Перейти к содержимому
Калькуляторы

FWSM - управление ACL

Добрый день. Внедряю FWSM в качестве фаерволла в существующую сеть провайдера. Задача пускать или нет в интернет, в зависимости от галочки в биллинге. Пробовал сделать через RADIUS, но получается не удобно - приходится вводить логин и пароль. Попытки заставить радиус авторизовывать абонента автоматически по IP успехом не увенчались. Отсюда остаётся два варианта - по SNMP закидывать конфиг с акутальным ACL, или по SSH править ACL на лету.

 

Первый вариант использовать не хочется, т.к. это будет явно по крону, т.е. хоть небольшие задержки, но будут.

Второй вариант смущает производительностью. Не возникнет очередь из необработанных сессий?

 

Поэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени? Сколько абонентов можно беспроблемно для производительности держать в одном ACL в одном контексте?

 

Если что, шасси использую 6509. FWSM версия 4.1, работает в прозрачном режиме.

Изменено пользователем Voronok

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

оэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени?

фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика)

Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com/c/en/us/td/docs/security/fwsm/fwsm41/configuration/guide/fwsm_cfg/exampl_f.html#wp1047426

Тем более, железка уже стоит. Вопрос в том, каким способом лучше добавлять/удалять правила ACL. Ну и ещё в том, сколько модуль таким образом прожуёт.

Изменено пользователем Voronok

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com....html#wp1047426

там статическая конфигурация, а не реал-тайм изменение.

 

сомневаюсь, что это можно сделать по snmp. самый реальный вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm

Понятно, спасибо. Короче, то ещё развлечение. Просто смотрю, народ применяет fwsm как NAT, да и как я хочу, в провайдинге. Все, наверное, так и извращаются.

 

А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает.

Изменено пользователем Voronok

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика)

 

А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP?

 

Писюк. Без шуток.

Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP?

 

Писюк. Без шуток.

Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0)

Ну писюк это мегабит 800. Мы рассчитывали пропустить 3-4 гига через каждый fwsm. Интересно, fwsm будет тупить так же, как и 65, при изменении ACL с парой тысяч правил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

65хх не тупит при изменении ACL размером в пару тысяч, если вы читаете мануалы.

В оных есть подсказка использовать именованные ACL. Если вы конечно не удаляете ACL целиком и не записываете его заново. Тогда вам ничего не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает.

 

загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...

Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует. Уточню, интернетом нормально пользоваться невозможно. Но есть досадные исключения (сейчас проверил) - скайп загружает список контактов со статусами, работает чат и голосовые вызовы в скайпе, торрент загрузил количество пиров DHT. Пинг, правда, не ходит.

 

Что Вы ещё делаете, чтобы всё зарубить на SCE? Версия, правда, 3.8.5, до 4 не обновлялись.

Изменено пользователем Voronok

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...
SCE не умеет "блокировать" трафик. вы документацию почитайте.
Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.
вы тоже прочитайте документацию.

это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...
SCE не умеет "блокировать" трафик. вы документацию почитайте.
Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.
вы тоже прочитайте документацию.

это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим.

Я читал, но предыдущий комментарий меня удивил и я засомневался.

Изменено пользователем Voronok

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго.

Изменено пользователем Voronok

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго.

 

Все подсказки по ускорению процесса лежат здесь в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не отписался. Сделал на FWSM заливку правил через телнет, красота, меньше 1.5 секунды. Прикольный модуль, он, оказывается ещё и натит лучше, чем ACE. Все проблемы с pptp решаются одной строчкой в конфиге без всяких дополнительных серверов. На неделе попробую на реальной нагрузке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то не очень производительность при нате. Сделал всё, что тут написано (кроме MTU), максимальная скорость 600 Мбит/с. Я думал больше будет. Там же не один поток, коннекты от кучи пользователей, несколько натов. Или это ограничение НАТа такое? Да вроде xlate count не упёрся в потолок. Интересно, в прозрачном режиме скорость будет такая же, или до 900 Мбит/с прожуёт? Это я сейчас всё написал в рамках одного контекста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.