Size: a a a

2020 November 19

Э

Эдуард in Continent
Kirill
А почему тут нельзя, правила запрещают сарказм? Тебе уже сказали как сделать, если ты не уверен, то собрать стенд это 10-15 минут, особенно если это касается критичных систем, перерыв в работе который нежелателен.
Элементарная вежливость и уважение к собеседнику. Я бы без Вас не догадался собрать стенд, конечно. Быть может я спрашиваю потому, что у меня нет такой возможности?
источник

AP

Andrei Potseluev in Continent
Эдуард
Элементарная вежливость и уважение к собеседнику. Я бы без Вас не догадался собрать стенд, конечно. Быть может я спрашиваю потому, что у меня нет такой возможности?
Ну пытаться получить гарантии и переложить ответственность на кого-то тоже так себе идея, не?
источник

Э

Эдуард in Continent
Andrei Potseluev
Ну пытаться получить гарантии и переложить ответственность на кого-то тоже так себе идея, не?
Вот как. Где тут , позвольте узнать, получение гарантий и перекладывание ответственности?
источник

PK

Pavel Korostelev in Continent
Коллеги, давайте жить дружно!
источник

G

Grigoriy in Continent
Эдуард, хочу напомнить, это публичный чат, если вас ответы устраивают или не устраивают, вольны делать, что хотите
источник

G

Grigoriy in Continent
Обязательностей здесь нет отвечать
источник

Э

Эдуард in Continent
Grigoriy
Обязательностей здесь нет отвечать
Так молчите.
источник

G

Grigoriy in Continent
Или ты иди)
источник

Э

Эдуард in Continent
Павел истину глаголет. Нужно следить за своими мыслями и языком. Приношу свои извинения, если кого ненароком оскорбил или обидел. А некоторым лучше бы придержать в себе свои комментарии, по сути, не содержащие полезной информации.
источник

ПВ

Посторонним В... in Continent
ну вот , я уже за попкорном собрался
источник

K

Kirill in Continent
Эдуард
Павел истину глаголет. Нужно следить за своими мыслями и языком. Приношу свои извинения, если кого ненароком оскорбил или обидел. А некоторым лучше бы придержать в себе свои комментарии, по сути, не содержащие полезной информации.
Павел сказал несколько другую фразу ))
источник

P

Panihida in Continent
Кто подскажет. Создал профиль усиленной фильтрацию для https. Туда добавил в агенты нужные веб ресурсы по всем методам фильтров. Создал в правиле фильтрации разрешающее для https сервиса и выбираю профиль усиленной фильтрации. Он должен после этого пакеты к этим ресурсам пропускать?
источник

K

Kirill in Continent
Panihida
Кто подскажет. Создал профиль усиленной фильтрацию для https. Туда добавил в агенты нужные веб ресурсы по всем методам фильтров. Создал в правиле фильтрации разрешающее для https сервиса и выбираю профиль усиленной фильтрации. Он должен после этого пакеты к этим ресурсам пропускать?
Действие вроде в профиле указывается, сейчас точно не скажу
источник

P

Panihida in Continent
В фильтра маршрутах не прописывал ничего, маршруты по умолчанию через кш идут
источник

P

Panihida in Continent
Профиль на пропуск трафика
источник

P

Panihida in Continent
А если доступ к сайтам ip прописывать, это тоже средствами усиленной фильтрации делается?
источник

K

Kirill in Continent
Panihida
А если доступ к сайтам ip прописывать, это тоже средствами усиленной фильтрации делается?
Нет, это в обычном правиле объектами, но это уже давно неправильно
источник

SZ

Sergey Zosimenko in Continent
Sergey Zosimenko
мои попытки сделать ограничения по URL выглядят следующим образом. Насколько я понял, есть несколько путей, при этом только один из них выглядит правильно, который к сожалению по каким-то причинам у меня не хочет работать так как надо. хотя на тестовых сетях все получилось.

1) (Правильный и простой) Правила усиленной фильтрации. не подскажу точно с какой версии. на 3.7.6 вроде появилось, могу ошибаться.

суть - это squid.
Помогал разбираться и победить Анатолий Юрасов.

как это работало в моих условиях, со своим ДНС:
а) необходимо чтобы КШ за которым живет объект которому нужно ограничить доступ мог стучаться до ДНС.
б) в свойствах КШ в ДНС указать его.
в) в ПУ ЦУС создать сертификат для SSL инспекции в котором выбрать привязку те/тот КШ за которым будет объект которому нужно ограничить доступ
г) установить полученный сертификат как корневой на машинах где будет ограничение (чтобы не ругалось на хттпс соединения)
д) в профилях усиленной фильтрации создать профили.
в моем случае это такие правила - белый список (вариант усиленной фильтрации http), белый аналогично для https, разрешить всё хттп, разрешить всё хттпс. команды и методы в агентах выбраны GET и POST. маска для "ВСЁ" выглядит как "./" без кавычек. в мануале опечатка и там .*
е) (цитирую Анатолия, надеюсь позволит) Создать в ФВ правила. отправитель - объект который нужно ограничить. действие - УФ. получатель - любой. профиль УФ - выбрать созданный. нужен исходящий нат у объекта.
"Соответственно если необходимо "разрешить всё кроме", то нужно создать ПФ с УФ разрешающим ./ и запрещающее ПФ с УФ запрещающим необходимый набор адресов
Запрещающее ставится перед разрешающим с "Применить и завершить обработку"

Если необходимо "запретить всё кроме" -
Запретить ./
Разрешить необходимый набор адресов
Разрешающее ПФ поставить перед запрещающим с "Применить и завершить обработку""
ж) должно работать. на тестовом стенде у меня все получилось, при том что тест проводился на боевом ЦУС, просто с другими сетями.  но на продуктиве появились какие-то проблемы с которыми не было времени разобраться.

2) Путь РКН (сейчас живу по нему, стыдно)
это черный, а не белый список. посмотрел ресурсы которые интересуют народ, посмотрел их реальники, запретил нужным объектам ходить на них. забанены подсети бОльшая часть гугла, амазон итд итп (ютубы, соцсети там живут), забанил наши подсети маилру, вк, итд. теперь поисковик гугловый работать не хочет, часть ресурсов лагает т.к. при открытии страницы пытается загрузить гугл-аналитику или плагины какие-то со сторонних очень странных ресурсов, а не может. ждет таймаута. но пока так. планирую добить путь №1

3) теоритически рабочий путь, может поправят и скажут что не будет работать, но буду проверять на выходных.
сделать исходящий нат на объект не "любой" а конкретные адреса ресурсов с белого списка. днс по логике отрезолвит адрес, а исходящий нат пустит дальше. конечно если белый список большой - будет неудобно и + на каждом КШ надо делать отдельно. и смена адреса приведет к неработе ресурса но ведь это не так часто происходит. но ведь инженер континента готов к этому)

вот такие у меня пока приключения в этом направлении)
Когда-то тут писал на эту тему, может поможет чтт
источник

P

Panihida in Continent
Kirill
Нет, это в обычном правиле объектами, но это уже давно неправильно
Типа для каждого ресурса сетевой объект создавать? Ну это не очень звучит
источник

K

Kirill in Continent
Sergey Zosimenko
Когда-то тут писал на эту тему, может поможет чтт
А ты можешь найти свое сообщение? )) Я помню у тебя там было много написано
источник