Ansy

Заключить соглашение с вышестоящим ...а зачем тогда ревизор? Чтобы проверять исполнение Закона. Вы его в "песочницу" посадите, и заглушку показывайте, на которой скан вашего договора о присоединении с фильтрацией трафика аплинком ;) Пока нет закона о "белых списках" -- идут они лесом... ни один из чинуш мне их ошибочный штраф по их писульке не компенсирует. Путинские сайты проскочили норм, ибо их нет в Реестре. Никто из обиженных доменов не догадался ещё их IP в DNS затроллить?

Если Ревизор зафиксировал адрес ИНОГО оператора связи, то это означает: его воткнули не туда/унесли домой/пустили через резервный канал? нет трассировки через сеть оператора -- подтверждаем пункт 1, иначе таки ТОТ оператор, но совсем другой аплинк? является ли подключение функционирующего Ревизора, приписанного к адресу и реквизитам оператора, в ДРУГИЕ сети нарушением само по себе? и если не является -- какого лешего считать пропуски на ПРИПИСАННОГО оператора, если СЕТЬ ДРУГАЯ? Мож кто-то перепутал железку нечаянно/переткнул намеренно к конкуренту -- так и надо эти пропуски тому оператору вешать, в порядке внеплановой проверки ;) Если канеш не докажут, что это было гнездо НЕ АБОНЕНТСКОГО доступа, без фильтрации. Как-то так...

Похоже поломали ЛК. Точно так же - "новый". Три часа уже висит... походу, их тоже шифротроян-вымогатель зацепил? Вынуждены же всякий реестровый треш смотреть по долгу службы... не предохраняются, компы-ОС старенькие...

Большинство задач резко отпадают при первых штрафах штук на 50-100... так что если справится -- вполне себе ничего железка под задачу... всё лучше, чем комп ставить. Попробуйте, пожалуйста. P.S. Кста, я погорячился, hEX прожёвывает больше чем 4К записей, просто там очень длинные есть в списке, и скрипт на них затыкается, но без всяких сообщений в логе... удаляю "шедевры" доменного творчества по мере затыкания, уже 14К записей поместилось, попробую нащупать лимит длины одной записи. P.S. Интерфейс позволяет ввести в консольке шаблон записи (регулярку) не длиннее 63 символов. Вполне нормально, думаю, если "причесать" список -- явного треша там не очень много... но ручной работы, канеш, потребует, и это печально. P.P.S. Причесал список доменов, редуцировал парой десятков ключевых строк до 20K записей, загнал... держит в памяти! Эт WIN ящетаю.... 113MB RAM из 256 свободно (список IP тоже в памяти, и 40K тех же записей в прокси, можно наверное удалить). Надо аккуратно попробовать зондом, как резать будет (прокси клал CPU в полку) и готовить к продакшн.

Обновил на тестовом hEX (RB750Gr3) прошивку RouterOS до 6.39.1, в которой обещано: Ну, раньше тупо зависало при исчерпании оперативки... теперь БЫСТРО загоняет не более 4020 записей и опаньки. Тыщ этих оказалось не слишком прям так много... так что вопрос открыт.

Я тоже думал, что запятые... но таки по номеру постановления поискал в выгрузке -- это IP без домена. Причем даже не просто IP, а целые ПОДсетки /24 (как-то не заметил, что они вообще появились, после анонса такой возможности долго ждал -- не попадались). Что более странно -- проверил в текущем адрес-листе блокировок, ЕСТЬ они там! Более того, есть и две другие подсетки помельче, /30 -- но они в пропуски не попали. Чудесато ревизор ревизорит...

Именно так, в дешевую, компактную, и самое главное -- питаемую от 12В, так по задаче надо -- засунуть IP-фильтр + доменный фильтр. Микротик же справляется... но там памяти уже предел, и DNS-кэш не столь адекватный. dnsmasq же в оперативной памяти занимает 30 метров, должен поместиться. Если ещё и скрипты обычные доступны (а не специфичные огороженные микротиковские), и своп адрес-листов в iptables прокатит -- так и вообще волшебно. Но само железо (EdgeRouter X) у поставщиков только на заказ, и для попробы, что оно туда тупо не лезет, заказывать как-то некузяво... файлики списков могу предоставить, а в идеале канеш консольку бы до железки...

Нашел уже group в тамошнем конфиге фаерволла, но непонятно, насколько много туда можно забить адресов, причем эффективно -- длинным списком из коротких строк. Вроде скрипты поддерживаются, вероятно можно упаковать в архив только адреса (IP), залить в роутер и на лету скриптом развернуть в поток команд. На Микротике приходится каждый адрес отдельной ПОЛНОЙ (от корня) командой вводить, ибо иначе очень длинная строка получается, затыкается он... но из плюсов -- ключевые слова можно сокращать до одной-двух букв и табуляция (\t), набор команд типа таких: /ip firewall address-list remove numbers=[find list=z] /ip\tf\ta\ta\tl\tz t\t9d a\t100.34.204.147 /ip\tf\ta\ta\tl\tz t\t9d a\t100.42.56.20 ... тут 45 тыщ таких записей, раскрывается по сокращениям само в вид /ip firewall address-list add list=z timeout=9d address=100.42.56.20 Ну и в похожей форме с доменами, столько же, игого под 100К строк прожевать. Занимает этот процесс минут 10 примерно. Интересно, как в EdgeRouter такое влезет, и за какое время обработается?

До кучи. А работать в фаерволле (iptables) со списками адресов в EdgeOS можно ли как-то, кроме влезания в косноль? В частности, формировать два больших списка и свапнуть их одной командой?

Подскажите, кто имеет EdgeRouter (особенно самый младший) -- там "искаропки" dnsmasq есть? И если есть -- можно ли ему в /etc/dnsmasq.d скормить БОЛЬШОЙ файл с блокируемыми доменами, эдак на 50 тыщ записей... я имею ввиду Реестр запрещенных сайтов РосКомНадзора, приведенный к формату строк "address=/007nomer.ru/81.176.72.113" -- очень интересно, не зависнет ли? Микротик более ~20K статических DNS-записей не переваривает, в компе (PC, x86 Linux) при этом процесс dnsmasq отъедает около 30 метров RAM. Если EdgeRouter нормально такое переварит (фильтровать запросы к DNS на перехвате) то можно попробовать запилить на нём фильтр для небольшой сетки.

Сегодня пообщался с региональным РЧЦ. Озвучил ранее означенную проблему. Да, действительно, реализация моей хотелки не возможна в принципе, на уровне аппаратного Ревизора. Однако. Сотрудник при проверке скринов предоставленных ревизором, может удаленно зайти через Ревизор так, что на его компьютере будет полностью воссоздано клиентское подключение, через которое работает Ревизор. В броузере (не важно в каком) зайти по ссылке, сделать копию экрана с датой, временем , титулом и URL. Все это подписать ЭЦП. Вот только подтвердить что это подключение через проверяемого оператора, а не какое-то левое, подтвердить пока не могут. На вопрос: "И???" ответ: "А мы типа лица не заинтересованные, это РКН протоколы выписывает." Полагаю, делают к себе VPN-канал через СтукачаРевизора в Интернет, как от оператора. На скриншот можно же сверху наложить открытое окошко с трассировкой до сайта. Хотя... перед подписанием ЛЮБОЙ скришот отфотошопить можно -- тут поможет только сертифицированная железка, САМА делающая всё это (как камеры ГИБДД). Или сертифицированный незаангажированный сотрудник. Что есть утопия.

А что именно "показательно" в приведенном кусочке дампа? То, что регистр в именах доменов скачет? Где-то вроде здесь проскакивал уже момент, что так DNS-серверы работают, причину не помню, но оно (регистр) и не важно для функционирования "интернетов". Или вообще набор сайтов, куда оно лазит и считает, что должно быть доступно? Наверное, можно собрать общественную, "облачную" песочницу для операторских целей, в итоге получится некий аналог "белого списка" -- пока что только для этих самых "стукачей".

Потому что большинство сайтов пока еще за границей, т.е. ВНЕ российской юрисдикции и доступности.Ограничивать же пытаются МЕСТНЫХ, т.е. абонентов, к которым юридически можно применять какие-то меры ограничения и воздействия для ограждения властей от неугодных им лиц и действий. Да не, зачем сразу террорист... твой сайт -- ничто, и звать тебя -- никак... пока не зарегистрируешь в госпортале по своему паспорту, с телефонами, адресами, отпечатками пальцев и сканом сетчатки глаз, расписавшись в лояльности и безвредности под строгую ответственность. Иначе не дадут к тебе доступа ни одному отечественному абоненту. Ну или строй до абонентов свою собственную сеть Интернет (вспоминаем FidoNet).

издаю закон - 1 сеть и всё, 1000 мелких не надо, роутеры запретить, и да, налог на дождь! Не так. Роутеры ОБЯЗАТЬ СТАВИТЬ, причем с фиксированной "православной" и "кошерно-халяльной" прошивкой, подписанной УФСБ сертификатом ГОСТ. В прошивке есте ссылки ТОЛЬКО на государственный DNS и сеть государственных же шлюзов. Другие идут лесом и Интернет раздавать не могут (хотя могут быть транспортом, туннелем). Там же и антивирус, и оплата интернета, авторизация и аутентификация домохозяйства у оператора и т.п. -- короче, аналог SIM-карты и паспорта. Операторы связи свободны от кучи гимора и строят свои гигабитные сети. Хомячки смотрят "ТВ ver.2.0" уже по этому Чебурнету, детки неразумные огорожены от всего кроме "единорогов, какающих радугой", все довольны и славят руководство страны. P.S. Самое прикольное, что 80% населения такой вариант вполне устроит. А мы к нему и идем, пока что реализуя эти эшелоны обороны на уровне операторов.

Отчеты в ЛК пока пустые. "Стукач" за два дня никуда не лазил, кроме: Синхронизация времени по NTP DNS-запросы о нескольких своих сайтах *rfc-revizor.ru Несколько коротких HTTPS-сессий с обменом сертификатами и какой-то короткой инфой Запретные счетчики по нулям пока... Это нормально? На какой день включения он у вас куда-то ломиться начинает?