Pritorius Posted October 30, 2014 · Report post 1. Есть Cisco C3750G-24TS, потянет резать около 3000 дейстанейшн IP (фильтр Роскомнадзора)? 2. Если Да. Кто находил варианты заливки списка IP в ACL на PHP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
infery Posted October 30, 2014 · Report post 1. Есть Cisco C3750G-24TS, потянет резать около 3000 дейстанейшн IP (фильтр Роскомнадзора)? 2. Если Да. Кто находил варианты заливки списка IP в ACL на PHP. Может чуть не по теме, но мы делали так: Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted October 30, 2014 · Report post Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал. В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
joesm Posted October 30, 2014 · Report post Может чуть не по теме, но мы делали так: Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой. Используем примерно такую же схему для блокировки по IP. Но генерить конфиг квагге не надо. Гораздо проще обращаться с ней по телент и менять конфиг штатными командами, это исключает необходимость ее перезапуска. Как бонус клиенты имеют редирект на страницу с предупреждением о блокировке, а не сидят и ждут таймаута как в случае с acl. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pritorius Posted October 31, 2014 · Report post Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал. В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами. Легко тратить чужие деньги :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pritorius Posted October 31, 2014 · Report post Может чуть не по теме, но мы делали так: Там, где выгружаем списки, поднимаем quagga и Bgp, с помощью perl-скрипта генерируем конфиг для квагги и рестартим ее. На 3750 делаем статически маршрут ip route 192.168.0.1 255.255.255.255 null 0, поднимаем пириннг с кваггой, на которой с помощью роутмапа next-hop ставим 192.168.0.1. Если есть интерес поделюсь наработкой. Используем примерно такую же схему для блокировки по IP. Но генерить конфиг квагге не надо. Гораздо проще обращаться с ней по телент и менять конфиг штатными командами, это исключает необходимость ее перезапуска. Как бонус клиенты имеют редирект на страницу с предупреждением о блокировке, а не сидят и ждут таймаута как в случае с acl. Оу оу оу ))) Парни полегче :) Ладно сузим круг вопросов. Давайте представим что кроме 3750 больше ничего под рукой нет. Вообще нет, вакуум. 1. Потянет или нет 3000 записей? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 31, 2014 · Report post имхо нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted October 31, 2014 · Report post Что там сложного? Возьмите пхп/сш/пегл да проверьте, влезет или нет. Официально ЕМНИП там всего 1к ACE поддерживается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted October 31, 2014 · Report post Вот чесслово, уже таких решений, если нет железного dpi, используй софтовый. Зеркалируй трафик на DPI, а она в свою очередь tcp rst посылать будет. Сначала софт мутили сами, по скачиваю реестра и заполнения acl маршрутизатора. Сначала по IP, потом начал рулить по url.. Пока в один момент роутер колом не стал. В итоге забросили все и перешли на стороннее решение с зеркалированием и копеечными ежемесячными платежами. Легко тратить чужие деньги :) Чужие? Как раз нет ;) А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 1, 2014 · Report post А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением. Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 1, 2014 · Report post А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением. Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее.. Пошёл на склад, нашёл старый HP DL360 g4 с двумя зеонами и 4гб памяти, залил DPI, отзеркалировал порт, подкинул ЭЦП, ввел инн и огрн, указал интерфейс в меню - и закончилось внедрение, правда разрабам подкинул пару идей по алгоритму и интеграции с zabbix. Работает не жужжит, ежемесячный платёж я уже указал, триад 2 недели, суппорт отменный. Так что мне сторонний DPI, обошелся в дреавний сервер и ничего более. А быть всегда привязанным к одному аутсорсеру - не кайф. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pritorius Posted November 4, 2014 · Report post А по поводу DPI - от тысячи рублей в месяц стоит. А разработка своего нам обошлась 60тыс рублей, плюс когда росконадзор поменял формат - отдали еще 7 тыс рублей. В итоге - решили завязаться со сторонним решением. Это только стоимость разработки :) Дешево вам программисты обходятся. Полную стоимость внедрения приведите. С оборудованием, и стоимость эксплуатации. Мы сейчас в стадии внедрения софтового стороннего dpi, одно железо уже обошлось в >50крублей, сервер плюс сетевая карта, место в стойке, монтаж, порты коммутаторов и прочее.. Пошёл на склад, нашёл старый HP DL360 g4 с двумя зеонами и 4гб памяти, залил DPI, отзеркалировал порт, подкинул ЭЦП, ввел инн и огрн, указал интерфейс в меню - и закончилось внедрение, правда разрабам подкинул пару идей по алгоритму и интеграции с zabbix. Работает не жужжит, ежемесячный платёж я уже указал, триад 2 недели, суппорт отменный. Так что мне сторонний DPI, обошелся в дреавний сервер и ничего более. А быть всегда привязанным к одному аутсорсеру - не кайф. Будьте тогда столь любезны, киньте в ЛС контакты этого райского DPI ;-) Про зеркало не совсем понлял... как можно что то резать на зеркале, насколько я понимаю только мониторить... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 4, 2014 · Report post Отправил Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted November 4, 2014 · Report post и мне отправьте пожалуйста. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 4, 2014 · Report post Уже Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pritorius Posted November 5, 2014 · Report post Хех, ну так бы и сказали что карбон :) Ладно попробуем, только вопрос как быстро закончится ограничение SLA1 в 10000 записей :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 5, 2014 (edited) · Report post Хех, ну так бы и сказали что карбон :) Ладно попробуем, только вопрос как быстро закончится ограничение SLA1 в 10000 записей :) Реклама была бы. Но работает хорошо, сам недоверчиво отнёсся сначала. По лицензии 750 000 htttp/s пакетов в секунду, это как я понял по твоему варианту Edited November 5, 2014 by SyJet Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...