Voronok Posted June 25, 2014 Posted June 25, 2014 (edited) Добрый день. Внедряю FWSM в качестве фаерволла в существующую сеть провайдера. Задача пускать или нет в интернет, в зависимости от галочки в биллинге. Пробовал сделать через RADIUS, но получается не удобно - приходится вводить логин и пароль. Попытки заставить радиус авторизовывать абонента автоматически по IP успехом не увенчались. Отсюда остаётся два варианта - по SNMP закидывать конфиг с акутальным ACL, или по SSH править ACL на лету. Первый вариант использовать не хочется, т.к. это будет явно по крону, т.е. хоть небольшие задержки, но будут. Второй вариант смущает производительностью. Не возникнет очередь из необработанных сессий? Поэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени? Сколько абонентов можно беспроблемно для производительности держать в одном ACL в одном контексте? Если что, шасси использую 6509. FWSM версия 4.1, работает в прозрачном режиме. Edited June 25, 2014 by Voronok Вставить ник Quote
s.lobanov Posted June 25, 2014 Posted June 25, 2014 оэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени? фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) Вставить ник Quote
Voronok Posted June 25, 2014 Author Posted June 25, 2014 (edited) фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com/c/en/us/td/docs/security/fwsm/fwsm41/configuration/guide/fwsm_cfg/exampl_f.html#wp1047426 Тем более, железка уже стоит. Вопрос в том, каким способом лучше добавлять/удалять правила ACL. Ну и ещё в том, сколько модуль таким образом прожуёт. Edited June 25, 2014 by Voronok Вставить ник Quote
s.lobanov Posted June 25, 2014 Posted June 25, 2014 Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com....html#wp1047426 там статическая конфигурация, а не реал-тайм изменение. сомневаюсь, что это можно сделать по snmp. самый реальный вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm Вставить ник Quote
Voronok Posted June 25, 2014 Author Posted June 25, 2014 (edited) вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm Понятно, спасибо. Короче, то ещё развлечение. Просто смотрю, народ применяет fwsm как NAT, да и как я хочу, в провайдинге. Все, наверное, так и извращаются. А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает. Edited June 25, 2014 by Voronok Вставить ник Quote
Voronok Posted June 25, 2014 Author Posted June 25, 2014 вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Вставить ник Quote
DVM-Avgoor Posted June 25, 2014 Posted June 25, 2014 А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Писюк. Без шуток. Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0) Вставить ник Quote
Voronok Posted June 25, 2014 Author Posted June 25, 2014 А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Писюк. Без шуток. Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0) Ну писюк это мегабит 800. Мы рассчитывали пропустить 3-4 гига через каждый fwsm. Интересно, fwsm будет тупить так же, как и 65, при изменении ACL с парой тысяч правил? Вставить ник Quote
DVM-Avgoor Posted June 26, 2014 Posted June 26, 2014 65хх не тупит при изменении ACL размером в пару тысяч, если вы читаете мануалы. В оных есть подсказка использовать именованные ACL. Если вы конечно не удаляете ACL целиком и не записываете его заново. Тогда вам ничего не поможет. Вставить ник Quote
Дятел Posted June 26, 2014 Posted June 26, 2014 А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает. загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит... Вставить ник Quote
Voronok Posted June 26, 2014 Author Posted June 26, 2014 (edited) загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит... Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует. Уточню, интернетом нормально пользоваться невозможно. Но есть досадные исключения (сейчас проверил) - скайп загружает список контактов со статусами, работает чат и голосовые вызовы в скайпе, торрент загрузил количество пиров DHT. Пинг, правда, не ходит. Что Вы ещё делаете, чтобы всё зарубить на SCE? Версия, правда, 3.8.5, до 4 не обновлялись. Edited June 26, 2014 by Voronok Вставить ник Quote
pfexec Posted June 27, 2014 Posted June 27, 2014 загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...SCE не умеет "блокировать" трафик. вы документацию почитайте. Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.вы тоже прочитайте документацию.это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим. Вставить ник Quote
Voronok Posted June 27, 2014 Author Posted June 27, 2014 (edited) загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...SCE не умеет "блокировать" трафик. вы документацию почитайте. Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.вы тоже прочитайте документацию.это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим. Я читал, но предыдущий комментарий меня удивил и я засомневался. Edited June 27, 2014 by Voronok Вставить ник Quote
Voronok Posted June 27, 2014 Author Posted June 27, 2014 (edited) Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго. Edited June 27, 2014 by Voronok Вставить ник Quote
DVM-Avgoor Posted June 28, 2014 Posted June 28, 2014 Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго. Все подсказки по ускорению процесса лежат здесь в теме. Вставить ник Quote
Voronok Posted June 29, 2014 Author Posted June 29, 2014 Не отписался. Сделал на FWSM заливку правил через телнет, красота, меньше 1.5 секунды. Прикольный модуль, он, оказывается ещё и натит лучше, чем ACE. Все проблемы с pptp решаются одной строчкой в конфиге без всяких дополнительных серверов. На неделе попробую на реальной нагрузке. Вставить ник Quote
Voronok Posted July 4, 2014 Author Posted July 4, 2014 Что-то не очень производительность при нате. Сделал всё, что тут написано (кроме MTU), максимальная скорость 600 Мбит/с. Я думал больше будет. Там же не один поток, коннекты от кучи пользователей, несколько натов. Или это ограничение НАТа такое? Да вроде xlate count не упёрся в потолок. Интересно, в прозрачном режиме скорость будет такая же, или до 900 Мбит/с прожуёт? Это я сейчас всё написал в рамках одного контекста. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.