nerik Posted April 3, 2014 Добрый день. Обращаюсь за помощью к гуру juniper :) С железкой еще разбираюсь, поэтому все ньюансы ее пока не понятны. Так как денег на оборудование DPI пока нет, нам приходится блокировать запрещенные сайты жестко на данной железке - с помощью списков filter. Возможно ли на mx80 делать перехват http-траффика на запрещенный сайт (используя данный список)? После делать какой-нибудь редирект на страницу, где будет написано, что сайт был заблокирован по требованию Роскомнадзора. Наткнулся на ссылку http://www.juniper.net/techpubs/en_US/junos12.3/topics/example/http-redirect-service-static-interface-example.html Поможет ли оно? Спасибо)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted April 3, 2014 А в каком виде у Вас используется MX? В качестве "бордера" или "браса" ? Тут такая ситуация, блокировки от "надзора" лично я реализовывал у клиентов на SRX т.к. MX использовался, как бордер. На srx реализовывал переработанными под себя скриптами. Почему из скриптов... меньше возьни. Описание как сделать, смотреть по ссылке. http://andymillett.co.uk/2013/07/14/dynamic-blocklists-with-junos/ На MX это все реализовать не пробовл. Небыло необходимости(возможности), может быть, что без платы не заработает. Может быть, кто то раскажет как действительно можно сделать правильно? Собственно тоже интересно как проще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted April 3, 2014 Наткнулся на ссылкуhttp://www.juniper.n...ce-example.html без сервис модуля не получится. просто редиректите на сервак с проксе весь http а там кто про урлу не сматчился проксируйте дальше, а кто сматчился показывайте страничку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted April 3, 2014 просто редиректите на сервак с проксе весь http а там кто про урлу не сматчился проксируйте дальше, а кто сматчился показывайте страничку. Вариант логичный и простой. :) Весь HTTP через прокси. 21 век на дворе, а сквид и ныне там. Ничего не имею против, а так же не собираюсь навязывать свое мнение, но в моем понимании такой конструкт - это возможно лишняя точка отказа. И рассматривать его, только, как временное решение. У меня потутный вопрос. Не кто не анализировал трафик, который проходит через http прокси, допустим на канале в 1 гигабит. Может, исходя из статистики легче(проще, дешевле), прикупить какой-нибудь srx210-240 и транслировать не через сквид, а на него. Собственно вариант использовать младшие srx вместо платы(proxy)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted April 3, 2014 Редиректить на прокси только те ip адреса, которые в списке надзора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted April 3, 2014 (edited) Редиректить на прокси только те ip адреса, которые в списке надзора. А это собственно как? Простите, мы об одном и том же речь ведем? Покажите пример "конструкта". Опишите общую схему. Edited April 3, 2014 by NikBSDOpen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted April 3, 2014 А это собственно как? Простите, мы об одном и том же речь ведем? Покажите пример "конструкта". Опишите общую схему. в терминах juniper затрудняюсь, но, например, с прокси сервера отдавать маршруты /32 на такие адреса по ospf. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MonaxGT Posted April 3, 2014 nerik, на SRX есть свой функционал, на MX врятли такой есть. Точно сказать не могу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted April 3, 2014 в терминах juniper затрудняюсь, но, например, с прокси сервера отдавать маршруты /32 на такие адреса по ospf. Скриптом резольвить "список" в IP и отдавать маршруты в динамике на бордер. А что, это вариант:)Если блочить будем по IP. А если URL? Прошу прощения, что сразу не понял общую идею. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nerik Posted April 3, 2014 Эх, прокси не вариант, 2,5G трафика)) Поэтому и смотрю, чем можно на MX редиректить или подсунуть трафик) Это конечно же временное решение, т.к. в планах покупать оборудование DPI. MX используется в качестве бордера. Абоненты мягко говоря задолбали, когда блочится youtube или жж. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted April 3, 2014 У товарища при ~похожей нагрузке в качестве связки стоит mx80+srx650(вместо платы), на последнем настроен Web filtering -> websense redirect на (SWF_JUN_v5_SRC203(surfcontrol)не требуется лицензия) и это все вполне справляется с его задачами. То, как делал я и так понятно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zorn Posted April 3, 2014 (edited) Скриптом резольвить "список" в IP Зачем резолвить ? Насколько помню, там на все записи есть ip Эх, прокси не вариант, 2,5G трафика)) А зачем заруливать весь траффик ? Вместо проксиков можно заюзать например это http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=951309 Edited April 3, 2014 by zorn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted April 3, 2014 Вариант логичный и простой. :) Весь HTTP через прокси.я имел ввиду те ойпи-адреса, которые в списке для блокировки. А это собственно как? Простите, мы об одном и том же речь ведем?вы же фильтром уже блокируете их. тоже самое, только экшн у терма другой. прочитай про filter based forwarding.Скриптом резольвить "список" в IP и отдавать маршруты в динамике на бордер.ненадо ничего резолвить. ip-адреса же есть уже в списке. не нужны никакие маршруты, достаточно префикслиста в фильтре. Поэтому и смотрю, чем можно на MX редиректить или подсунуть трафик)вы редиректите не весь трафик а только то что в списке. там ниразу не 2.5Гбпс.чтобы делать на МХ, нужен сервисный модуль. SRX650 вариант, но он мягко говоря не соответствует производительности MX80. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikBSDOpen Posted April 3, 2014 вы же фильтром уже блокируете их. тоже самое, только экшн у терма другой. прочитай про filter based forwarding. :) ненадо ничего резолвить. ip-адреса же есть уже в списке. не нужны никакие маршруты, достаточно префикслиста в фильтре. Согласен на счет IP. Про резольв не это имел в виду, точнее не в таоком контексте, косяк за мной. Префикс листы загружать в основной конфиг? Без всякой иронии кол-во строк не пугает, ведь не очень удобно. вы редиректите не весь трафик а только то что в списке. там ниразу не 2.5Гбпс. чтобы делать на МХ, нужен сервисный модуль. SRX650 вариант, но он мягко говоря не соответствует производительности MX80. Вот по поводу 2.5Гбпс и спрашивал, есть ли реальная статистика попадания в "список-префиксов (кеш, если хотите)"? Если там копейки, то может справится младший srx, что бы было дешево и сердито, на конкретно! поставленной задаче? По поводу srx650, а кто-нибудь сравнивал производительность модуля в MX с производительностью серии srx? Понятно, что сами по себе MX80 и SRX650, это разный уровень, да и задачи разные, но все же, а если сравнить с модулем опять-таки в контесте текущей проблемы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted April 3, 2014 Префикс листы загружать в основной конфиг? Без всякой иронии кол-во строк не пугает, ведь не очень удобно.пусть не пугает. многомегабайтных конфиг - это нормально и ничего страшного в этом нет. если всё что понаписано действительно нужно и по-другому никак. а вот городить лишние сущности с протоколами маршрутизации и спецификами - странная затея на мой взгляд. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted April 3, 2014 Собсно так оно и работало. Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
msdt Posted April 3, 2014 Редиректить на прокси только те ip адреса, которые в списке надзора. У нас так и сделано. Микротик через rip отдает отдает маршрутизатору список префиксов, трафик на которые нужно фильтровать, далее они пропускаются через прозрачный web-proxy на микротике. В пятой версии routeros web-proxy изредка подвисал, в шестой работает стабильно. А вот https приходится фильтровать по ip-адресу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted April 3, 2014 у меня глюки или в этой ветке потерли пару страниц? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 3, 2014 Собсно так оно и работало. Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит. А к бордеру не получится цепануть так. Трафик то должен дальше уйти наверх. Какая-то голимая схема, разве что натить запросы. Самый лучшый вариант, из тех что слышал, миррорить в физ порт трафик на 80 порт и там уже отвечать _быстрей_ чем оригинальный ресурс. Ну и плюс посылать TCP RST или что там нужно на реальный хост. Если эта пристройка сломается, то ничего не произойдет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted April 3, 2014 Самый лучшый вариант, из тех что слышал, миррорить в физ порт трафик на 80 порт и там уже отвечать _быстрей_ чем оригинальный ресурс. Ну и плюс посылать TCP RST или что там нужно на реальный хост. facepalm.jpg Откройте для себя VRF / Routing Instance / PBR, и больше не курите такого некачественного. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted April 4, 2014 (edited) Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит. Откройте для себя VRF / Routing Instance / PBR, и больше не курите такого некачественного.ты сам что куришь то ?какой то странный путь нагородить костылей с маршрутизаией там где можно обойтись одним фильтром. горе от ума ? Edited April 4, 2014 by pfexec Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dubridze Posted April 4, 2014 Это он показывает какой он умный. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted April 4, 2014 ты сам что куришь то ? какой то странный путь нагородить костылей с маршрутизаией там где можно обойтись одним фильтром. горе от ума ? Товарищ пишет про то, что если сливать маршруты в бордер в общую таблицу, то трафик вернувшийся с сервера фильтрации в эту же таблицу опять пойдет туда же а не в интернетики улетит. Но есть куча способов завернуть трафик как надо. Какой фильтр ты имеешь ввиду? Тот что как раз PBR? :D Да, в терминологии Juniper Filter-Based Forwarding. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 5, 2014 Да у меня пбром с брасов к бордеру и завернуто. Но я в упор не понимаю куда вы предлагаете присунуть бгп. Городить пбр на выхдой ифейс с сервера и слать трафик в какой-то аплинк с условиями его доступности? А если вашему даунлинку не упала ваша страничка с блок-инфо? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted April 5, 2014 Но я в упор не понимаю куда вы предлагаете присунуть бгп. Я вроде нормально описал все. Просто если вы это делаете в бордер то будет несколько не удобно. В брас же можно вполне, хоть по бгп хоть по осфп. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...