DruGoe_DeLo Опубликовано 13 ноября, 2013 · Жалоба И так я напишу что я сделал. Поставил cisco sce 2020 в сеть методом inlink. Собрал стенда мол стоит в разрыве между абонентом и интернетом. Красота. Запилил типа блек листы мол на какие сайты не льзя ходить. Пилил вот по этому http://shop.nag.ru/article/poshagovaya-nastrojka-url-filtratsii-na-cisco-sce А также и по другому мануалу http://forum.nag.ru/forum/index.php?showtopic=78575&view=findpost&p=753292 В общем в первом случаи ничаго не заработало а во втором хоть и без картинок но вроде сделано правильно и вроде как даже результат есть sh int li 0 sce-url-database all 1. *:*:*:* 208 2. *vk.com:*:*:* 208 Но вот гад всё равно везде ходит и лазиет. Никаких CM или SM или ещё каких серверов я не поднимал. Никаких пользователей я не заливал. В общем вопрос. Что не так. Или чаго не хватает. Очень прям нуждаюсь либо в объяснениях либо в помощи... Или нужны какие доп настройки? (чую что нужны но какие) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n1k3 Опубликовано 13 ноября, 2013 · Жалоба Пакет с сервисом блокировки какому-нибудь сабскрайберу назначен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 13 ноября, 2013 · Жалоба О новые слова. Что за сабскрайбер? Куды его впиндюрить чтобы ему хорошо стало? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 13 ноября, 2013 · Жалоба Там есть два дефолтных сабскрайбера, впиндюривать им обоим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n1k3 Опубликовано 13 ноября, 2013 · Жалоба Сабскрайбер это абонент. Пакет(Package) это что то вроде тарифа, где вы расписываете трафики их ограничения приоритеты и прочие сервисы типа блокировки урлов. Короче говоря тариф. Тариф должен быть назначен абоненту.. сабскрайберу. Но у вас нет SM.. стало быть и сабскрайберы у вас все по идее должны падать в дефолтный пакет(кажется). Тогда попробуйте этот сервис с блокировкой всунуть в дефолтный пакет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 13 ноября, 2013 · Жалоба Вот кстати я тоже про это думал. И пакет вставлял в дефолтный. В контроле для этого пакета выбирал Block the flow но результата никакого. Может она не понимает какие нужно слушать порты. но вроде SCE2000#sh system operation-status System Operation status is Operational Port status is: Link on management port #1 is down Link on port #3 is down Link on port #4 is down никакого криминала нет да и ошибок не показало. также show interface LineCard 0 subscriber all-names There are 1 subscribers in the data-base: N/A О каких дефолтных сабскрайберов идёт речь я канечно хз... Сейчас попробую впиндюрить правило в Unknown Subscriber Package мож так схавает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 13 ноября, 2013 · Жалоба Кошка точно в режиме инлайн? Не транспарент случаем? Это переключается из интерфейса управления, а не с консоли. То что она пише в консоль operational означает, что кошка в принципе работает. У меня режутся урлы таким же образом, есть только одна проблема непонятная, попозже расскажу, но в целом все работает отлично. Самих абонентов, как сущностей подписчиков, на ней у меня нет. И еще, залейте туда какой-нибудь конкретный урл, а не целиком домен, проверьте на нем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 13 ноября, 2013 (изменено) · Жалоба Эх не рпокатила фишка. Но вот что она в inline вроде как при настройке я то нажимал и sh run говорит что вроде бы всё ништяк connection-mode inline on-failure bypass no silent no shutdown Кошка точно в режиме инлайн? Не транспарент случаем? Это переключается из интерфейса управления, а не с консоли. То что она пише в консоль operational означает, что кошка в принципе работает. У меня режутся урлы таким же образом, есть только одна проблема непонятная, попозже расскажу, но в целом все работает отлично. Самих абонентов, как сущностей подписчиков, на ней у меня нет. И еще, залейте туда какой-нибудь конкретный урл, а не целиком домен, проверьте на нем урл я так понимаю например yandex.ru будет выглядить вот так? http://www.yandex.ru/ с полной url не прокатило У меня встречный вопрос. Когда создаём пакет в закладке classification что мы выбираем в пункте Initiating Side? Изменено 13 ноября, 2013 пользователем DruGoe_DeLo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 13 ноября, 2013 · Жалоба Нене, именно в интерфейсе, там оно называется фулл функционал, както так. Задается в sca bb. Урл я имею в виду vk.com/id434456, точный адрес страницы на сайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 14 ноября, 2013 · Жалоба Урл я имею в виду vk.com/id434456, точный адрес страницы на сайте А весь сайт как тогда заблокировать? vk.com прокатит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 14 ноября, 2013 · Жалоба В общем я столкнулся с такой проблемой. Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/* Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 14 ноября, 2013 · Жалоба В общем я столкнулся с такой проблемой. Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/* Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется. vk.com Без звёздочек и слешей. Остальное железяка сама допишет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 14 ноября, 2013 · Жалоба Да, спасибо, так тоже работает. В "едином реестре" все позиции (domain) со слэшами в конце. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 14 ноября, 2013 · Жалоба vurd Вы сразу доменами закрываете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 14 ноября, 2013 · Жалоба Нет, конечно. Если есть конкретные урлы, то по ним. Если только хост, то уже по нему, просто недавно обнаружил, что у меня хосты не закрываются как должны. Какой смысл иметь SCE и закрывать весь домен? Это можно сделать на DNS-сервере проще в сто раз. :)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 14 ноября, 2013 · Жалоба vurd а как именно не так, как должны? domain так то и не надо считывать, если только средствами сце огораживаетесь. А для неё всё достаточно просто- берёте урлы, отрезаете: http(s):// , слеши в конце и www. в начале. Потом дублируете записи, но с присовокуплённым www. и порядок. Для пущего эффекту- ищите ситуации, когда в списке есть несколько полных урлов и домен (именно в секции url), например какой нить legalrc.biz. В таких случаях полные урлы можно не вносить, а закрывать сразу домен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 14 ноября, 2013 · Жалоба Вот я про них и говорю, про те которые в url, а не в domain, там иногда встречается весь домен целиком. Должны закрываться и wayaway.biz и wayaway.biz/index.php, потому что в реестре есть целиком этот домен (в секции url). Список для SCE мы так и формируем, вот только теперь еще уточнилось, что нужно отрезать последний слэш. Еще момент. Для примера с тем же вэйовэй, в списке нет адреса www.wayaway.biz, и если открыть его именно с вэвэвэ, то он открывается. Может быть нужно еще и впереди ему звездочку прикрутить для правильности фильтра. p.s. сайт не рекламирую, просто очень удобен для запоминания и тестов :) p.p.s. собственно никто не заставляет додумывать алгоритм за наших цензоров, но чисто спортивный интерес сделать правильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 14 ноября, 2013 · Жалоба vurd "Правильно" все равно не получится. Звёздочку нельзя, нарывался на такое: *chan.ru закроете, и всякие animechan.ru уедут вместе с ним. В связи с этим www. и пришлось добавлять . Если в фильтре есть wayaway.biz, то остальные странички так и так зафильтруются, так что запись с wayaway.biz/index.php попросту лишняя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 14 ноября, 2013 · Жалоба А что мешает *.chan.ru? Про wayaway еще раз прочитайте мой пост. Я имел в виду, что если есть запись со слэшом на конце, то страница index.php откроется. Ясен красен, что на SCE никто не собирается вливать все страницы сайта :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 14 ноября, 2013 · Жалоба vurd Мешает то, что недоступными окажутся http://zhazha.chan.ru, http://pelmeni.chan.ru, http://www.chan.ru. А http://chan.ru/ будет вполне себе функционировать. Про wayway прочитал, понял и перепроверил. Внесение "site.ru/" в фильтр даст вот такую запись: 982. site.ru:/:*:* 80 И, в соответствии с мануалом ( http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel37x/blacklist/URL_DB_QSG2.html#wp41524 ) будет резать GET / . А GET /index.php будет отлично проходить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 14 ноября, 2013 · Жалоба Вот и встает теоретический вопрос. На сколько большая вероятность что будет заблочен какой-нибудь narod.ru или livejournal.com целиком по родительскому домену. На мой взгляд такая вероятность очень мала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IlyaKirilkin Опубликовано 14 ноября, 2013 (изменено) · Жалоба vurd Как нехер. Пусть и не надолго, но вполне запросто. "Технические сбои" и ранее случались. Кстати, на такие случаи у меня список самых популярных сайтов есть, взял с liveinternet.ru и alexa.com . При формировании фильтр-списка сверяемся с топ-листом, и если что то от туда, то в фильтр не попадает. Не очень хочется, что бы в 5 утра вместо вконтактика вдруг появилась заглушка. Изменено 14 ноября, 2013 пользователем IlyaKirilkin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 14 ноября, 2013 · Жалоба Еще один вопрос связанный с фильтрацией на SCE. Сколько может быть максимально записей в этот самый url database. Гугление по документации что-то ответа мне не подсказало. Реестр растет просто конскими темпами последнее время, как бы не упереться. Работают люди! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 14 ноября, 2013 · Жалоба Сколько может быть максимально записей в этот самый url database. Cisco Service Control URL Blacklisting Solution Guide же: The maximum number of entries permitted in an import file are: Cisco SCE 8000 platform—100,000 Cisco SCE 2000 platform—100,000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DruGoe_DeLo Опубликовано 14 ноября, 2013 · Жалоба Народ вы очень круты. Но у меня чтот не особо получается =\... Можете скинуть картинки как куда какие урлы добавляете и как. Кстати после добавления урлов через bb console и потом когда конектитесь к циске через манагер порт. И командочка sh int li 0 sce-url-database all показывает эти урлы? или нет пусто у вас всё. У меня всё пусто. Версия 3.8.5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...