@nag_public
Frank20.12.2016
18:45:54
18:45:54
Или это у меня какие-то плагины в хроме это...надо анализировать
Roman20.12.2016
23:30:03
23:30:03
SunOS finder 5.9 Generic_118558-11 sun4u sparc SUNW,Sun-Fire-V240
в одном маленьком опсосе из большой тройки все такое барахло собрали и выкинули нахрен, заменив на несколько серверов с linux.
Evgeniy21.12.2016
01:17:02
01:17:02
Лол
GoogleAnatoliy21.12.2016
01:32:20
01:32:20
в одном маленьком опсосе из большой тройки все такое барахло собрали и выкинули нахрен, заменив на несколько серверов с linux.
Правильный подход, жизнь на солярке - боль
Alex21.12.2016
01:51:21
01:51:21
дооооо
Anatoliy21.12.2016
01:52:05
01:52:05
:)
Evgeniy21.12.2016
01:52:28
01:52:28
Солярка ж все
Anatoliy21.12.2016
01:52:42
01:52:42
хотя конечно новые процессоры у них выглядят очень интересно . 4.27 GHz, 8-core/64-thread
особенно забавляет (SQL in Silicon)
плохо себе представляю как это , но звучит офигенно
Evgeniy21.12.2016
01:55:29
01:55:29
Ну да
Alex21.12.2016
02:00:15
02:00:15
скажите
GoogleAlex21.12.2016
02:00:33
02:00:33
а кто то тут пользовал оракловую виртуализацию?
Frank21.12.2016
04:01:35
04:01:35
Василий21.12.2016
04:12:45
04:12:45
80 и 443 порты по найденным адресам ;) стандартная схема, как я понимаю ;)
Абоненты спасибо скажут ага. У них и так гта и евки всякие моросятИзза цднов
Frank21.12.2016
04:14:06
04:14:06
Да я как настрою, так отдельную, сеть для ревизора поставлю ;) людям то чего страдать? ;)
Пусть он себе на здоровье проверяет там ;)
Василий21.12.2016
04:24:59
04:24:59
Там основная фишка что надо быстро и часто резолвить. Иначе будут пролазить.
Frank21.12.2016
04:27:59
04:27:59
Там основная фишка что надо быстро и часто резолвить. Иначе будут пролазить.
Мы решили сделать БД и накопительно туда пихать адреса выданные 6 DNSами - гугла, яндекса и свои. Время жизни, если не повторялся ни разу 2 месяца и пускать эти адреса через прокси. Что-то будет блокироваться, а что-то проходить мимо : ) И всё это делать раз в 2 часа.Плюс белый список
Konstantin21.12.2016
04:35:33
04:35:33
подсказка: в списке не только 80 и 443 порты ;)
Frank21.12.2016
04:36:32
04:36:32
Это тоже увидали. Карбон поставили, для посмотреть : )
Maxim21.12.2016
04:36:38
04:36:38
?
Frank21.12.2016
04:37:32
04:37:32
Евгений21.12.2016
05:19:02
05:19:02
Евгений21.12.2016
05:46:59
05:46:59
по бгп заворачивате ?
GoogleИгорь21.12.2016
05:52:37
05:52:37
Евгений21.12.2016
05:54:03
05:54:03
для того чтобы решить проблему с ипами есть отличный вариант , завернуть весь трафик с ревизора сразу на запретсервис
Василий21.12.2016
05:54:51
05:54:51
для того чтобы решить проблему с ипами есть отличный вариант , завернуть весь трафик с ревизора сразу на запретсервис
идея неплохая. надо попробоватьЕвгений21.12.2016
05:55:04
05:55:04
идея отличная :)
Maxim21.12.2016
05:57:09
05:57:09
Подстава отличная =)
Василий21.12.2016
05:57:58
05:57:58
как предлагается выше
Ivan21.12.2016
06:08:38
06:08:38
А запрет будет обрабатывать трафик до адресов не из списка ?
Яблоки на его месте не стал
Яб
Сука запарила эта клавиатура
Евгений21.12.2016
06:09:46
06:09:46
А запрет будет обрабатывать трафик до адресов не из списка ?
мне кажется вы не очень представляете ка кэто работаетВасилий21.12.2016
06:11:41
06:11:41
А запрет будет обрабатывать трафик до адресов не из списка ?
-A PREROUTING -i vlan303 -p tcp -m multiport —dports 80,81,888,8001,8080,8081 -j DNAT —to-destination 127.0.0.1:3128всех рулит на прокси
Евгений21.12.2016
06:12:21
06:12:21
анализируется весь трафик далее или отправляем на страницу уведомления либо пропускаем далее, в случае если заворачиваем ревизор принудительно на фильтр, то получается что его трафик мы анализируем полностью, а от остальных клиентов только тот что попадет на фильтр по анонсам бгп
Ivan21.12.2016
06:12:35
06:12:35
Заплатить на запрет трафик не сложно.
Зароутить
Вопрос будет ли он обрабатывать адреса не из списка
Евгений21.12.2016
06:13:24
06:13:24
будет
GoogleIvan21.12.2016
06:13:53
06:13:53
Ну и зря )))
Евгений21.12.2016
06:14:07
06:14:07
список ип адресов нужен только на этапе заворота на фильтр, далее анализируется содержание всего трафика
Ivan21.12.2016
06:14:35
06:14:35
Ну а нахера лопатить лишнее
Василий21.12.2016
06:15:45
06:15:45
по идее это одна строчка фрвола
Евгений21.12.2016
06:15:47
06:15:47
дык лопатится только то что завенется по бгп или по PBR, это копейки
Василий21.12.2016
06:16:15
06:16:15
дык лопатится только то что завенется по бгп или по PBR, это копейки
да, на этом этапе уже отобрано что лопатить а что нетIvan21.12.2016
06:17:10
06:17:10
Я просто смотрю с точки зрения запрета
AdminERROR: S client not available
Ivan21.12.2016
06:17:26
06:17:26
А не оператора
Frank21.12.2016
07:26:44
07:26:44
Я пока не баню. Просто в логах сквида я вижу SSL только IP адреса.
Списочки составлю, попробую посмотреть : )
Игорь21.12.2016
07:27:09
07:27:09
А с Host header forgery detected встречался?
Frank21.12.2016
07:27:27
07:27:27
Неа, такого не видел пока что
Игорь21.12.2016
07:27:35
07:27:35
Какая версия сквида у тебя?
в cache.log нет записей типа SECURITY ALERT: Host header forgery detected on ?
Frank21.12.2016
07:28:20
07:28:20
squid -v
Squid Cache: Version 3.5.22
GoogleИгорь21.12.2016
07:28:26
07:28:26
У тебя весь трафик через сквид проходит или анонсируешь определенные адреса?
Frank21.12.2016
07:28:37
07:28:37
Ща гляну : )
Только определённые адреса
В режиме тестирования всё пока что : )
Игорь21.12.2016
07:29:29
07:29:29
Какой объем трафика проходит? Графики строил? Сколько запросов в секунду на сквид?
Frank21.12.2016
07:29:57
07:29:57
16/12/21 12:29:21 kid1| SECURITY ALERT: Host header forgery detected on local=173.194.32.132:443 remote=171.25.194.23:38721 FD 44491 flags=33 (local IP does not match any domain IP)
2016/12/21 12:29:21 kid1| SECURITY ALERT: on URL: clients6.google.com:443
2016/12/21 12:29:22 kid1| SECURITY ALERT: Host header forgery detected on local=173.194.44.68:443 remote=171.25.194.86:34157 FD 44281 flags=33 (local IP does not match any domain IP)
2016/12/21 12:29:22 kid1| SECURITY ALERT: on URL: clients3.google.com:443
2016/12/21 12:29:22 kid1| SECURITY ALERT: Host header forgery detected on local=74.125.232.231:443 remote=171.25.195.147:41519 FD 44485 flags=33 (local IP does not match any domain IP)
2016/12/21 12:29:22 kid1| SECURITY ALERT: on URL: clients1.google.com:443
2016/12/21 12:29:22 kid1| SECURITY ALERT: Host header forgery detected on local=173.194.122.192:443 remote=171.25.194.11:27442 FD 44492 flags=33 (local IP does not match any domain IP)
Вот такая штука в cache.log
У меня копеечные : )
Игорь21.12.2016
07:30:23
07:30:23
Ну вот да, это очень плохая штука
Frank21.12.2016
07:31:14
07:31:14
Он мне гугл банит, если я запрет делаю
Надо разбираться дальше : ))
Пишут, что надо поставить версию Squid ниже 3.5.8
До 3.5.8 всё работало, потом случился баг
Игорь21.12.2016
07:36:49
07:36:49
Думаешь это баг, а не фича?))
Frank21.12.2016
07:37:21
07:37:21
Думаю, больше баг, чем фича : )
Ivan21.12.2016
07:56:05
07:56:05
бабло победит зло
Игорь21.12.2016
07:56:39
07:56:39
Как nfq? эффективно работает?
Ringo21.12.2016
08:09:20
08:09:20
Вроде бы норм
Maxim21.12.2016
08:11:38
08:11:38
Как поведет себя система, если я обращусь с клиентским сертификатом к ресурсу? Ну ведь не влезете в диалог между браузером и сервером, не отработает же, верно?
Нагиев
Открыть в Telegram