[VPN]

А кто-нибудь NAT у себя развернул? Может кто поделится впечатлениями? Как производительность, баги и т.д.

[Raifeg]

Есть ли возможность блокировать/разблокировать доступ в интернет отдельным ip адресам без смены на них параметров полисинга?

Потребность такая, потому что:

1. Биллинг, отправляя событие "включить интернет" (при выходе из блокировки, например), не передаёт значение ограничения скорости на тарифе.

2. Менять тариф пользователю при блокировке - это наркота.

[planhima]

Здравствуйте. Подскажите где можно почитать как разнести NAT и BRAS. Нужно поставить DPI СКАТ в разрыв между NAT и BRAS. Спасибо.

Разнес

Изменено 8 ноября, 2016 пользователем planhima

[bazhutyan]

Кстати, а торрент так и не прижимается ;) не смотря на то, что nfsen стал его рисовать и жесткое ограничение из конфига убрали...

Написал в ТП, жду ответа...

 

А вашу проблему решили? Я понимаю что уже год прошел, но у меня сейчас один в один ваш случай. В ТП написал, но может и вы советом поможете?

[BeHalf]

А кто-нибудь в курсе, сколько нынче ENTRY лицензия стоит? и продается ли оно отдельно сейчас.

 

Хотели поэкспериментировать блокировку списков на данном продукте.

[Morbid]

Продается, все зависит от версии, 6, 10, 20, 40... можете уточнить у того же Нага, скажут цену.

[NikAlexAn]

Ещё тут: http://it-grad.ru/uslugi/itaas/dpi/

[BeHalf]

Ребят, вы там берега то вообще видите? За лицензию СКАТ-6-ENTRY просить 60 рублей. Ради одной фильтрации, по моему очень крутовато.

 

Мне например под проект надо пропускную способность 1гбит/500Мбит и то это пожалуй недостижимый максимум. Опуститесь с небес на землю, и обратите внимание на рынок мелких, реально мелких операторов, у которых абонентов менее тысячи.

 

Можете считать это нищебродской позицией, минус потенциальный клиент вообщем :)

Изменено 8 ноября, 2016 пользователем BeHalf

[remos]

Ребят, вы там берега то вообще видите? За лицензию СКАТ-6-ENTRY просить 60 рублей. Радио одной фильтрации, помоему очень крутовато.

 

Мне например под проект надо пропускную способность 1гбит/500Мбит и то это пожалуй недостижимый максимум. Опуститесь с небес на землю, и обратите внимание на рынок мелких, реально мелких операторов, у которых абонентов менее тысячи.

 

Можете считать это нищебродской позицией, минус потенциальный клиент вообщем :)

 

Рука руку моет...кино трасса 60 в этом плане отличный пример...уже не секрет, что идет выдавливание мелких...дешевые лицензии не в тренде будут)

[BeHalf]

Рука руку моет...кино трасса 60 в этом плане отличный пример...уже не секрет, что идет выдавливание мелких...дешевые лицензии не в тренде будут)

С одной стороны это понятно, с другой стороны и без ската блокируем, меня вообще интересовало - потестить/посмотреть на "чудо-продукт", но узнав цену желание пропало. Так что в чистом виде потеря прослойки потенциальных клиентов. Нет если производителю за такую политику доплачивало бы государство или потенциальные крупные операторы..я бы понял, бизнес есть бизнес, но сомнительно сие, сомнительно)

[alibek]

Дмитрий, просьба прокомментировать следующую ситуацию.

Завел в сервис-деске тикет INC030326.

Суть обращения — в реестре есть ссылки на конкретные страницы (blockType=default), а СКАТ помимо их блокирует и другие ссылки, например:

ID 368488, URL http*//prolotto.xyz/ — блокируется также, например, http*//prolotto.xyz/game/ (в реестре /, блокируется /game/)

ID 368546, URL https*//cslottery.su/ — блокируется также, например, http*//cslottery.su/ (в реестре https, блокируется http)

Специалист сервис-деска сообщил, что это правильное поведение — «В реестре есть запись cslottery.su, доступ ограничивается к странице, а значит по любому из протоколов».

Но это, разумеется, ошибка. Потому что в реестре есть, например, запись 72216 (http*//www.youtube.com/watch?v=hs26cR0NKys), и по этой логике СКАТ также должен блокировать https*//www.youtube.com/watch?v=hs26cR0NKys.

Однако специалист сервис-деска это замечание проигнорировал, ответил что «это сайты с одинаковым содержимом/контентом, поэтому они и блокируются» и закрыл тикет.

 

Просьба производителям озвучить данную ситуацию — это действительно правильное поведение СКАТ или неправильное?

[DimaM]

ID 368488, URL http*//prolotto.xyz/ — блокируется также, например, http*//prolotto.xyz/game/ (в реестре /, блокируется /game/)

ID 368546, URL https*//cslottery.su/ — блокируется также, например, http*//cslottery.su/ (в реестре https, блокируется http)

 

Алибек, когда у тебя 300+ клиентов, то блочить сайты понарошку не получится,

ведь все проверяется не только тупой железкой, но и инспекторами РКН, и прокуратурой, и практикой разбирательств в суде.

По подобным прецедентам у нас есть решения правоохранительных органов и РКН тоже про это писал,

если бы все внимательно читали их регулярные послания. Только РКН старается оставаться в сторонке от разборок,

поэтому у них все носит характер рекомендаций и они как бы не при чем.

Из этой теории и практики в частности следует, что если в реестре указан сайт без пути, то следует блокировать весь домен.

С youtube другой случай, там все-таки конкретные url (ну и практика правоприменения пока другая).

 

PS

Для особо тяжелых случаев у нас есть платный сервис "индивидуальные списки в облаке", или можно готовить списки самостоятельно.

[alibek]

По первому примеру (блокировка всех страниц, хотя в реестре указан только /) вы можете прислать ссылки на эти решения?

У нас до официальной переписки пока дело не дошло, но хотелось бы иметь на руках такие документы.

К тому же я не понимаю причин, зачем такие сложности в "подразумевается" и "следует", когда есть тип блокировки domain.

 

А по второму примеру случай вообще другой, указан ведь совсем другой протокол. Ведь не мне вам объяснять, что на одном и том же сервере на разных портах могут быть совершенно разные сайты.

[DimaM]

не мне вам объяснять, что на одном и том же сервере на разных портах могут быть совершенно разные сайты

 

Могут конечно, но так обычно не бывает, а в суде вам покажут скриншоты и вы не сможете доказать что это разные сайты.

И РКН решение суда поддержит. Возьмите хотя бы их последний образец рекомендаций

https://eais.rkn.gov.ru/docs/Recomendation.pdf

и прочитайте п.9.1 и 9.2 что касается https, а также учтите что это всего лишь рекомендации, а не закон.

Главное тут, что было решение суда ограничить доступ к информационному ресурсу и вы обязаны это сделать,

а не искать обходные пути, по крайней мере не с нашей помощью.

 

PS

На сегодня СКАТ и так является самым гуманным решением с точки зрения минимизации блокировок сторонних сайтов и страниц

и которое полностью соответствует законодательным требованиям. Не просите нас ссориться с регулирующими органами.

[saaremaa]

Не просите нас ссориться с регулирующими органами.

alibek учитывайте специфику что если накажут деньгами или иным способом оператора где блокировку обеспечивает СКАТ по облачным спискам СКАТА, то Оператор пойдет в суд и будет судиться с компанией - разработчиком СКАТ. разработчик должен прикрыть себя по максимуму :)

[alibek]

DimaM, в таком случае вы можете алгоритмически описать логику работы СКАТ? Сейчас я эту логику не улавливаю, потому что есть некоторая странность в том, что блокируется, а что не блокируется (в дополнение к буквальному сравнению с адресами в реестре).

 

Почему блокируется http*//cslottery.su/, но не блокируется https*//www.youtube.com/watch?v=hs26cR0NKys ?

1. Для https-ссылок в облачную базу автоматически добавляются http-версии и наоборот.

1.1. Дубли заводятся только для https->http, но не для http->https.

1.2. В облачную базу (вручную) добавляются все сомнительные варианты URL.

2. Для YouTube сделано исключение.

3. Другое.

 

Почему блокируется http*//prolotto.xyz/game/, хотя в реестре указан http*//prolotto.xyz/?

1. Указана ссылка на корневую страницу и в этом случае СКАТ блокирует весь сайт.

2. Проверяется не точное соответствие, а только совпадение начальных символов адреса ресурса с адресом в реестре.

3. Другое.

 

И еще небольшое дополнение к тому, что на суде покажут скриншоты и не получится доказать, что это разные сайты.

На суде ведь могут показать скриншоты http*//www.prolotto.xyz/ или https*//www.cslottery.su/, разве это принципиально отличается от http*//prolotto.xyz/index.htm или http*//cslottery.su/ ?

[Morbid]

2DimaM: Честно странная логика. Есть закон. (Не рекомендации) В них четко прописан алгоритм что блокировать и как. УРЛ -> Домен -> IP. В такой последовательности. Покупая и устанавливая систему блокировки по ФЗ. Я хочу что бы блокировалось именно так как в законе, а не так как "лучше" и согласно рекомендациям.

 

В данному случае, с записью 368546, согласно выгрузке блокировать надо строго https. (так block_type default, и урл https) ни какой домен, ни какой хттп.

 

Я понимаю что вы хотите сделать "как лучше". Но тогда и указывайте в инструкции и настройках, что вариант блокировки из облака, это "как лучше", но не в точности по закону. Хотите строго по закону, вам надо генерировать списки самому, или выбрать такой то режим.

 

А дальше каждый владелец софта будет решать сам, какой способ выбирать.

 

З.Ы. Ну и так, небольшой вопрос\пожелание? В Вики VAS Experta нету оглавления (меню) это у всех так? или у меня какой то глюк. Очень трудно искать и изучать инструкцию, бегая по ссылкам :(

[nemo_lynx]

Коллеги, я так понимаю, вы - просто наемные сисадмины, которые не платят штрафы из своего кармана, но для которых пипец как важно торжество справедливости в мире.

Задача АПК, подобных СКАТу, - избавить операторов как от штрафов, так и от лишних трат ресурсов (времени, нервов и т.п.) на спорные процессы с контролирующими органами. А потому логика работы СКАТ и подобных АПК должна быть тривиально проста: есть контролёр - АПК "Ревизор", если он найдет неблокированный урл, оператор попадет на кучу гемора. Всё! При чем тут какие-то законы, рекомендации и прочий булшит? Блокировщик должен работать ПОЛНОСТЬЮ в логике контролёра. У вас уже стоит "ревизор"? Сколько он нашел нарушений?

Вам шашечки, или ехать? (с). Если таки шашечки - пишите свои гениальные блокираторы.

[alibek]

А потому логика работы СКАТ и подобных АПК должна быть тривиально проста: есть контролёр - АПК "Ревизор", если он найдет неблокированный урл, оператор попадет на кучу гемора. Всё! При чем тут какие-то законы, рекомендации и прочий булшит?

Дело в том, что кроме Ревизора есть и другие проверяющие. И в случае каких-либо разночтений хотелось бы опираться на правовую базу.

Например тот же cslottery.su — мне нужно знать, это запрограммированное поведение СКАТ, это программный баг/сбой или ошибка в схеме включения СКАТ, из-за чего часть трафика пропускается.

Мне важно знать: когда СКАТ что-то блокирует или не блокирует — это вызвано какой-то ошибкой (и эту ошибку нужно срочно исправлять) или это предусмотрено разработчиками (и тогда я смогу обосновать реакцию СКАТ).

[Morbid]

А вы наверное руководитель? Из разряда, "Пофигу как, лишь бы работало"? Я как наемный системный администратор, должен понимать как и что работает, что бы в случае чего понимать как и что чинить, и где и чего искать. А не надеяться на волшебную коробочку, которая должна с помощью заклинания "Авада кедавра", убивать все запрещенные сайты.

 

P.S. И когда меня вызовут на ковер и ткнут в жалобу абонента, который написал в РКН, почему мы блокируем сайт, на котором у него размещены котики, или еще что-то, я должен точно знать почему и как это произошло, а не показывать пальцем на сервер, и говорить: "это все он, не виноватая я (с)"

P.S.S. Любое оборудование должно работать так, как заявлено: а не по своему усмотрению. (если не включен режим: работать по своему усмотрению)

[DimaM]

Наверное глупо уже встревать в интересную дискуссию, но если что, то наше решение блокирует строго по закону, алгоритмы выверены многочисленными проверками,

РКН во многих регионах рекомендует именно наше решение. И мы не хотим это менять.

 

PS

Точное описание алгоритмов является нашим ноу-хау, так как дает нам преимущество перед конкурентами, у которых могут быть проблемы с проверками,

но про важные моменты я уже писал. Если на ваш взгляд есть проблемы, то на этот случай есть техподдержка.

С моей личной точки зрения фильтрация самой бесполезное и даже вредное применение dpi и обсуждать эту бесполезную для бизнеса оператора

функциональность мне просто скучно и неинтересно.

[nemo_lynx]

А вы наверное руководитель? Из разряда, "Пофигу как, лишь бы работало"? Я как наемный системный администратор, должен понимать как и что работает, что бы в случае чего понимать как и что чинить, и где и чего искать. А не надеяться на волшебную коробочку, которая должна с помощью заклинания "Авада кедавра", убивать все запрещенные сайты.

Ну вот что вы за народ такой - сисадмины? Никогда мануалов не читаете. До версии 5.0 заклинание было "эбра-кэдэбра", Начиная с версии 5.0 "Катюша" ввиду современных патриотичных трэндов, объявленным Партией Разворотом на Восток и Имортозамещением, заклинание было сменено на "Ахалай-Махалай". А Ваше "Авада кедавра" (и кто такое выдумал? язык можно сломать!) - это вообще не из нашего города. Поэтому у Вас и не блокируется как надо. А то все "шашечки" им подавай... Млять, поколение гаррипотеров...

Изменено 10 ноября, 2016 пользователем nemo_lynx

[alibek]

И мы не хотим это менять.

Дмитрий, речь идет не о том, чтобы что-то менять под личные хотелки клиентов.

Речь идет о том, что клиентам (или по крайней мере лично мне) нужно знать, как СКАТ работает.

Чтобы в случае чего понимать, я наблюдаю запрограммированное поведение или сбой/баг/ошибку.

Чтобы, как уже выше говорили, не показывать пальцем на сервер и говорить «оно само», а понимать, почему и как это происходит.

Мне не нужны подробные блок-схемы, мне нужно в целом понимать, что СКАТ делает помимо буквальной побайтовой сверки с адресами из реестра.

Ответьте хотя бы номерами пунктов из моего поста #491.

 

Например я первоначально вообще был уверен, что специалист сервис-деска не консультировался с разработчиками, а сам придумал первое пришедшее в голову объяснение (потому что оно было нелогично и не согласовалось с имеющимися фактами), поэтому хотел подтвердить или опровергнуть это объяснение информацией от разработчиков.

[nemo_lynx]

С моей личной точки зрения фильтрация самой бесполезное и даже вредное применение dpi и обсуждать эту бесполезную для бизнеса оператора

функциональность мне просто скучно и неинтересно.

Если бы не эта "скучная и бесполезная" функциональность, я бы сей софт не купил. И я далеко не один такой. Для меня единственная, но важная полезность от него - отсутствие штрафов (ибо это есть не что иное, как реальная экономия весьма немалых денег). Не было бы это у СКАТа, я бы купил Карбон или еще что. А что касается всех остальных "интересных" dpi-фич СКАТа, то мне они и даром не надо, аплинки расширить дешевле, в НАТе тоже нужды нет. И вообще, что касается вопросов сетевой архитектуры, надо быть сильно ушибленным, чтобы гнать весь клиентский траф через железяку с софтовой обработкой, да еще и с категорическим условием запрета на апгрейд ядра ОС, страхуясь при этом костылями в виде аппаратных байпасов. Я люблю спать спокойно...

[DimaM]

И вообще, что касается вопросов сетевой архитектуры, надо быть сильно ушибленным, чтобы гнать весь клиентский траф через железяку с софтовой обработкой

 

97% операторов из примерно 300 так и делают, и у некоторых из них уже целая стойка СКАТов стоит

вы не можете ошибаться?