Jump to content
Калькуляторы

Juniper MX80 и Роскомнадзор

Добрый день.

Обращаюсь за помощью к гуру juniper :) С железкой еще разбираюсь, поэтому все ньюансы ее пока не понятны.

Так как денег на оборудование DPI пока нет, нам приходится блокировать запрещенные сайты жестко на данной железке - с помощью списков filter. Возможно ли на mx80 делать перехват http-траффика на запрещенный сайт (используя данный список)? После делать какой-нибудь редирект на страницу, где будет написано, что сайт был заблокирован по требованию Роскомнадзора.

 

Наткнулся на ссылку

http://www.juniper.net/techpubs/en_US/junos12.3/topics/example/http-redirect-service-static-interface-example.html

Поможет ли оно?

Спасибо))

Share this post


Link to post
Share on other sites

А в каком виде у Вас используется MX? В качестве "бордера" или "браса" ?

Тут такая ситуация, блокировки от "надзора" лично я реализовывал у клиентов на SRX т.к. MX использовался, как бордер.

На srx реализовывал переработанными под себя скриптами. Почему из скриптов... меньше возьни. Описание как сделать, смотреть по ссылке. http://andymillett.co.uk/2013/07/14/dynamic-blocklists-with-junos/

На MX это все реализовать не пробовл. Небыло необходимости(возможности), может быть, что без платы не заработает.

Может быть, кто то раскажет как действительно можно сделать правильно? Собственно тоже интересно как проще.

Share this post


Link to post
Share on other sites

Наткнулся на ссылку

http://www.juniper.n...ce-example.html

без сервис модуля не получится.

 

просто редиректите на сервак с проксе весь http а там кто про урлу не сматчился проксируйте дальше, а кто сматчился показывайте страничку.

Share this post


Link to post
Share on other sites

просто редиректите на сервак с проксе весь http а там кто про урлу не сматчился проксируйте дальше, а кто сматчился показывайте страничку.

 

Вариант логичный и простой. :) Весь HTTP через прокси.

21 век на дворе, а сквид и ныне там. Ничего не имею против, а так же не собираюсь навязывать свое мнение, но в моем понимании такой конструкт - это возможно лишняя точка отказа. И рассматривать его, только, как временное решение.

 

У меня потутный вопрос. Не кто не анализировал трафик, который проходит через http прокси, допустим на канале в 1 гигабит. Может, исходя из статистики легче(проще, дешевле), прикупить какой-нибудь srx210-240 и транслировать не через сквид, а на него. Собственно вариант использовать младшие srx вместо платы(proxy)?

Share this post


Link to post
Share on other sites

Редиректить на прокси только те ip адреса, которые в списке надзора.

 

А это собственно как? Простите, мы об одном и том же речь ведем?

 

Покажите пример "конструкта". Опишите общую схему.

Edited by NikBSDOpen

Share this post


Link to post
Share on other sites

А это собственно как? Простите, мы об одном и том же речь ведем?

 

Покажите пример "конструкта". Опишите общую схему.

в терминах juniper затрудняюсь, но, например, с прокси сервера отдавать маршруты /32 на такие адреса по ospf.

Share this post


Link to post
Share on other sites

в терминах juniper затрудняюсь, но, например, с прокси сервера отдавать маршруты /32 на такие адреса по ospf.

 

Скриптом резольвить "список" в IP и отдавать маршруты в динамике на бордер. А что, это вариант:)Если блочить будем по IP. А если URL?

Прошу прощения, что сразу не понял общую идею.

Share this post


Link to post
Share on other sites

Эх, прокси не вариант, 2,5G трафика)) Поэтому и смотрю, чем можно на MX редиректить или подсунуть трафик) Это конечно же временное решение, т.к. в планах покупать оборудование DPI. MX используется в качестве бордера.

Абоненты мягко говоря задолбали, когда блочится youtube или жж.

Share this post


Link to post
Share on other sites

У товарища при ~похожей нагрузке в качестве связки стоит mx80+srx650(вместо платы), на последнем настроен Web filtering -> websense redirect на (SWF_JUN_v5_SRC203(surfcontrol)не требуется лицензия) и это все вполне справляется с его задачами. То, как делал я и так понятно.

Share this post


Link to post
Share on other sites

Скриптом резольвить "список" в IP

Зачем резолвить ? Насколько помню, там на все записи есть ip

 

Эх, прокси не вариант, 2,5G трафика))

А зачем заруливать весь траффик ?

Вместо проксиков можно заюзать например это http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=951309

Edited by zorn

Share this post


Link to post
Share on other sites

Вариант логичный и простой. :) Весь HTTP через прокси.
я имел ввиду те ойпи-адреса, которые в списке для блокировки.
А это собственно как? Простите, мы об одном и том же речь ведем?
вы же фильтром уже блокируете их. тоже самое, только экшн у терма другой. прочитай про filter based forwarding.
Скриптом резольвить "список" в IP и отдавать маршруты в динамике на бордер.
ненадо ничего резолвить. ip-адреса же есть уже в списке. не нужны никакие маршруты, достаточно префикслиста в фильтре.
Поэтому и смотрю, чем можно на MX редиректить или подсунуть трафик)
вы редиректите не весь трафик а только то что в списке. там ниразу не 2.5Гбпс.

чтобы делать на МХ, нужен сервисный модуль.

SRX650 вариант, но он мягко говоря не соответствует производительности MX80.

Share this post


Link to post
Share on other sites

вы же фильтром уже блокируете их. тоже самое, только экшн у терма другой. прочитай про filter based forwarding.

:)

ненадо ничего резолвить. ip-адреса же есть уже в списке. не нужны никакие маршруты, достаточно префикслиста в фильтре.

Согласен на счет IP. Про резольв не это имел в виду, точнее не в таоком контексте, косяк за мной.

Префикс листы загружать в основной конфиг? Без всякой иронии кол-во строк не пугает, ведь не очень удобно.

 

вы редиректите не весь трафик а только то что в списке. там ниразу не 2.5Гбпс.

чтобы делать на МХ, нужен сервисный модуль.

SRX650 вариант, но он мягко говоря не соответствует производительности MX80.

 

Вот по поводу 2.5Гбпс и спрашивал, есть ли реальная статистика попадания в "список-префиксов (кеш, если хотите)"? Если там копейки, то может справится младший srx, что бы было дешево и сердито, на конкретно! поставленной задаче?

 

По поводу srx650, а кто-нибудь сравнивал производительность модуля в MX с производительностью серии srx?

Понятно, что сами по себе MX80 и SRX650, это разный уровень, да и задачи разные, но все же, а если сравнить с модулем опять-таки в контесте текущей проблемы?

Share this post


Link to post
Share on other sites

Префикс листы загружать в основной конфиг? Без всякой иронии кол-во строк не пугает, ведь не очень удобно.
пусть не пугает. многомегабайтных конфиг - это нормально и ничего страшного в этом нет. если всё что понаписано действительно нужно и по-другому никак. а вот городить лишние сущности с протоколами маршрутизации и спецификами - странная затея на мой взгляд.

Share this post


Link to post
Share on other sites

Собсно так оно и работало. Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит.

Share this post


Link to post
Share on other sites

Редиректить на прокси только те ip адреса, которые в списке надзора.

У нас так и сделано. Микротик через rip отдает отдает маршрутизатору список префиксов, трафик на которые нужно фильтровать, далее они пропускаются через прозрачный web-proxy на микротике. В пятой версии routeros web-proxy изредка подвисал, в шестой работает стабильно. А вот https приходится фильтровать по ip-адресу.

Share this post


Link to post
Share on other sites

Собсно так оно и работало. Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит.

 

А к бордеру не получится цепануть так. Трафик то должен дальше уйти наверх. Какая-то голимая схема, разве что натить запросы.

 

Самый лучшый вариант, из тех что слышал, миррорить в физ порт трафик на 80 порт и там уже отвечать _быстрей_ чем оригинальный ресурс. Ну и плюс посылать TCP RST или что там нужно на реальный хост.

Если эта пристройка сломается, то ничего не произойдет.

Share this post


Link to post
Share on other sites

Самый лучшый вариант, из тех что слышал, миррорить в физ порт трафик на 80 порт и там уже отвечать _быстрей_ чем оригинальный ресурс. Ну и плюс посылать TCP RST или что там нужно на реальный хост.

 

 

facepalm.jpg

 

Откройте для себя VRF / Routing Instance / PBR, и больше не курите такого некачественного.

Share this post


Link to post
Share on other sites

Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит.
Откройте для себя VRF / Routing Instance / PBR, и больше не курите такого некачественного.
ты сам что куришь то ?

какой то странный путь нагородить костылей с маршрутизаией там где можно обойтись одним фильтром. горе от ума ?

Edited by pfexec

Share this post


Link to post
Share on other sites

ты сам что куришь то ?

какой то странный путь нагородить костылей с маршрутизаией там где можно обойтись одним фильтром. горе от ума ?

 

 

Товарищ пишет про то, что если сливать маршруты в бордер в общую таблицу, то трафик вернувшийся с сервера фильтрации в эту же таблицу опять пойдет туда же а не в интернетики улетит. Но есть куча способов завернуть трафик как надо. Какой фильтр ты имеешь ввиду? Тот что как раз PBR? :D Да, в терминологии Juniper Filter-Based Forwarding.

Share this post


Link to post
Share on other sites

Да у меня пбром с брасов к бордеру и завернуто. Но я в упор не понимаю куда вы предлагаете присунуть бгп. Городить пбр на выхдой ифейс с сервера и слать трафик в какой-то аплинк с условиями его доступности? А если вашему даунлинку не упала ваша страничка с блок-инфо?

Share this post


Link to post
Share on other sites

Но я в упор не понимаю куда вы предлагаете присунуть бгп.

 

Я вроде нормально описал все. Просто если вы это делаете в бордер то будет несколько не удобно. В брас же можно вполне, хоть по бгп хоть по осфп.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.