nerik Опубликовано 3 апреля, 2014 · Жалоба Добрый день. Обращаюсь за помощью к гуру juniper :) С железкой еще разбираюсь, поэтому все ньюансы ее пока не понятны. Так как денег на оборудование DPI пока нет, нам приходится блокировать запрещенные сайты жестко на данной железке - с помощью списков filter. Возможно ли на mx80 делать перехват http-траффика на запрещенный сайт (используя данный список)? После делать какой-нибудь редирект на страницу, где будет написано, что сайт был заблокирован по требованию Роскомнадзора. Наткнулся на ссылку http://www.juniper.net/techpubs/en_US/junos12.3/topics/example/http-redirect-service-static-interface-example.html Поможет ли оно? Спасибо)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 3 апреля, 2014 · Жалоба А в каком виде у Вас используется MX? В качестве "бордера" или "браса" ? Тут такая ситуация, блокировки от "надзора" лично я реализовывал у клиентов на SRX т.к. MX использовался, как бордер. На srx реализовывал переработанными под себя скриптами. Почему из скриптов... меньше возьни. Описание как сделать, смотреть по ссылке. http://andymillett.co.uk/2013/07/14/dynamic-blocklists-with-junos/ На MX это все реализовать не пробовл. Небыло необходимости(возможности), может быть, что без платы не заработает. Может быть, кто то раскажет как действительно можно сделать правильно? Собственно тоже интересно как проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 3 апреля, 2014 · Жалоба Наткнулся на ссылкуhttp://www.juniper.n...ce-example.html без сервис модуля не получится. просто редиректите на сервак с проксе весь http а там кто про урлу не сматчился проксируйте дальше, а кто сматчился показывайте страничку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 3 апреля, 2014 · Жалоба просто редиректите на сервак с проксе весь http а там кто про урлу не сматчился проксируйте дальше, а кто сматчился показывайте страничку. Вариант логичный и простой. :) Весь HTTP через прокси. 21 век на дворе, а сквид и ныне там. Ничего не имею против, а так же не собираюсь навязывать свое мнение, но в моем понимании такой конструкт - это возможно лишняя точка отказа. И рассматривать его, только, как временное решение. У меня потутный вопрос. Не кто не анализировал трафик, который проходит через http прокси, допустим на канале в 1 гигабит. Может, исходя из статистики легче(проще, дешевле), прикупить какой-нибудь srx210-240 и транслировать не через сквид, а на него. Собственно вариант использовать младшие srx вместо платы(proxy)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 3 апреля, 2014 · Жалоба Редиректить на прокси только те ip адреса, которые в списке надзора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 3 апреля, 2014 (изменено) · Жалоба Редиректить на прокси только те ip адреса, которые в списке надзора. А это собственно как? Простите, мы об одном и том же речь ведем? Покажите пример "конструкта". Опишите общую схему. Изменено 3 апреля, 2014 пользователем NikBSDOpen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 3 апреля, 2014 · Жалоба А это собственно как? Простите, мы об одном и том же речь ведем? Покажите пример "конструкта". Опишите общую схему. в терминах juniper затрудняюсь, но, например, с прокси сервера отдавать маршруты /32 на такие адреса по ospf. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 3 апреля, 2014 · Жалоба nerik, на SRX есть свой функционал, на MX врятли такой есть. Точно сказать не могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 3 апреля, 2014 · Жалоба в терминах juniper затрудняюсь, но, например, с прокси сервера отдавать маршруты /32 на такие адреса по ospf. Скриптом резольвить "список" в IP и отдавать маршруты в динамике на бордер. А что, это вариант:)Если блочить будем по IP. А если URL? Прошу прощения, что сразу не понял общую идею. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nerik Опубликовано 3 апреля, 2014 · Жалоба Эх, прокси не вариант, 2,5G трафика)) Поэтому и смотрю, чем можно на MX редиректить или подсунуть трафик) Это конечно же временное решение, т.к. в планах покупать оборудование DPI. MX используется в качестве бордера. Абоненты мягко говоря задолбали, когда блочится youtube или жж. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 3 апреля, 2014 · Жалоба У товарища при ~похожей нагрузке в качестве связки стоит mx80+srx650(вместо платы), на последнем настроен Web filtering -> websense redirect на (SWF_JUN_v5_SRC203(surfcontrol)не требуется лицензия) и это все вполне справляется с его задачами. То, как делал я и так понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zorn Опубликовано 3 апреля, 2014 (изменено) · Жалоба Скриптом резольвить "список" в IP Зачем резолвить ? Насколько помню, там на все записи есть ip Эх, прокси не вариант, 2,5G трафика)) А зачем заруливать весь траффик ? Вместо проксиков можно заюзать например это http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=951309 Изменено 3 апреля, 2014 пользователем zorn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 3 апреля, 2014 · Жалоба Вариант логичный и простой. :) Весь HTTP через прокси.я имел ввиду те ойпи-адреса, которые в списке для блокировки. А это собственно как? Простите, мы об одном и том же речь ведем?вы же фильтром уже блокируете их. тоже самое, только экшн у терма другой. прочитай про filter based forwarding.Скриптом резольвить "список" в IP и отдавать маршруты в динамике на бордер.ненадо ничего резолвить. ip-адреса же есть уже в списке. не нужны никакие маршруты, достаточно префикслиста в фильтре. Поэтому и смотрю, чем можно на MX редиректить или подсунуть трафик)вы редиректите не весь трафик а только то что в списке. там ниразу не 2.5Гбпс.чтобы делать на МХ, нужен сервисный модуль. SRX650 вариант, но он мягко говоря не соответствует производительности MX80. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 3 апреля, 2014 · Жалоба вы же фильтром уже блокируете их. тоже самое, только экшн у терма другой. прочитай про filter based forwarding. :) ненадо ничего резолвить. ip-адреса же есть уже в списке. не нужны никакие маршруты, достаточно префикслиста в фильтре. Согласен на счет IP. Про резольв не это имел в виду, точнее не в таоком контексте, косяк за мной. Префикс листы загружать в основной конфиг? Без всякой иронии кол-во строк не пугает, ведь не очень удобно. вы редиректите не весь трафик а только то что в списке. там ниразу не 2.5Гбпс. чтобы делать на МХ, нужен сервисный модуль. SRX650 вариант, но он мягко говоря не соответствует производительности MX80. Вот по поводу 2.5Гбпс и спрашивал, есть ли реальная статистика попадания в "список-префиксов (кеш, если хотите)"? Если там копейки, то может справится младший srx, что бы было дешево и сердито, на конкретно! поставленной задаче? По поводу srx650, а кто-нибудь сравнивал производительность модуля в MX с производительностью серии srx? Понятно, что сами по себе MX80 и SRX650, это разный уровень, да и задачи разные, но все же, а если сравнить с модулем опять-таки в контесте текущей проблемы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 3 апреля, 2014 · Жалоба Префикс листы загружать в основной конфиг? Без всякой иронии кол-во строк не пугает, ведь не очень удобно.пусть не пугает. многомегабайтных конфиг - это нормально и ничего страшного в этом нет. если всё что понаписано действительно нужно и по-другому никак. а вот городить лишние сущности с протоколами маршрутизации и спецификами - странная затея на мой взгляд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 3 апреля, 2014 · Жалоба Собсно так оно и работало. Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
msdt Опубликовано 3 апреля, 2014 · Жалоба Редиректить на прокси только те ip адреса, которые в списке надзора. У нас так и сделано. Микротик через rip отдает отдает маршрутизатору список префиксов, трафик на которые нужно фильтровать, далее они пропускаются через прозрачный web-proxy на микротике. В пятой версии routeros web-proxy изредка подвисал, в шестой работает стабильно. А вот https приходится фильтровать по ip-адресу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 3 апреля, 2014 · Жалоба у меня глюки или в этой ветке потерли пару страниц? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 3 апреля, 2014 · Жалоба Собсно так оно и работало. Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит. А к бордеру не получится цепануть так. Трафик то должен дальше уйти наверх. Какая-то голимая схема, разве что натить запросы. Самый лучшый вариант, из тех что слышал, миррорить в физ порт трафик на 80 порт и там уже отвечать _быстрей_ чем оригинальный ресурс. Ну и плюс посылать TCP RST или что там нужно на реальный хост. Если эта пристройка сломается, то ничего не произойдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 3 апреля, 2014 · Жалоба Самый лучшый вариант, из тех что слышал, миррорить в физ порт трафик на 80 порт и там уже отвечать _быстрей_ чем оригинальный ресурс. Ну и плюс посылать TCP RST или что там нужно на реальный хост. facepalm.jpg Откройте для себя VRF / Routing Instance / PBR, и больше не курите такого некачественного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 4 апреля, 2014 (изменено) · Жалоба Сливаете нужные /32 нужных ресурсов с фильтрующего сервера по бгп/оспф/статикой_и_соплями на коробку, а на фильтрующем сервере уже сквид/нгинкс/магия по URI матчит и блочит или насквозь пускает. Вопрос яйца выеденного не стоит. Откройте для себя VRF / Routing Instance / PBR, и больше не курите такого некачественного.ты сам что куришь то ?какой то странный путь нагородить костылей с маршрутизаией там где можно обойтись одним фильтром. горе от ума ? Изменено 4 апреля, 2014 пользователем pfexec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dubridze Опубликовано 4 апреля, 2014 · Жалоба Это он показывает какой он умный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 4 апреля, 2014 · Жалоба ты сам что куришь то ? какой то странный путь нагородить костылей с маршрутизаией там где можно обойтись одним фильтром. горе от ума ? Товарищ пишет про то, что если сливать маршруты в бордер в общую таблицу, то трафик вернувшийся с сервера фильтрации в эту же таблицу опять пойдет туда же а не в интернетики улетит. Но есть куча способов завернуть трафик как надо. Какой фильтр ты имеешь ввиду? Тот что как раз PBR? :D Да, в терминологии Juniper Filter-Based Forwarding. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 5 апреля, 2014 · Жалоба Да у меня пбром с брасов к бордеру и завернуто. Но я в упор не понимаю куда вы предлагаете присунуть бгп. Городить пбр на выхдой ифейс с сервера и слать трафик в какой-то аплинк с условиями его доступности? А если вашему даунлинку не упала ваша страничка с блок-инфо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 5 апреля, 2014 · Жалоба Но я в упор не понимаю куда вы предлагаете присунуть бгп. Я вроде нормально описал все. Просто если вы это делаете в бордер то будет несколько не удобно. В брас же можно вполне, хоть по бгп хоть по осфп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...