Jump to content
Калькуляторы

Cisco SCE захавала мозг помогите.

И так я напишу что я сделал.

Поставил cisco sce 2020 в сеть методом inlink.

Собрал стенда мол стоит в разрыве между абонентом и интернетом. Красота.

Запилил типа блек листы мол на какие сайты не льзя ходить. Пилил вот по этому http://shop.nag.ru/article/poshagovaya-nastrojka-url-filtratsii-na-cisco-sce

А также и по другому мануалу http://forum.nag.ru/forum/index.php?showtopic=78575&view=findpost&p=753292

В общем в первом случаи ничаго не заработало

а во втором хоть и без картинок но вроде сделано правильно и вроде как даже результат есть

 

sh int li 0 sce-url-database all

1. *:*:*:* 208

2. *vk.com:*:*:* 208

 

Но вот гад всё равно везде ходит и лазиет.

Никаких CM или SM или ещё каких серверов я не поднимал. Никаких пользователей я не заливал. В общем вопрос. Что не так. Или чаго не хватает.

Очень прям нуждаюсь либо в объяснениях либо в помощи...

 

Или нужны какие доп настройки? (чую что нужны но какие)

Share this post


Link to post
Share on other sites

Пакет с сервисом блокировки какому-нибудь сабскрайберу назначен?

Share this post


Link to post
Share on other sites

О новые слова. Что за сабскрайбер?

Куды его впиндюрить чтобы ему хорошо стало?

Share this post


Link to post
Share on other sites

Там есть два дефолтных сабскрайбера, впиндюривать им обоим.

Share this post


Link to post
Share on other sites

Сабскрайбер это абонент. Пакет(Package) это что то вроде тарифа, где вы расписываете трафики их ограничения приоритеты и прочие сервисы типа блокировки урлов. Короче говоря тариф. Тариф должен быть назначен абоненту.. сабскрайберу. Но у вас нет SM.. стало быть и сабскрайберы у вас все по идее должны падать в дефолтный пакет(кажется). Тогда попробуйте этот сервис с блокировкой всунуть в дефолтный пакет.

Share this post


Link to post
Share on other sites

Вот кстати я тоже про это думал. И пакет вставлял в дефолтный. В контроле для этого пакета выбирал Block the flow

но результата никакого.

Может она не понимает какие нужно слушать порты.

но вроде

 

SCE2000#sh system operation-status

System Operation status is Operational

Port status is:

Link on management port #1 is down

Link on port #3 is down

Link on port #4 is down

никакого криминала нет да и ошибок не показало. также

 

show interface LineCard 0 subscriber all-names

There are 1 subscribers in the data-base:

N/A

 

О каких дефолтных сабскрайберов идёт речь я канечно хз...

Сейчас попробую впиндюрить правило в Unknown Subscriber Package мож так схавает.

Share this post


Link to post
Share on other sites

Кошка точно в режиме инлайн? Не транспарент случаем? Это переключается из интерфейса управления, а не с консоли. То что она пише в консоль operational означает, что кошка в принципе работает.

У меня режутся урлы таким же образом, есть только одна проблема непонятная, попозже расскажу, но в целом все работает отлично.

Самих абонентов, как сущностей подписчиков, на ней у меня нет.

 

И еще, залейте туда какой-нибудь конкретный урл, а не целиком домен, проверьте на нем

Share this post


Link to post
Share on other sites

Эх не рпокатила фишка.

Но вот что она в inline вроде как при настройке я то нажимал

 

и sh run говорит что вроде бы всё ништяк

 

connection-mode inline on-failure bypass

no silent

no shutdown

 

Кошка точно в режиме инлайн? Не транспарент случаем? Это переключается из интерфейса управления, а не с консоли. То что она пише в консоль operational означает, что кошка в принципе работает.

У меня режутся урлы таким же образом, есть только одна проблема непонятная, попозже расскажу, но в целом все работает отлично.

Самих абонентов, как сущностей подписчиков, на ней у меня нет.

 

И еще, залейте туда какой-нибудь конкретный урл, а не целиком домен, проверьте на нем

 

урл я так понимаю например yandex.ru будет выглядить вот так? http://www.yandex.ru/

 

с полной url не прокатило

У меня встречный вопрос.

Когда создаём пакет в закладке classification что мы выбираем в пункте Initiating Side?

Edited by DruGoe_DeLo

Share this post


Link to post
Share on other sites

Нене, именно в интерфейсе, там оно называется фулл функционал, както так. Задается в sca bb.

Урл я имею в виду vk.com/id434456, точный адрес страницы на сайте.

Share this post


Link to post
Share on other sites

Урл я имею в виду vk.com/id434456, точный адрес страницы на сайте

А весь сайт как тогда заблокировать? vk.com прокатит?

Share this post


Link to post
Share on other sites

В общем я столкнулся с такой проблемой.

Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/*

Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется.

Share this post


Link to post
Share on other sites

В общем я столкнулся с такой проблемой.

Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/*

Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется.

vk.com

Без звёздочек и слешей. Остальное железяка сама допишет.

Share this post


Link to post
Share on other sites

Да, спасибо, так тоже работает. В "едином реестре" все позиции (domain) со слэшами в конце.

Share this post


Link to post
Share on other sites

Нет, конечно. Если есть конкретные урлы, то по ним. Если только хост, то уже по нему, просто недавно обнаружил, что у меня хосты не закрываются как должны.

Какой смысл иметь SCE и закрывать весь домен? Это можно сделать на DNS-сервере проще в сто раз. :))

Share this post


Link to post
Share on other sites

vurd

а как именно не так, как должны?

domain так то и не надо считывать, если только средствами сце огораживаетесь. А для неё всё достаточно просто- берёте урлы, отрезаете: http(s):// , слеши в конце и www. в начале. Потом дублируете записи, но с присовокуплённым www. и порядок. Для пущего эффекту- ищите ситуации, когда в списке есть несколько полных урлов и домен (именно в секции url), например какой нить legalrc.biz. В таких случаях полные урлы можно не вносить, а закрывать сразу домен.

Share this post


Link to post
Share on other sites

Вот я про них и говорю, про те которые в url, а не в domain, там иногда встречается весь домен целиком.

Должны закрываться и wayaway.biz и wayaway.biz/index.php, потому что в реестре есть целиком этот домен (в секции url).

Список для SCE мы так и формируем, вот только теперь еще уточнилось, что нужно отрезать последний слэш.

Еще момент. Для примера с тем же вэйовэй, в списке нет адреса www.wayaway.biz, и если открыть его именно с вэвэвэ, то он открывается. Может быть нужно еще и впереди ему звездочку прикрутить для правильности фильтра.

 

p.s. сайт не рекламирую, просто очень удобен для запоминания и тестов :)

p.p.s. собственно никто не заставляет додумывать алгоритм за наших цензоров, но чисто спортивный интерес сделать правильно.

Share this post


Link to post
Share on other sites

vurd

"Правильно" все равно не получится. Звёздочку нельзя, нарывался на такое: *chan.ru закроете, и всякие animechan.ru уедут вместе с ним. В связи с этим www. и пришлось добавлять . Если в фильтре есть wayaway.biz, то остальные странички так и так зафильтруются, так что запись с wayaway.biz/index.php попросту лишняя.

Share this post


Link to post
Share on other sites

А что мешает *.chan.ru?

Про wayaway еще раз прочитайте мой пост. Я имел в виду, что если есть запись со слэшом на конце, то страница index.php откроется. Ясен красен, что на SCE никто не собирается вливать все страницы сайта :)

Share this post


Link to post
Share on other sites

vurd

Мешает то, что недоступными окажутся http://zhazha.chan.ru, http://pelmeni.chan.ru, http://www.chan.ru. А http://chan.ru/ будет вполне себе функционировать.

Про wayway прочитал, понял и перепроверил. Внесение "site.ru/" в фильтр даст вот такую запись:

982. site.ru:/:*:* 80

И, в соответствии с мануалом ( http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel37x/blacklist/URL_DB_QSG2.html#wp41524 ) будет резать GET / . А GET /index.php будет отлично проходить.

Share this post


Link to post
Share on other sites

Вот и встает теоретический вопрос. На сколько большая вероятность что будет заблочен какой-нибудь narod.ru или livejournal.com целиком по родительскому домену. На мой взгляд такая вероятность очень мала.

Share this post


Link to post
Share on other sites

vurd

Как нехер. Пусть и не надолго, но вполне запросто. "Технические сбои" и ранее случались. Кстати, на такие случаи у меня список самых популярных сайтов есть, взял с liveinternet.ru и alexa.com . При формировании фильтр-списка сверяемся с топ-листом, и если что то от туда, то в фильтр не попадает. Не очень хочется, что бы в 5 утра вместо вконтактика вдруг появилась заглушка.

Edited by IlyaKirilkin

Share this post


Link to post
Share on other sites

Еще один вопрос связанный с фильтрацией на SCE.

Сколько может быть максимально записей в этот самый url database. Гугление по документации что-то ответа мне не подсказало.

Реестр растет просто конскими темпами последнее время, как бы не упереться.

 

zapret.png

 

Работают люди!

Share this post


Link to post
Share on other sites

Народ вы очень круты.

Но у меня чтот не особо получается =\...

Можете скинуть картинки как куда какие урлы добавляете и как.

Кстати после добавления урлов через bb console и потом когда конектитесь к циске через манагер порт. И командочка

sh int li 0 sce-url-database all

показывает эти урлы? или нет пусто у вас всё. У меня всё пусто.

Версия 3.8.5

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this