Jump to content
Калькуляторы

RB2011LS BGP networks limit to 200

Доброй ночи.

 

Есть задача:

 

Поднять между RB2011LS и сisco ASR1002 BGP сессию и аннонсировать от RB2011LS около 800 маршрутов с маской /32.

Все бы ничего, только RB2011LS может аннонсировать 200 маршрутов и дальше выдает ошибку - "failure: number of BGP networks is limited to 200".

Парни подскажите пожалуйста - никто не сталкивался с такой проблемой? Есть ли способы обойти данное ограничение?

Share this post


Link to post
Share on other sites

Добрый день. Возник вопрос следующего рода.

 

Задача:

Реализовать при прохождении WEB траффика к определенному узлу в интернет через микротик (цепочка forwarding - без нат, без прокси) - редирект на страничку-заглушку включенного в микротик сервера. Траффик для перехвата распознается по URL вида - http://www.site.com/index/ddd.php.....

 

На данный момент реализовал следующую схему простого зарезания такого траффика на микротике по доменному имени (по полному УРЛ не получилось, хотя Микротик распознает такой трафик но почему-то не режет его).

 

post-80359-015969900%201404974372_thumb.png

 

По этой схеме:

1. При запросе от клиентской машины WEB странички сайта www.black-porno-site.ru пакет приходит на роутер, в который включен клиент.

2. На роутере маршрут в сторону этого сайта завернут на машину с MikrotikOS.

3. Пакет приходит на Микротик, а там в цепочке forwarding проверяется на содержание доменного имени:

 

chain=forward action=reject reject-with=icmp-network-unreachable content=black-porno-site.ru

 

4. Если в контенте есть такое имя - он режется.

5. Если нет (пользователь запросил white-rabbit.com) страничку (пусть даже она находится на том же узле в интернете) - то пакет возвращается на роутер по дефолтному маршруту.

6. На роутере, чтобы не проходило зацикливание (так как ip 1.1.1.1 прописан статически в сторону Микротика) настроен Policy Based Routing, который принудительно отправляет пакет на следующий роутер, который подключен к интернету.

 

В такой схеме все работает - при попытке открыть страничку black-porno-site.ru исходящий запрос режется и соединение не устанавливается.

Но теперь возникла задача - сделать так, чтобы при запросе black-porno-site.ru пользователь редиректился на страничку-заглушку на которой будет написано что-то типа - "Вы пытаетесь получить доступ к плохому сайту. Ну-Ну-Ну! Ата-та!"

 

Как это сделать? И можно ли на микротике такое сделать в принципе?

 

P.S. Использовать NAT, Proxy - нельзя, нужно чтобы клиент ходил со своим IP в интернет, а не с IP микротика. Да и траффик такой, что Микротик не протянет.

post-80359-015969900 1404974372_thumb.png

Share this post


Link to post
Share on other sites

Альтернативу я не нашел, оставил на content: video reject.

Вроде пока работает без глюков.

 

Добрый день. Возник вопрос следующего рода.

 

Задача:

Реализовать при прохождении WEB траффика к определенному узлу в интернет через микротик (цепочка forwarding - без нат, без прокси) - редирект на страничку-заглушку включенного в микротик сервера. Траффик для перехвата распознается по URL вида - http://www.site.com/index/ddd.php.....

 

На данный момент реализовал следующую схему простого зарезания такого траффика на микротике по доменному имени (по полному УРЛ не получилось, хотя Микротик распознает такой трафик но почему-то не режет его).

 

post-80359-015969900%201404974372_thumb.png

 

По этой схеме:

1. При запросе от клиентской машины WEB странички сайта www.black-porno-site.ru пакет приходит на роутер, в который включен клиент.

2. На роутере маршрут в сторону этого сайта завернут на машину с MikrotikOS.

3. Пакет приходит на Микротик, а там в цепочке forwarding проверяется на содержание доменного имени:

 

chain=forward action=reject reject-with=icmp-network-unreachable content=black-porno-site.ru

 

4. Если в контенте есть такое имя - он режется.

5. Если нет (пользователь запросил white-rabbit.com) страничку (пусть даже она находится на том же узле в интернете) - то пакет возвращается на роутер по дефолтному маршруту.

6. На роутере, чтобы не проходило зацикливание (так как ip 1.1.1.1 прописан статически в сторону Микротика) настроен Policy Based Routing, который принудительно отправляет пакет на следующий роутер, который подключен к интернету.

 

В такой схеме все работает - при попытке открыть страничку black-porno-site.ru исходящий запрос режется и соединение не устанавливается.

Но теперь возникла задача - сделать так, чтобы при запросе black-porno-site.ru пользователь редиректился на страничку-заглушку на которой будет написано что-то типа - "Вы пытаетесь получить доступ к плохому сайту. Ну-Ну-Ну! Ата-та!"

 

Как это сделать? И можно ли на микротике такое сделать в принципе?

 

P.S. Использовать NAT, Proxy - нельзя, нужно чтобы клиент ходил со своим IP в интернет, а не с IP микротика. Да и траффик такой, что Микротик не протянет.

 

 

Лучше всего блокировать по ключевому слову content: porno или content:film, он режет все сайты встречающее с этим доменом.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.