AF
А ещё лучше поставить прокси с дистрибуцией CA через GPO или DPI
Size: a a a
2020 February 26
Р
В корпоративной среде все и так должно политиками регулироваться, в том числе возможность использования всяких фирефоксов с DoH и esni
AJ
Наивняк
Массовости не наблюдается пока
I
А в чем проблема блокировать по ip?
SR
можно обойтись и меньшими ресурсами, но с побочными эффектами, имена хостов в адрес лист и дроп dst адрес лист дст порт 443
ah
кстати про блокировочки. намедни сделал получение списков по BGP через antifilter.download, и хочу именно блочить по ним для конкретного внутреннего IP. как это более правильно сделать?
Р
Почему бы не оставить это на совести оператора, он, в конце концов, денег за это заплатил и перед РКН отчитался 😄
ah
Родион
Почему бы не оставить это на совести оператора, он, в конце концов, денег за это заплатил и перед РКН отчитался 😄
оператор обосрался малясь
ah
"у вас стало дохера трафика и мы не можем вас отфильтровать"
Р
Не может отфильтровать - пусть сдаёт лицензию 😂😂
(нет)
(нет)
ah
мы раньше сами без лицензии останемся. или без штанов.
ST
кстати про блокировочки. намедни сделал получение списков по BGP через antifilter.download, и хочу именно блочить по ним для конкретного внутреннего IP. как это более правильно сделать?
ip-route-rules по срц. адресу отправлять в таблицу где будет заглушка на все эти дст. адреса.
VK
кстати про блокировочки. намедни сделал получение списков по BGP через antifilter.download, и хочу именно блочить по ним для конкретного внутреннего IP. как это более правильно сделать?
ставить например роутинг-марк на маршруты во входящем фильтре, и некстхоп задавать какой-нибудь несуществующий. И трафик от конкретного ип гнать с учетом роутинг-марки
ah
как я понимаю, вот тут делается пир и ему ставится входящий фильтр
/routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default
/routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
/routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default
/routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
SR
да
ah
чота я торможу.
ну вот в этом фильтре я вместо установки некстхопа ставлю установку роутмарки и дальше чего?
или наоборот, в мангле для src ip вешаю роутмарку а в фильтре добавляю условие, что смотреть на неё?
ну вот в этом фильтре я вместо установки некстхопа ставлю установку роутмарки и дальше чего?
или наоборот, в мангле для src ip вешаю роутмарку а в фильтре добавляю условие, что смотреть на неё?
T
В этом плане хороший пример показывает только Роскомнадзор, блокируя все IP адреса, где располагается домен
Аха, это по этому до сих пор телеграм работает.
ST
чота я торможу.
ну вот в этом фильтре я вместо установки некстхопа ставлю установку роутмарки и дальше чего?
или наоборот, в мангле для src ip вешаю роутмарку а в фильтре добавляю условие, что смотреть на неё?
ну вот в этом фильтре я вместо установки некстхопа ставлю установку роутмарки и дальше чего?
или наоборот, в мангле для src ip вешаю роутмарку а в фильтре добавляю условие, что смотреть на неё?
отставить манглы, делай в ip-route-rules , lookup only in table...
тоесть в БГП мы ставим некстхоп и роутмарк
а в правилах роутов для срц. адреса отправляем в ту маркированую таблицу.
Только в ту таблицу еще занеси нормальный дефолтный маршрут. что бы весь остальной трафик от того хоста нормально в инет мог вылазить.
тоесть в БГП мы ставим некстхоп и роутмарк
а в правилах роутов для срц. адреса отправляем в ту маркированую таблицу.
Только в ту таблицу еще занеси нормальный дефолтный маршрут. что бы весь остальной трафик от того хоста нормально в инет мог вылазить.
A
Родион
Не может отфильтровать - пусть сдаёт лицензию 😂😂
(нет)
(нет)
выдажут же бесплатные ТСПУ (нет)
SR
можно сразу в фильтре сделать set-type=blackhole и делать не lookup only а просто lookup, не найдя подходящий маршрут в именованной таблице, дальше будет смотреть main