YuryD Опубликовано 13 июня, 2017 · Жалоба Вопрос разработчикам. Что будет если РКН вдрюг обнулит все списки на 15-е ? Я полагаю - такая ситуация Вами предусмотрена ? А потом снова поднимет, 16-го, причём все даты включения будут старые ? Это я гипотетически спрашиваю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bigmazy Опубликовано 13 июня, 2017 · Жалоба Вопрос разработчикам. Что будет если РКН вдрюг обнулит все списки на 15-е ? Я полагаю - такая ситуация Вами предусмотрена ? А потом снова поднимет, 16-го, причём все даты включения будут старые ? Это я гипотетически спрашиваю. если списки будут пустые то блокировки не будет, с момента включения блокировка заработает. IMHO, насколько вижу "армагедон" с IP СКАТ не касается, если версия позже 5.5 стоит то все нормально отрабатывает и белые списки (которые ревизор гоняет сейчас) проходят без проблем. Закон не отменят, списки не обнулят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 июня, 2017 · Жалоба IMHO, насколько вижу "армагедон" с IP СКАТ не касается, если версия позже 5.5 стоит то все нормально отрабатывает и белые списки (которые ревизор гоняет сейчас) проходят без проблем. Закон не отменят, списки не обнулят. Я к тому, что у Вас вроде вроде белый лок по заливке списка, а заливка из пустого до полного - занимает время, хотя по времени в закон влезает, 3 минуты, 20 минут - некритично. Спасибо за ответ ! Кстати - взволновалный звонивший мне представитель когонадо - аж выдохнул в трубку, узнав что у на Скат :) БГП кстати fv - взлетает за те-же 3 минуты, так что и если у Вас всё так - то желаю только благодарствования, процветания. Хотя - может Вас и перепутал с официальными Скатовцами... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 13 июня, 2017 · Жалоба IMHO, насколько вижу "армагедон" с IP СКАТ не касается, если версия позже 5.5 стоит то все нормально отрабатывает и белые списки (которые ревизор гоняет сейчас) проходят без проблем. Закон не отменят, списки не обнулят. Я к тому, что у Вас вроде вроде белый лок по заливке списка, а заливка из пустого до полного - занимает время, хотя по времени в закон влезает, 3 минуты, 20 минут - некритично. ... Хотя - может Вас и перепутал с официальными Скатовцами... Он - официальный. Предполагаю даже кто конкретно. :-) А про блок вы - зря. DimaM в своё время подтверждал мою догадку, что структуры заполняются отдельно, затем подменяются. Фактически, время смены - ноль. Может, конечно, что-то и поменялось... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 13 июня, 2017 · Жалоба DimaM в своё время подтверждал мою догадку, что структуры заполняются отдельно, затем подменяются. Фактически, время смены - ноль. При плановых обновлениях из облака возможно так и есть. При обновлениях кастомных списков нужно делать рестарт сервиса, это пара секунд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 июня, 2017 · Жалоба Кстати, вопрос к разработчикам. СКАТ не проверяет DNS-трафик. А для сайтов без SNI это неприятно. Хотелось бы опциональную возможность обнаруживать и блокировать DNS-запросы к запрещенным доменам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 июня, 2017 · Жалоба Кстати, вопрос к разработчикам. СКАТ не проверяет DNS-трафик. А для сайтов без SNI это неприятно. Хотелось бы опциональную возможность обнаруживать и блокировать DNS-запросы к запрещенным доменам. Присоединяюсь. В идеале бы по выбору: 1 ничего не делать 2 просто дропать 3 отправлять в ответ указанный в конфиге IP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 14 июня, 2017 · Жалоба Дропать никак нельзя. У клиентов сразу же начнутся проблемы и тормоза с совершенно феерической симптоматикой, от которой саппорт волками выть будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 июня, 2017 · Жалоба Дропать никак нельзя. У клиентов сразу же начнутся проблемы и тормоза с совершенно феерической симптоматикой, от которой саппорт волками выть будет. Например? Ну дропнется у абонента UDP запрос к бяка.com и ... ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 июня, 2017 · Жалоба Кстати, вопрос к разработчикам. СКАТ не проверяет DNS-трафик. А для сайтов без SNI это неприятно. Хотелось бы опциональную возможность обнаруживать и блокировать DNS-запросы к запрещенным доменам. Какой глубокий философский смысл в этом ? http get подразумевает, что у клиента внутри идёт резолвинг, а затем уже get. Т.е. по телу запроса(выше) уже видно, блочить или нет. Наверное в скате можно вести и черный список запрещенных нэймсерверов - но зачем ? Идти навстречу регуляторам в этом направлении - это идти в тупик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 14 июня, 2017 · Жалоба http get подразумевает, что у клиента внутри идёт резолвинг, а затем уже get. Вопрос, вероятно, про https при отсутствии SNI и или некорректном CN. Для таких доменов закрыть DNS-запросы интересное решение в отличии дропа по ИП - но вопрос много ли таких случаев? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 июня, 2017 · Жалоба Вопрос, вероятно, про https при отсутствии SNI и или некорректном CN. Ну меня некорректным CN затрахивают все современные браузеры. Особенно с работой с убнт. Если еще и дпи в это вмешается, то мне будет кисло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 14 июня, 2017 · Жалоба Ну меня некорректным CN затрахивают все современные браузеры. Особенно с работой с убнт. Если еще и дпи в это вмешается, то мне будет кисло. Вы не верно поняли - не надо вмешиваться в https трафик. Есть предложение "вредные" https записи реестра блокировать на уровне DNS-запроса, что бы не было резолва имени у клиента или сразу отдавалась IP блокировки. Повторюсь - а надо ли это в реалиях СКАТ DPI? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 14 июня, 2017 · Жалоба Вы это спрашиваете ка оператор или как скатовец? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 14 июня, 2017 · Жалоба Повторюсь - а надо ли это в реалиях СКАТ DPI? Если СКАТ что-то пропускает - надо искать причину и решение проблемы. Если нет, нахера козе баян? Потому что какому-то гику захотелось экспериментов? К чему тут трындеж про ДНС? У кого-то проблемы с пропусками? Ставьте свой ДНС-сервер, принудительно форвардите на него все запросы абонов и экспериментируйте там в своей песочнице как хотите. СКАТ - один из немногих ДПИ, который как раз показал великолепную устойчивость к ДНС-атакам. И именно благодаря тому, что он не работает с ДНС-запросами. Насколько я вижу, некоторым теоретигам почему-то взбрело в голову это как-то поломать. Или же автор идеи с ДНС просто не является пользователям СКАТ. Уверен, разработчикам хватает здравого смысла не реагировать на нездоровые идеи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 июня, 2017 · Жалоба Насколько я вижу, некоторым теоретигам почему-то взбрело в голову это как-то поломать. Видимо вы просто не поняли, о чем речь. В случае https с отсутствующим SNI СКАТ не сможет заблокировать доступ по имени домена. При этом Агент будет фиксировать пропуски, если у данного сайта IP-адрес отличается от адреса в реестре — поскольку Агент сделает ресолв, получит новый (незаблокированный) IP-адрес, обратится к нему, а СКАТ его не заблокирует, поскольку не сможет опознать при отсутствии SNI. Одно из решений — блокировать эти запросы на своем (операторском) DNS-сервере, отвечая NXDOMAIN или фиктивным адресом, чтобы Агент получил отбой на первом этапе (ресолв), не сможет получить адрес этого заблокированного сайта и не будет проверять дальше. Ничего общего с DNS-атаками, подменой DNS-записей и IP-адресов это не имеет. Это нормальное решение, но оно имеет определенный недостаток — нужно отслеживать изменения в реестре, генерировать список блокируемых доменов, подсовывать его в DNS и обновлять зоны. Вообщем костыли. Намного логичнее добавить эту возможность (блокировать DNS-запросы на запрещенные сайты) делать на СКАТ, потому что СКАТ в любом случае обновляет списки и знает об изменениях. И добавить в список поддерживаемых СКАТ протоколов достаточно простой DNS я проблемы не вижу. Еще раз — никакого отношения к DNS-атакам это не имеет. Я вообще не вижу ни одной возможности, чтобы это как-то повлияло на работу СКАТ. СКАТ не будет вмешиваться в работу DNS, он просто при обнаружении исходящего DNS-запроса на заблокированный домен будет дропать этот запрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 15 июня, 2017 · Жалоба Если СКАТ что-то пропускает - надо искать причину и решение проблемы. Если нет, нахера козе баян? Постом выше Аlibek ответил на Ваш вопрос. Вы это спрашиваете ка оператор или как скатовец? Оператор со Скатом в разрыв. Уверен, разработчикам хватает здравого смысла не реагировать на нездоровые идеи. Прошу Вас внимательней читать про что идёт речь. У нас нет пропусков и нас всё устраивает - Повторюсь - а надо ли это в реалиях СКАТ DPI? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 15 июня, 2017 · Жалоба Было в другой теме - http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=1410582 и далее. Добавлю: Работаю в двух конторах - в одной Скат уже давно(купили тогда по акции за смешные по нынешним временам деньги) а в другой начальство решило сэкономить и самопал прикрутить. Самопал в виде заворота на свой DNS всех запросов абонентов и там подрезания неугодных доменов (+ кое что по IP блокировалось) устраивал до начала этого года. После штрафа по результатам Ревизора начальство зачесало репу. Я предложил Скат как проверенный вариант. Но начальство решило сэкономить и поручило написать программисту свой DPI на основе pf_ring zc и ntop. По алгоритму блокировки вопросы были ко мне. Насчёт необходимости этой опции для ската - если это улучшит статистику в Ревизоре для оператора да ещё и упростит алгоритм блокировки для Ската - то почему бы нет. Насчёт дополнительной нагрузки на Скат - это к разработчикам но не думаю что проверка DNS запросов и подделка ответов будет напряжней чем проверка url и ответный редирект. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 июня, 2017 · Жалоба А можно сделать так, чтобы если не получилось загрузить федеральный список, скат отключал определенную пару dna0-dna1 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 20 июня, 2017 · Жалоба А можно сделать так, чтобы если не получилось загрузить федеральный список, скат отключал определенную пару dna0-dna1 ? Костылём можно. Проверять выгрузку из облака - грепать fastdpi_alert.log на предмет не success. А уж как дна погасить - не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 20 июня, 2017 · Жалоба А уж как дна погасить - не знаю ifconfig-ом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 20 июня, 2017 · Жалоба А уж как дна погасить - не знаю ifconfig-ом? Ну да, up-down. Но тут куча вопросов - не перейдет ли модная сетевка в байпас, и 2-й, не поплохеет ли скату. Вдогон - если у вас сквозная фильтрация через всего пару интефейсов, то сам скат при дауне внешнего трафика не сможет проверить свои обновления. Инет-то у него на иных интефейсах, только для управления и облака, а не на фильтрующих. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 20 июня, 2017 · Жалоба Вдогон - если у вас сквозная фильтрация через всего пару интефейсов, то сам скат при дауне внешнего трафика не сможет проверить свои обновления. Я подозреваю, что хочется рубить отдельно выделенный "Ревизору" интерфейс. :-) А нормальные люди нехай и дальше работают как обычно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 июня, 2017 · Жалоба ifconfig-ом? Не уверен, что это хорошо кончится. bpctl_* для этого лучше использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 20 июня, 2017 · Жалоба ifconfig-ом? Не уверен, что это хорошо кончится. bpctl_* для этого лучше использовать. Не понял. Байпасс контролом трафик остановить? 8-[===] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...