[nerik]

Добрый день.

Обращаюсь за помощью к гуру juniper :) С железкой еще разбираюсь, поэтому все ньюансы ее пока не понятны.

Так как денег на оборудование DPI пока нет, нам приходится блокировать запрещенные сайты жестко на данной железке - с помощью списков filter. Возможно ли на mx80 делать перехват http-траффика на запрещенный сайт (используя данный список)? После делать какой-нибудь редирект на страницу, где будет написано, что сайт был заблокирован по требованию Роскомнадзора.

 

Наткнулся на ссылку

http://www.juniper.net/techpubs/en_US/junos12.3/topics/example/http-redirect-service-static-interface-example.html

Поможет ли оно?

Спасибо))

[NikBSDOpen]

А в каком виде у Вас используется MX? В качестве "бордера" или "браса" ?

Тут такая ситуация, блокировки от "надзора" лично я реализовывал у клиентов на SRX т.к. MX использовался, как бордер.

На srx реализовывал переработанными под себя скриптами. Почему из скриптов... меньше возьни. Описание как сделать, смотреть по ссылке. http://andymillett.co.uk/2013/07/14/dynamic-blocklists-with-junos/

На MX это все реализовать не пробовл. Небыло необходимости(возможности), может быть, что без платы не заработает.

Может быть, кто то раскажет как действительно можно сделать правильно? Собственно тоже интересно как проще.

[pfexec]

Наткнулся на ссылку

http://www.juniper.n...ce-example.html

без сервис модуля не получится.

 

просто редиректите на сервак с проксе весь http а там кто про урлу не сматчился проксируйте дальше, а кто сматчился показывайте страничку.

[NikBSDOpen]

просто редиректите на сервак с проксе весь http а там кто про урлу не сматчился проксируйте дальше, а кто сматчился показывайте страничку.

 

Вариант логичный и простой. :) Весь HTTP через прокси.

21 век на дворе, а сквид и ныне там. Ничего не имею против, а так же не собираюсь навязывать свое мнение, но в моем понимании такой конструкт - это возможно лишняя точка отказа. И рассматривать его, только, как временное решение.

 

У меня потутный вопрос. Не кто не анализировал трафик, который проходит через http прокси, допустим на канале в 1 гигабит. Может, исходя из статистики легче(проще, дешевле), прикупить какой-нибудь srx210-240 и транслировать не через сквид, а на него. Собственно вариант использовать младшие srx вместо платы(proxy)?

[MMM]

Редиректить на прокси только те ip адреса, которые в списке надзора.

[NikBSDOpen]

Редиректить на прокси только те ip адреса, которые в списке надзора.

 

А это собственно как? Простите, мы об одном и том же речь ведем?

 

Покажите пример "конструкта". Опишите общую схему.

Edited April 3, 2014 by NikBSDOpen

[MMM]

А это собственно как? Простите, мы об одном и том же речь ведем?

 

Покажите пример "конструкта". Опишите общую схему.

в терминах juniper затрудняюсь, но, например, с прокси сервера отдавать маршруты /32 на такие адреса по ospf.

[MonaxGT]

nerik, на SRX есть свой функционал, на MX врятли такой есть. Точно сказать не могу.

[NikBSDOpen]

в терминах juniper затрудняюсь, но, например, с прокси сервера отдавать маршруты /32 на такие адреса по ospf.

 

Скриптом резольвить "список" в IP и отдавать маршруты в динамике на бордер. А что, это вариант:)Если блочить будем по IP. А если URL?

Прошу прощения, что сразу не понял общую идею.

[nerik]

Эх, прокси не вариант, 2,5G трафика)) Поэтому и смотрю, чем можно на MX редиректить или подсунуть трафик) Это конечно же временное решение, т.к. в планах покупать оборудование DPI. MX используется в качестве бордера.

Абоненты мягко говоря задолбали, когда блочится youtube или жж.

[NikBSDOpen]

У товарища при ~похожей нагрузке в качестве связки стоит mx80+srx650(вместо платы), на последнем настроен Web filtering -> websense redirect на (SWF_JUN_v5_SRC203(surfcontrol)не требуется лицензия) и это все вполне справляется с его задачами. То, как делал я и так понятно.

[zorn]

Скриптом резольвить "список" в IP

Зачем резолвить ? Насколько помню, там на все записи есть ip

 

Эх, прокси не вариант, 2,5G трафика))

А зачем заруливать весь траффик ?

Вместо проксиков можно заюзать например это http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=951309

Edited April 3, 2014 by zorn

[pfexec]

Вариант логичный и простой. :) Весь HTTP через прокси.

я имел ввиду те ойпи-адреса, которые в списке для блокировки.

А это собственно как? Простите, мы об одном и том же речь ведем?

вы же фильтром уже блокируете их. тоже самое, только экшн у терма другой. прочитай про filter based forwarding.

Скриптом резольвить "список" в IP и отдавать маршруты в динамике на бордер.

ненадо ничего резолвить. ip-адреса же есть уже в списке. не нужны никакие маршруты, достаточно префикслиста в фильтре.

Поэтому и смотрю, чем можно на MX редиректить или подсунуть трафик)

вы редиректите не весь трафик а только то что в списке. там ниразу не 2.5Гбпс.

чтобы делать на МХ, нужен сервисный модуль.

SRX650 вариант, но он мягко говоря не соответствует производительности MX80.

[NikBSDOpen]

вы же фильтром уже блокируете их. тоже самое, только экшн у терма другой. прочитай про filter based forwarding.

:)

ненадо ничего резолвить. ip-адреса же есть уже в списке. не нужны никакие маршруты, достаточно префикслиста в фильтре.

Согласен на счет IP. Про резольв не это имел в виду, точнее не в таоком контексте, косяк за мной.

Префикс листы загружать в основной конфиг? Без всякой иронии кол-во строк не пугает, ведь не очень удобно.

 

вы редиректите не весь трафик а только то что в списке. там ниразу не 2.5Гбпс.

чтобы делать на МХ, нужен сервисный модуль.

SRX650 вариант, но он мягко говоря не соответствует производительности MX80.

 

Вот по поводу 2.5Гбпс и спрашивал, есть ли реальная статистика попадания в "список-префиксов (кеш, если хотите)"? Если там копейки, то может справится младший srx, что бы было дешево и сердито, на конкретно! поставленной задаче?

 

По поводу srx650, а кто-нибудь сравнивал производительность модуля в MX с производительностью серии srx?

Понятно, что сами по себе MX80 и SRX650, это разный уровень, да и задачи разные, но все же, а если сравнить с модулем опять-таки в контесте текущей проблемы?

[pfexec]

Префикс листы загружать в основной конфиг? Без всякой иронии кол-во строк не пугает, ведь не очень удобно.

пусть не пугает. многомегабайтных конфиг - это нормально и ничего страшного в этом нет. если всё что понаписано действительно нужно и по-другому никак. а вот городить лишние сущности с протоколами маршрутизации и спецификами - странная затея на мой взгляд.

[DVM-Avgoor]

Собсно так оно и работало. Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит.

[msdt]

Редиректить на прокси только те ip адреса, которые в списке надзора.

У нас так и сделано. Микротик через rip отдает отдает маршрутизатору список префиксов, трафик на которые нужно фильтровать, далее они пропускаются через прозрачный web-proxy на микротике. В пятой версии routeros web-proxy изредка подвисал, в шестой работает стабильно. А вот https приходится фильтровать по ip-адресу.

[alks]

у меня глюки или в этой ветке потерли пару страниц?

[vurd]

Собсно так оно и работало. Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит.

 

А к бордеру не получится цепануть так. Трафик то должен дальше уйти наверх. Какая-то голимая схема, разве что натить запросы.

 

Самый лучшый вариант, из тех что слышал, миррорить в физ порт трафик на 80 порт и там уже отвечать _быстрей_ чем оригинальный ресурс. Ну и плюс посылать TCP RST или что там нужно на реальный хост.

Если эта пристройка сломается, то ничего не произойдет.

[DVM-Avgoor]

Самый лучшый вариант, из тех что слышал, миррорить в физ порт трафик на 80 порт и там уже отвечать _быстрей_ чем оригинальный ресурс. Ну и плюс посылать TCP RST или что там нужно на реальный хост.

 

 

facepalm.jpg

 

Откройте для себя VRF / Routing Instance / PBR, и больше не курите такого некачественного.

[pfexec]

Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит.

Откройте для себя VRF / Routing Instance / PBR, и больше не курите такого некачественного.

ты сам что куришь то ?

какой то странный путь нагородить костылей с маршрутизаией там где можно обойтись одним фильтром. горе от ума ?

Edited April 4, 2014 by pfexec

[Dubridze]

Это он показывает какой он умный.

[DVM-Avgoor]

ты сам что куришь то ?

какой то странный путь нагородить костылей с маршрутизаией там где можно обойтись одним фильтром. горе от ума ?

 

 

Товарищ пишет про то, что если сливать маршруты в бордер в общую таблицу, то трафик вернувшийся с сервера фильтрации в эту же таблицу опять пойдет туда же а не в интернетики улетит. Но есть куча способов завернуть трафик как надо. Какой фильтр ты имеешь ввиду? Тот что как раз PBR? :D Да, в терминологии Juniper Filter-Based Forwarding.

[vurd]

Да у меня пбром с брасов к бордеру и завернуто. Но я в упор не понимаю куда вы предлагаете присунуть бгп. Городить пбр на выхдой ифейс с сервера и слать трафик в какой-то аплинк с условиями его доступности? А если вашему даунлинку не упала ваша страничка с блок-инфо?

[DVM-Avgoor]

Но я в упор не понимаю куда вы предлагаете присунуть бгп.

 

Я вроде нормально описал все. Просто если вы это делаете в бордер то будет несколько не удобно. В брас же можно вполне, хоть по бгп хоть по осфп.