Voronok Posted June 25, 2014 (edited) · Report post Добрый день. Внедряю FWSM в качестве фаерволла в существующую сеть провайдера. Задача пускать или нет в интернет, в зависимости от галочки в биллинге. Пробовал сделать через RADIUS, но получается не удобно - приходится вводить логин и пароль. Попытки заставить радиус авторизовывать абонента автоматически по IP успехом не увенчались. Отсюда остаётся два варианта - по SNMP закидывать конфиг с акутальным ACL, или по SSH править ACL на лету. Первый вариант использовать не хочется, т.к. это будет явно по крону, т.е. хоть небольшие задержки, но будут. Второй вариант смущает производительностью. Не возникнет очередь из необработанных сессий? Поэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени? Сколько абонентов можно беспроблемно для производительности держать в одном ACL в одном контексте? Если что, шасси использую 6509. FWSM версия 4.1, работает в прозрачном режиме. Edited June 25, 2014 by Voronok Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted June 25, 2014 · Report post оэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени? фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted June 25, 2014 (edited) · Report post фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com/c/en/us/td/docs/security/fwsm/fwsm41/configuration/guide/fwsm_cfg/exampl_f.html#wp1047426 Тем более, железка уже стоит. Вопрос в том, каким способом лучше добавлять/удалять правила ACL. Ну и ещё в том, сколько модуль таким образом прожуёт. Edited June 25, 2014 by Voronok Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted June 25, 2014 · Report post Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com....html#wp1047426 там статическая конфигурация, а не реал-тайм изменение. сомневаюсь, что это можно сделать по snmp. самый реальный вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted June 25, 2014 (edited) · Report post вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm Понятно, спасибо. Короче, то ещё развлечение. Просто смотрю, народ применяет fwsm как NAT, да и как я хочу, в провайдинге. Все, наверное, так и извращаются. А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает. Edited June 25, 2014 by Voronok Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted June 25, 2014 · Report post вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted June 25, 2014 · Report post А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Писюк. Без шуток. Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted June 25, 2014 · Report post А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Писюк. Без шуток. Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0) Ну писюк это мегабит 800. Мы рассчитывали пропустить 3-4 гига через каждый fwsm. Интересно, fwsm будет тупить так же, как и 65, при изменении ACL с парой тысяч правил? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted June 26, 2014 · Report post 65хх не тупит при изменении ACL размером в пару тысяч, если вы читаете мануалы. В оных есть подсказка использовать именованные ACL. Если вы конечно не удаляете ACL целиком и не записываете его заново. Тогда вам ничего не поможет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дятел Posted June 26, 2014 · Report post А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает. загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted June 26, 2014 (edited) · Report post загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит... Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует. Уточню, интернетом нормально пользоваться невозможно. Но есть досадные исключения (сейчас проверил) - скайп загружает список контактов со статусами, работает чат и голосовые вызовы в скайпе, торрент загрузил количество пиров DHT. Пинг, правда, не ходит. Что Вы ещё делаете, чтобы всё зарубить на SCE? Версия, правда, 3.8.5, до 4 не обновлялись. Edited June 26, 2014 by Voronok Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted June 27, 2014 · Report post загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...SCE не умеет "блокировать" трафик. вы документацию почитайте. Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.вы тоже прочитайте документацию.это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted June 27, 2014 (edited) · Report post загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...SCE не умеет "блокировать" трафик. вы документацию почитайте. Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.вы тоже прочитайте документацию.это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим. Я читал, но предыдущий комментарий меня удивил и я засомневался. Edited June 27, 2014 by Voronok Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted June 27, 2014 (edited) · Report post Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго. Edited June 27, 2014 by Voronok Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted June 28, 2014 · Report post Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго. Все подсказки по ускорению процесса лежат здесь в теме. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted June 29, 2014 · Report post Не отписался. Сделал на FWSM заливку правил через телнет, красота, меньше 1.5 секунды. Прикольный модуль, он, оказывается ещё и натит лучше, чем ACE. Все проблемы с pptp решаются одной строчкой в конфиге без всяких дополнительных серверов. На неделе попробую на реальной нагрузке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voronok Posted July 4, 2014 · Report post Что-то не очень производительность при нате. Сделал всё, что тут написано (кроме MTU), максимальная скорость 600 Мбит/с. Я думал больше будет. Там же не один поток, коннекты от кучи пользователей, несколько натов. Или это ограничение НАТа такое? Да вроде xlate count не упёрся в потолок. Интересно, в прозрачном режиме скорость будет такая же, или до 900 Мбит/с прожуёт? Это я сейчас всё написал в рамках одного контекста. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...