такой проблемой.

Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/*

Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется.

vk.com

Без звёздочек и слешей. Остальное железяка сама допишет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, спасибо, так тоже работает. В "едином реестре" все позиции (domain) со слэшами в конце.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vurd

Вы сразу доменами закрываете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет, конечно. Если есть конкретные урлы, то по ним. Если только хост, то уже по нему, просто недавно обнаружил, что у меня хосты не закрываются как должны.

Какой смысл иметь SCE и закрывать весь домен? Это можно сделать на DNS-сервере проще в сто раз. :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vurd

а как именно не так, как должны?

domain так то и не надо считывать, если только средствами сце огораживаетесь. А для неё всё достаточно просто- берёте урлы, отрезаете: http(s):// , слеши в конце и www. в начале. Потом дублируете записи, но с присовокуплённым www. и порядок. Для пущего эффекту- ищите ситуации, когда в списке есть несколько полных урлов и домен (именно в секции url), например какой нить legalrc.biz. В таких случаях полные урлы можно не вносить, а закрывать сразу домен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот я про них и говорю, про те которые в url, а не в domain, там иногда встречается весь домен целиком.

Должны закрываться и wayaway.biz и wayaway.biz/index.php, потому что в реестре есть целиком этот домен (в секции url).

Список для SCE мы так и формируем, вот только теперь еще уточнилось, что нужно отрезать последний слэш.

Еще момент. Для примера с тем же вэйовэй, в списке нет адреса www.wayaway.biz, и если открыть его именно с вэвэвэ, то он открывается. Может быть нужно еще и впереди ему звездочку прикрутить для правильности фильтра.

 

p.s. сайт не рекламирую, просто очень удобен для запоминания и тестов :)

p.p.s. собственно никто не заставляет додумывать алгоритм за наших цензоров, но чисто спортивный интерес сделать правильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vurd

"Правильно" все равно не получится. Звёздочку нельзя, нарывался на такое: *chan.ru закроете, и всякие animechan.ru уедут вместе с ним. В связи с этим www. и пришлось добавлять . Если в фильтре есть wayaway.biz, то остальные странички так и так зафильтруются, так что запись с wayaway.biz/index.php попросту лишняя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что мешает *.chan.ru?

Про wayaway еще раз прочитайте мой пост. Я имел в виду, что если есть запись со слэшом на конце, то страница index.php откроется. Ясен красен, что на SCE никто не собирается вливать все страницы сайта :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vurd

Мешает то, что недоступными окажутся http://zhazha.chan.ru, http://pelmeni.chan.ru, http://www.chan.ru. А http://chan.ru/ будет вполне себе функционировать.

Про wayway прочитал, понял и перепроверил. Внесение "site.ru/" в фильтр даст вот такую запись:

982. site.ru:/:*:* 80

И, в соответствии с мануалом ( http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel37x/blacklist/URL_DB_QSG2.html#wp41524 ) будет резать GET / . А GET /index.php будет отлично проходить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот и встает теоретический вопрос. На сколько большая вероятность что будет заблочен какой-нибудь narod.ru или livejournal.com целиком по родительскому домену. На мой взгляд такая вероятность очень мала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vurd

Как нехер. Пусть и не надолго, но вполне запросто. "Технические сбои" и ранее случались. Кстати, на такие случаи у меня список самых популярных сайтов есть, взял с liveinternet.ru и alexa.com . При формировании фильтр-списка сверяемся с топ-листом, и если что то от туда, то в фильтр не попадает. Не очень хочется, что бы в 5 утра вместо вконтактика вдруг появилась заглушка.

Изменено пользователем IlyaKirilkin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще один вопрос связанный с фильтрацией на SCE.

Сколько может быть максимально записей в этот самый url database. Гугление по документации что-то ответа мне не подсказало.

Реестр растет просто конскими темпами последнее время, как бы не упереться.

 

zapret.png

 

Работают люди!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сколько может быть максимально записей в этот самый url database.

 

Cisco Service Control URL Blacklisting Solution Guide же:

 

The maximum number of entries permitted in an import file are:

  • Cisco SCE 8000 platform—100,000
  • Cisco SCE 2000 platform—100,000

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ вы очень круты.

Но у меня чтот не особо получается =\...

Можете скинуть картинки как куда какие урлы добавляете и как.

Кстати после добавления урлов через bb console и потом когда конектитесь к циске через манагер порт. И командочка

sh int li 0 sce-url-database all

показывает эти урлы? или нет пусто у вас всё. У меня всё пусто.

Версия 3.8.5

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.