Jump to content
Калькуляторы

RB2011LS BGP networks limit to 200

Доброй ночи.

 

Есть задача:

 

Поднять между RB2011LS и сisco ASR1002 BGP сессию и аннонсировать от RB2011LS около 800 маршрутов с маской /32.

Все бы ничего, только RB2011LS может аннонсировать 200 маршрутов и дальше выдает ошибку - "failure: number of BGP networks is limited to 200".

Парни подскажите пожалуйста - никто не сталкивался с такой проблемой? Есть ли способы обойти данное ограничение?

Share this post


Link to post
Share on other sites

Добрый день. Возник вопрос следующего рода.

 

Задача:

Реализовать при прохождении WEB траффика к определенному узлу в интернет через микротик (цепочка forwarding - без нат, без прокси) - редирект на страничку-заглушку включенного в микротик сервера. Траффик для перехвата распознается по URL вида - http://www.site.com/index/ddd.php.....

 

На данный момент реализовал следующую схему простого зарезания такого траффика на микротике по доменному имени (по полному УРЛ не получилось, хотя Микротик распознает такой трафик но почему-то не режет его).

 

post-80359-015969900%201404974372_thumb.png

 

По этой схеме:

1. При запросе от клиентской машины WEB странички сайта www.black-porno-site.ru пакет приходит на роутер, в который включен клиент.

2. На роутере маршрут в сторону этого сайта завернут на машину с MikrotikOS.

3. Пакет приходит на Микротик, а там в цепочке forwarding проверяется на содержание доменного имени:

 

chain=forward action=reject reject-with=icmp-network-unreachable content=black-porno-site.ru

 

4. Если в контенте есть такое имя - он режется.

5. Если нет (пользователь запросил white-rabbit.com) страничку (пусть даже она находится на том же узле в интернете) - то пакет возвращается на роутер по дефолтному маршруту.

6. На роутере, чтобы не проходило зацикливание (так как ip 1.1.1.1 прописан статически в сторону Микротика) настроен Policy Based Routing, который принудительно отправляет пакет на следующий роутер, который подключен к интернету.

 

В такой схеме все работает - при попытке открыть страничку black-porno-site.ru исходящий запрос режется и соединение не устанавливается.

Но теперь возникла задача - сделать так, чтобы при запросе black-porno-site.ru пользователь редиректился на страничку-заглушку на которой будет написано что-то типа - "Вы пытаетесь получить доступ к плохому сайту. Ну-Ну-Ну! Ата-та!"

 

Как это сделать? И можно ли на микротике такое сделать в принципе?

 

P.S. Использовать NAT, Proxy - нельзя, нужно чтобы клиент ходил со своим IP в интернет, а не с IP микротика. Да и траффик такой, что Микротик не протянет.

post-80359-015969900 1404974372_thumb.png

Share this post


Link to post
Share on other sites

Альтернативу я не нашел, оставил на content: video reject.

Вроде пока работает без глюков.

 

Добрый день. Возник вопрос следующего рода.

 

Задача:

Реализовать при прохождении WEB траффика к определенному узлу в интернет через микротик (цепочка forwarding - без нат, без прокси) - редирект на страничку-заглушку включенного в микротик сервера. Траффик для перехвата распознается по URL вида - http://www.site.com/index/ddd.php.....

 

На данный момент реализовал следующую схему простого зарезания такого траффика на микротике по доменному имени (по полному УРЛ не получилось, хотя Микротик распознает такой трафик но почему-то не режет его).

 

post-80359-015969900%201404974372_thumb.png

 

По этой схеме:

1. При запросе от клиентской машины WEB странички сайта www.black-porno-site.ru пакет приходит на роутер, в который включен клиент.

2. На роутере маршрут в сторону этого сайта завернут на машину с MikrotikOS.

3. Пакет приходит на Микротик, а там в цепочке forwarding проверяется на содержание доменного имени:

 

chain=forward action=reject reject-with=icmp-network-unreachable content=black-porno-site.ru

 

4. Если в контенте есть такое имя - он режется.

5. Если нет (пользователь запросил white-rabbit.com) страничку (пусть даже она находится на том же узле в интернете) - то пакет возвращается на роутер по дефолтному маршруту.

6. На роутере, чтобы не проходило зацикливание (так как ip 1.1.1.1 прописан статически в сторону Микротика) настроен Policy Based Routing, который принудительно отправляет пакет на следующий роутер, который подключен к интернету.

 

В такой схеме все работает - при попытке открыть страничку black-porno-site.ru исходящий запрос режется и соединение не устанавливается.

Но теперь возникла задача - сделать так, чтобы при запросе black-porno-site.ru пользователь редиректился на страничку-заглушку на которой будет написано что-то типа - "Вы пытаетесь получить доступ к плохому сайту. Ну-Ну-Ну! Ата-та!"

 

Как это сделать? И можно ли на микротике такое сделать в принципе?

 

P.S. Использовать NAT, Proxy - нельзя, нужно чтобы клиент ходил со своим IP в интернет, а не с IP микротика. Да и траффик такой, что Микротик не протянет.

 

 

Лучше всего блокировать по ключевому слову content: porno или content:film, он режет все сайты встречающее с этим доменом.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this