https://www.opennet.ru/openforum/vsluhforumID3/92817.html В статье подробно рассмотрен один из вариантов фильтрации трафика по реестру Роскомнадзора с помощью SQUID на базе FreeBSD, состыкованного с бекбоне CISCO по протоколу WCCP2.<br><br>После долгих размышлений на тему фильтрации, производительности (если пустить в фильтр весь http-трафик, то фильтрация должна осуществляться на скоростях более гигабита в секунду), была выбрана следующая схема:<br><br>[[IMG /opennews/pics_base/0_1385359495.png]]<br><br>Трафик HTTP и HTTPS, выходящий из облака нашей сети (в примере VLAN90) через наш бордер CISCO, мы будем сравнивать с ACL, содержащим IP-адреса, извлеченные из списка Роскомнадзора. В случае совпадения, мы отправляем трафик по протоколу WCCP (Web Cache Communication Protocol) на сервер(а) SQUID. Данная схема позволит нам избежать анализа всего трафика и анализировать только тот, который идет на заявленные IP, что не может не сказаться положительно на общей производительности системы. <br><br>Из минусов данной связки следует, что допустим если внесенный в реестр ресурс с IP=3.3.3.3, https://www.opennet.ru/openforum/vsluhforumID3/92817.html#49 Thu, 09 Jan 2014 08:29:19 GMT &gt; Нам тут звонили, впаривали какой-то фильтр редуктор говорят самый быстрый. <br>&gt; Но что-то я не верю чтобы софтверное было быстрее аппаратного.Если че <br>&gt; у нас SCE, работает без проблем,но хотя не дешево <br><br>Очень правильное решение, про самый быстрый не знаю ( да при его идеологии это и не нужно), правда в сетях со сложной структурой можно рехнуться его внедрять .. .<br>Идеологически - mirror трафика на анализатор и посылка RST клиенту и серверу. Зеркалить только выбранный кусок трафика ( ip + порт - увлекательно ).. <br>P.S. при виде MPS, QiQ и т.п меток анализатор впадает в ступор, так что найти точку установки оказалось не так просто.. <br><br> https://www.opennet.ru/openforum/vsluhforumID3/92817.html#47 Mon, 09 Dec 2013 04:41:42 GMT &gt; это в каком месте простите?<br><br> В месте, описывающем обязанности оператора связи. В том самом Законе, который в июле 2012 был подписан предводителем стерхов, а в ноябре вступил в действие. Он же - 139-ФЗ от 28.07.2012. Почитайте комментарии РАЭК - http://raec.ru/upload/files/popravki-89417-6_280612.pdf Или блог гугля - http://googlerussiablog.blogspot.com/2012/07/blog-post.html<br><br>&gt; то что так делает ростелеком не значит, что закон это позволяет.<br>&gt; по ростелекому давно лишение лицензии плачет :) <br><br> Ростелек? Лишить лицензии? Не верю! :) "Он же памятник!" Ознакомьтесь на досуге - как создавался так называемый "Мегателеком", он же "Связьинвест". И чьи ущи торчат при создании этого мега-супер-провайдера. <br><br> https://www.opennet.ru/openforum/vsluhforumID3/92817.html#45 Wed, 04 Dec 2013 11:28:41 GMT это в каком месте простите?<br>Написано мутно, но....<br><br>то что так делает ростелеком не значит, что закон это позволяет.<br>по ростелекому давно лишение лицензии плачет :)<br> https://www.opennet.ru/openforum/vsluhforumID3/92817.html#44 Wed, 04 Dec 2013 04:17:05 GMT &gt; Напоминает нигерийский вирус.<br>&gt; Скачайте список, сами фильтруйте на его основе.<br><br> Правительству и президенту спасибо скажите за это. И судя по последним новостям "тематика" списочка постепенно расширяется. Что, собственно, итак было очевидно для любого здравомыслящего человека после ноября прошлого года.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/92817.html#42 Tue, 03 Dec 2013 13:58:49 GMT Напоминает нигерийский вирус.<br>Скачайте список, сами фильтруйте на его основе.<br> https://www.opennet.ru/openforum/vsluhforumID3/92817.html#40 Tue, 03 Dec 2013 04:48:56 GMT Ага - блочить по IP-адресам офигенно мудрое решение. Пользователи обрадуются, конечно. :) Хотя формально закон это позволяет.<br> https://www.opennet.ru/openforum/vsluhforumID3/92817.html#39 Mon, 02 Dec 2013 19:51:44 GMT Рекомендую посмотреть презентацию с конференции операторов связи, там как раз обсуждался вопрос фильтрации http://www.nag.ru/user/notes/24105/prezentatsiya-s-konferentsii-operatorov-svyazi-v-krasnoyarske.html<br> https://www.opennet.ru/openforum/vsluhforumID3/92817.html#36 Mon, 02 Dec 2013 16:36:11 GMT &gt; Не согласен - условия распространения ее не оговаривались ни какими лицензиями и <br>&gt; ограничениями.<br>&gt; Кстати еще - к их же сайта : http://www.lissi-crypto.ru/about/news/2011/12/33 <br>&gt; Они отдавали ее свободно, не накладывая ни каких ограничений. Это как если <br>&gt; бы Вам сейчас подарили подарок, а потом постфактум через год, когда <br>&gt; Вы его отдали другому, начали тыкать что а вот сейчас Вы <br>&gt; не имеете права его передавать. Более того - в данной приложенной <br>&gt; версии нет ни about экрана, ни условий использования, как в любом <br>&gt; нормальном сойте при первом запуске... Так что вполне можно пободаться. А <br>&gt; новые версии пускай продают :) мы же не их выложили.<br><br>лучше не нужно -- если вы считаете что бинарник лежит без лицензии то его мжно юзать и раздавать то вы глубоко ошибаетесь -- без лицензии означает только одно -- правообладатель не предоставил вам боговора по которому вы имеете право пользоваться его продуктом.<br><br>зачем бодаться -- дело в том что google и так знает за данный файл, а вот бодаться -- э https://www.opennet.ru/openforum/vsluhforumID3/92817.html#35 Mon, 02 Dec 2013 16:26:18 GMT Не согласен - условия распространения ее не оговаривались ни какими лицензиями и ограничениями.<br>Кстати еще - к их же сайта : http://www.lissi-crypto.ru/about/news/2011/12/33<br><br>Они отдавали ее свободно, не накладывая ни каких ограничений. Это как если бы Вам сейчас подарили подарок, а потом постфактум через год, когда Вы его отдали другому, начали тыкать что а вот сейчас Вы не имеете права его передавать. Более того - в данной приложенной версии нет ни about экрана, ни условий использования, как в любом нормальном сойте при первом запуске... Так что вполне можно пободаться. А новые версии пускай продают :) мы же не их выложили.<br>