Voronok Опубликовано 25 июня, 2014 (изменено) · Жалоба Добрый день. Внедряю FWSM в качестве фаерволла в существующую сеть провайдера. Задача пускать или нет в интернет, в зависимости от галочки в биллинге. Пробовал сделать через RADIUS, но получается не удобно - приходится вводить логин и пароль. Попытки заставить радиус авторизовывать абонента автоматически по IP успехом не увенчались. Отсюда остаётся два варианта - по SNMP закидывать конфиг с акутальным ACL, или по SSH править ACL на лету. Первый вариант использовать не хочется, т.к. это будет явно по крону, т.е. хоть небольшие задержки, но будут. Второй вариант смущает производительностью. Не возникнет очередь из необработанных сессий? Поэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени? Сколько абонентов можно беспроблемно для производительности держать в одном ACL в одном контексте? Если что, шасси использую 6509. FWSM версия 4.1, работает в прозрачном режиме. Изменено 25 июня, 2014 пользователем Voronok Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 июня, 2014 · Жалоба оэтому хочу спросить, кто как управляет ACL на FWSM в реальном времени? фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 25 июня, 2014 (изменено) · Жалоба фаервольный модуль не предназначен для этого и такого функционала, насколько мне изветсно, нет. вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com/c/en/us/td/docs/security/fwsm/fwsm41/configuration/guide/fwsm_cfg/exampl_f.html#wp1047426 Тем более, железка уже стоит. Вопрос в том, каким способом лучше добавлять/удалять правила ACL. Ну и ещё в том, сколько модуль таким образом прожуёт. Изменено 25 июня, 2014 пользователем Voronok Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 июня, 2014 · Жалоба Ну как же, вот точно такая же ситуация в примерах циски: http://www.cisco.com....html#wp1047426 там статическая конфигурация, а не реал-тайм изменение. сомневаюсь, что это можно сделать по snmp. самый реальный вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 25 июня, 2014 (изменено) · Жалоба вариант - вливать кусочки конфигурации с использованием tftp/ftp. команду на влитие давать по rsh/telnet/ssh. не уверен что по snmp можно влить кусок конфига с tftp в конфиг fwsm Понятно, спасибо. Короче, то ещё развлечение. Просто смотрю, народ применяет fwsm как NAT, да и как я хочу, в провайдинге. Все, наверное, так и извращаются. А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает. Изменено 25 июня, 2014 пользователем Voronok Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 25 июня, 2014 · Жалоба вам нужна железка, которая позиционируется как bras/dpi, в которой есть динамическое изменение параметров сессии(или как говорят, управление сервисами подсписчика) А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 25 июня, 2014 · Жалоба А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Писюк. Без шуток. Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 25 июня, 2014 · Жалоба А что-нибудь можете посоветовать бюджетное, что можно воткнуть (не важно, прозрачно или с роутингом) без всяких туннелей и впн, просто вкл\выкл по IP? Писюк. Без шуток. Сам 65ый использовать тоже можно, 32к ACE позволяют. Надо допилить логику добавления/убивания правил. Я это делаю через telnet (остальные протоколы страдают "тыщей особенностей" от которых дурно только, а профита 0) Ну писюк это мегабит 800. Мы рассчитывали пропустить 3-4 гига через каждый fwsm. Интересно, fwsm будет тупить так же, как и 65, при изменении ACL с парой тысяч правил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 26 июня, 2014 · Жалоба 65хх не тупит при изменении ACL размером в пару тысяч, если вы читаете мануалы. В оных есть подсказка использовать именованные ACL. Если вы конечно не удаляете ACL целиком и не записываете его заново. Тогда вам ничего не поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 26 июня, 2014 · Жалоба А так, для url-фильтрации стоит SCE, только с помощью неё полностью зарубить трафик не получилось. Что-то да пролазит: один пинг из сотни, торрент пиры получает, аудио по скайпу работает. загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 26 июня, 2014 (изменено) · Жалоба загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит... Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует. Уточню, интернетом нормально пользоваться невозможно. Но есть досадные исключения (сейчас проверил) - скайп загружает список контактов со статусами, работает чат и голосовые вызовы в скайпе, торрент загрузил количество пиров DHT. Пинг, правда, не ходит. Что Вы ещё делаете, чтобы всё зарубить на SCE? Версия, правда, 3.8.5, до 4 не обновлялись. Изменено 26 июня, 2014 пользователем Voronok Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 27 июня, 2014 · Жалоба загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...SCE не умеет "блокировать" трафик. вы документацию почитайте. Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.вы тоже прочитайте документацию.это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 27 июня, 2014 (изменено) · Жалоба загадочно....Тут куча народу использует SCE в том числе для блокировки, а у вас что-то ходит...SCE не умеет "блокировать" трафик. вы документацию почитайте. Странно. Добавляю абонента в пакадж с единственным правилом "blocked and redirected". В разделе "Filtered Traffic" всё отключено. HTTP трафик заворачивается на заглушку "Положите денег", остальной блокируется. Но, какие-то копейки просачиваются, видно не всё идентифицирует.вы тоже прочитайте документацию.это жи dpi, ему чтобы классифицировать трафик, надо собрать целиком флоу из отправленных и полученных пакетов. а потом что-то решить с этим. Я читал, но предыдущий комментарий меня удивил и я засомневался. Изменено 27 июня, 2014 пользователем Voronok Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 27 июня, 2014 (изменено) · Жалоба Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго. Изменено 27 июня, 2014 пользователем Voronok Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 28 июня, 2014 · Жалоба Да, с 65 я был не совсем прав. Просто давно делал. Проблема заключается в том, что правила добавляются/удаляются слишком долго. Все подсказки по ускорению процесса лежат здесь в теме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 29 июня, 2014 · Жалоба Не отписался. Сделал на FWSM заливку правил через телнет, красота, меньше 1.5 секунды. Прикольный модуль, он, оказывается ещё и натит лучше, чем ACE. Все проблемы с pptp решаются одной строчкой в конфиге без всяких дополнительных серверов. На неделе попробую на реальной нагрузке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 4 июля, 2014 · Жалоба Что-то не очень производительность при нате. Сделал всё, что тут написано (кроме MTU), максимальная скорость 600 Мбит/с. Я думал больше будет. Там же не один поток, коннекты от кучи пользователей, несколько натов. Или это ограничение НАТа такое? Да вроде xlate count не упёрся в потолок. Интересно, в прозрачном режиме скорость будет такая же, или до 900 Мбит/с прожуёт? Это я сейчас всё написал в рамках одного контекста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...