Исходное сообщение
"Настройка route-map, TCL, BGP" Отправлено Egenius, 07-Окт-13 07:52
> Добрый день. > Тогда я не понял, как Вы определяете список запрещенных сайтов? По IP-адресу? Список запрещённых сайтов парсится из дампа реестра и на его основе создаётся access-list, точнее rewrite-list для nginx. Пример: if ($url ~* "0chan.hk/h/"){rewrite ^(.*)$ /403.html;} Из того же дампа вытягивается список доменов и резолвятся их IP, на основе которых строится access=list для route-map-а. Именно трафик, идущий на эти IP роутится на машину с nginx и там уже nginx блокирует совпадающие URL, остальные проксирует как есть. > Я полагаю, что если Вы фильтруете по URL - то NBAR единственный > приемлемый вариант. > ZBFW также использует NBAR, т.ч. в плане производительности не поможет. > Как Вы определили, что NBAR "сильно тормозит"? Просто циска повисла когда применил несколько правил используя NBAR. > Видимо я все же не вполне понимаю в чем задача... почему не > ограничивать доступ на прокси? А на него заворачивать весь нелокальный http-траффик... В принципе идея как раз в этом, только в качестве прокси nginx как более легкий.