Jump to content
Калькуляторы

FWSM - управление ACL

Добрый день. Внедряю FWSM в качестве фаерволла в существующую сеть провайдера. Задача пускать или нет в интернет, в зависимости от галочки в биллинге. Пробовал сделать через RADIUS, но получается не удобно - приходится вводить логин и пароль. Попытки заставить радиус авторизовывать абонента автоматически по IP успехом не увенчались. Отсюда остаётся два варианта - по SNMP закидывать конфиг с акутальным ACL, или по SSH править ACL на лету.

 

Первый вариант использовать не хочется, т.к. это будет явно по крону, т.е. хоть небольшие задержки, но будут.

Второй вариант смущает производительностью. Не возникнет очередь из необработанных сессий?

 

Поэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени? Сколько абонентов можно беспроблемно для производительности держать в одном ACL в одном контексте?

 

Если что, шасси использую 6509. FWSM версия 4.1, работает в прозрачном режиме.

Edited by Voronok

Share this post


Link to post
Share on other sites

оэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени?

фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика)

Share this post


Link to post
Share on other sites
фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика)

Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com/c/en/us/td/docs/security/fwsm/fwsm41/configuration/guide/fwsm_cfg/exampl_f.html#wp1047426

Тем более, железка уже стоит. Вопрос в том, каким способом лучше добавлять/удалять правила ACL. Ну и ещё в том, сколько модуль таким образом прожуёт.

Edited by Voronok

Share this post


Link to post
Share on other sites

Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com....html#wp1047426

там статическая конфигурация, а не реал-тайм изменение.

 

сомневаюсь, что это можно сделать по snmp. самый реальный вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm

Share this post


Link to post
Share on other sites
вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm

Понятно, спасибо. Короче, то ещё развлечение. Просто смотрю, народ применяет fwsm как NAT, да и как я хочу, в провайдинге. Все, наверное, так и извращаются.

 

А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает.

Edited by Voronok

Share this post


Link to post
Share on other sites
вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика)

 

А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP?

Share this post


Link to post
Share on other sites

А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP?

 

Писюк. Без шуток.

Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0)

Share this post


Link to post
Share on other sites

А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP?

 

Писюк. Без шуток.

Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0)

Ну писюк это мегабит 800. Мы рассчитывали пропустить 3-4 гига через каждый fwsm. Интересно, fwsm будет тупить так же, как и 65, при изменении ACL с парой тысяч правил?

Share this post


Link to post
Share on other sites

65хх не тупит при изменении ACL размером в пару тысяч, если вы читаете мануалы.

В оных есть подсказка использовать именованные ACL. Если вы конечно не удаляете ACL целиком и не записываете его заново. Тогда вам ничего не поможет.

Share this post


Link to post
Share on other sites

А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает.

 

загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...

Share this post


Link to post
Share on other sites

загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...

Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует. Уточню, интернетом нормально пользоваться невозможно. Но есть досадные исключения (сейчас проверил) - скайп загружает список контактов со статусами, работает чат и голосовые вызовы в скайпе, торрент загрузил количество пиров DHT. Пинг, правда, не ходит.

 

Что Вы ещё делаете, чтобы всё зарубить на SCE? Версия, правда, 3.8.5, до 4 не обновлялись.

Edited by Voronok

Share this post


Link to post
Share on other sites
загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...
SCE не умеет "блокировать" трафик. вы документацию почитайте.
Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.
вы тоже прочитайте документацию.

это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим.

Share this post


Link to post
Share on other sites
загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...
SCE не умеет "блокировать" трафик. вы документацию почитайте.
Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.
вы тоже прочитайте документацию.

это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим.

Я читал, но предыдущий комментарий меня удивил и я засомневался.

Edited by Voronok

Share this post


Link to post
Share on other sites

Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго.

Edited by Voronok

Share this post


Link to post
Share on other sites

Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго.

 

Все подсказки по ускорению процесса лежат здесь в теме.

Share this post


Link to post
Share on other sites

Не отписался. Сделал на FWSM заливку правил через телнет, красота, меньше 1.5 секунды. Прикольный модуль, он, оказывается ещё и натит лучше, чем ACE. Все проблемы с pptp решаются одной строчкой в конфиге без всяких дополнительных серверов. На неделе попробую на реальной нагрузке.

Share this post


Link to post
Share on other sites

Что-то не очень производительность при нате. Сделал всё, что тут написано (кроме MTU), максимальная скорость 600 Мбит/с. Я думал больше будет. Там же не один поток, коннекты от кучи пользователей, несколько натов. Или это ограничение НАТа такое? Да вроде xlate count не упёрся в потолок. Интересно, в прозрачном режиме скорость будет такая же, или до 900 Мбит/с прожуёт? Это я сейчас всё написал в рамках одного контекста.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this