Ansy

Заключить соглашение с вышестоящим ...а зачем тогда ревизор? Чтобы проверять исполнение Закона. Вы его в "песочницу" посадите, и заглушку показывайте, на которой скан вашего договора о присоединении с фильтрацией трафика аплинком ;) Пока нет закона о "белых списках" -- идут они лесом... ни один из чинуш мне их ошибочный штраф по их писульке не компенсирует. Путинские сайты проскочили норм, ибо их нет в Реестре. Никто из обиженных доменов не догадался ещё их IP в DNS затроллить?

Если Ревизор зафиксировал адрес ИНОГО оператора связи, то это означает: его воткнули не туда/унесли домой/пустили через резервный канал? нет трассировки через сеть оператора -- подтверждаем пункт 1, иначе таки ТОТ оператор, но совсем другой аплинк? является ли подключение функционирующего Ревизора, приписанного к адресу и реквизитам оператора, в ДРУГИЕ сети нарушением само по себе? и если не является -- какого лешего считать пропуски на ПРИПИСАННОГО оператора, если СЕТЬ ДРУГАЯ? Мож кто-то перепутал железку нечаянно/переткнул намеренно к конкуренту -- так и надо эти пропуски тому оператору вешать, в порядке внеплановой проверки ;) Если канеш не докажут, что это было гнездо НЕ АБОНЕНТСКОГО доступа, без фильтрации. Как-то так...

Похоже поломали ЛК. Точно так же - "новый". Три часа уже висит... походу, их тоже шифротроян-вымогатель зацепил? Вынуждены же всякий реестровый треш смотреть по долгу службы... не предохраняются, компы-ОС старенькие...

Большинство задач резко отпадают при первых штрафах штук на 50-100... так что если справится -- вполне себе ничего железка под задачу... всё лучше, чем комп ставить. Попробуйте, пожалуйста. P.S. Кста, я погорячился, hEX прожёвывает больше чем 4К записей, просто там очень длинные есть в списке, и скрипт на них затыкается, но без всяких сообщений в логе... удаляю "шедевры" доменного творчества по мере затыкания, уже 14К записей поместилось, попробую нащупать лимит длины одной записи. P.S. Интерфейс позволяет ввести в консольке шаблон записи (регулярку) не длиннее 63 символов. Вполне нормально, думаю, если "причесать" список -- явного треша там не очень много... но ручной работы, канеш, потребует, и это печально. P.P.S. Причесал список доменов, редуцировал парой десятков ключевых строк до 20K записей, загнал... держит в памяти! Эт WIN ящетаю.... 113MB RAM из 256 свободно (список IP тоже в памяти, и 40K тех же записей в прокси, можно наверное удалить). Надо аккуратно попробовать зондом, как резать будет (прокси клал CPU в полку) и готовить к продакшн.

Обновил на тестовом hEX (RB750Gr3) прошивку RouterOS до 6.39.1, в которой обещано: Ну, раньше тупо зависало при исчерпании оперативки... теперь БЫСТРО загоняет не более 4020 записей и опаньки. Тыщ этих оказалось не слишком прям так много... так что вопрос открыт.

Я тоже думал, что запятые... но таки по номеру постановления поискал в выгрузке -- это IP без домена. Причем даже не просто IP, а целые ПОДсетки /24 (как-то не заметил, что они вообще появились, после анонса такой возможности долго ждал -- не попадались). Что более странно -- проверил в текущем адрес-листе блокировок, ЕСТЬ они там! Более того, есть и две другие подсетки помельче, /30 -- но они в пропуски не попали. Чудесато ревизор ревизорит...

Именно так, в дешевую, компактную, и самое главное -- питаемую от 12В, так по задаче надо -- засунуть IP-фильтр + доменный фильтр. Микротик же справляется... но там памяти уже предел, и DNS-кэш не столь адекватный. dnsmasq же в оперативной памяти занимает 30 метров, должен поместиться. Если ещё и скрипты обычные доступны (а не специфичные огороженные микротиковские), и своп адрес-листов в iptables прокатит -- так и вообще волшебно. Но само железо (EdgeRouter X) у поставщиков только на заказ, и для попробы, что оно туда тупо не лезет, заказывать как-то некузяво... файлики списков могу предоставить, а в идеале канеш консольку бы до железки...

Нашел уже group в тамошнем конфиге фаерволла, но непонятно, насколько много туда можно забить адресов, причем эффективно -- длинным списком из коротких строк. Вроде скрипты поддерживаются, вероятно можно упаковать в архив только адреса (IP), залить в роутер и на лету скриптом развернуть в поток команд. На Микротике приходится каждый адрес отдельной ПОЛНОЙ (от корня) командой вводить, ибо иначе очень длинная строка получается, затыкается он... но из плюсов -- ключевые слова можно сокращать до одной-двух букв и табуляция (\t), набор команд типа таких: /ip firewall address-list remove numbers=[find list=z] /ip\tf\ta\ta\tl\tz t\t9d a\t100.34.204.147 /ip\tf\ta\ta\tl\tz t\t9d a\t100.42.56.20 ... тут 45 тыщ таких записей, раскрывается по сокращениям само в вид /ip firewall address-list add list=z timeout=9d address=100.42.56.20 Ну и в похожей форме с доменами, столько же, игого под 100К строк прожевать. Занимает этот процесс минут 10 примерно. Интересно, как в EdgeRouter такое влезет, и за какое время обработается?

До кучи. А работать в фаерволле (iptables) со списками адресов в EdgeOS можно ли как-то, кроме влезания в косноль? В частности, формировать два больших списка и свапнуть их одной командой?

Подскажите, кто имеет EdgeRouter (особенно самый младший) -- там "искаропки" dnsmasq есть? И если есть -- можно ли ему в /etc/dnsmasq.d скормить БОЛЬШОЙ файл с блокируемыми доменами, эдак на 50 тыщ записей... я имею ввиду Реестр запрещенных сайтов РосКомНадзора, приведенный к формату строк "address=/007nomer.ru/81.176.72.113" -- очень интересно, не зависнет ли? Микротик более ~20K статических DNS-записей не переваривает, в компе (PC, x86 Linux) при этом процесс dnsmasq отъедает около 30 метров RAM. Если EdgeRouter нормально такое переварит (фильтровать запросы к DNS на перехвате) то можно попробовать запилить на нём фильтр для небольшой сетки.

Сегодня пообщался с региональным РЧЦ. Озвучил ранее означенную проблему. Да, действительно, реализация моей хотелки не возможна в принципе, на уровне аппаратного Ревизора. Однако. Сотрудник при проверке скринов предоставленных ревизором, может удаленно зайти через Ревизор так, что на его компьютере будет полностью воссоздано клиентское подключение, через которое работает Ревизор. В броузере (не важно в каком) зайти по ссылке, сделать копию экрана с датой, временем , титулом и URL. Все это подписать ЭЦП. Вот только подтвердить что это подключение через проверяемого оператора, а не какое-то левое, подтвердить пока не могут. На вопрос: "И???" ответ: "А мы типа лица не заинтересованные, это РКН протоколы выписывает." Полагаю, делают к себе VPN-канал через СтукачаРевизора в Интернет, как от оператора. На скриншот можно же сверху наложить открытое окошко с трассировкой до сайта. Хотя... перед подписанием ЛЮБОЙ скришот отфотошопить можно -- тут поможет только сертифицированная железка, САМА делающая всё это (как камеры ГИБДД). Или сертифицированный незаангажированный сотрудник. Что есть утопия.

А что именно "показательно" в приведенном кусочке дампа? То, что регистр в именах доменов скачет? Где-то вроде здесь проскакивал уже момент, что так DNS-серверы работают, причину не помню, но оно (регистр) и не важно для функционирования "интернетов". Или вообще набор сайтов, куда оно лазит и считает, что должно быть доступно? Наверное, можно собрать общественную, "облачную" песочницу для операторских целей, в итоге получится некий аналог "белого списка" -- пока что только для этих самых "стукачей".

Потому что большинство сайтов пока еще за границей, т.е. ВНЕ российской юрисдикции и доступности.Ограничивать же пытаются МЕСТНЫХ, т.е. абонентов, к которым юридически можно применять какие-то меры ограничения и воздействия для ограждения властей от неугодных им лиц и действий. Да не, зачем сразу террорист... твой сайт -- ничто, и звать тебя -- никак... пока не зарегистрируешь в госпортале по своему паспорту, с телефонами, адресами, отпечатками пальцев и сканом сетчатки глаз, расписавшись в лояльности и безвредности под строгую ответственность. Иначе не дадут к тебе доступа ни одному отечественному абоненту. Ну или строй до абонентов свою собственную сеть Интернет (вспоминаем FidoNet).

издаю закон - 1 сеть и всё, 1000 мелких не надо, роутеры запретить, и да, налог на дождь! Не так. Роутеры ОБЯЗАТЬ СТАВИТЬ, причем с фиксированной "православной" и "кошерно-халяльной" прошивкой, подписанной УФСБ сертификатом ГОСТ. В прошивке есте ссылки ТОЛЬКО на государственный DNS и сеть государственных же шлюзов. Другие идут лесом и Интернет раздавать не могут (хотя могут быть транспортом, туннелем). Там же и антивирус, и оплата интернета, авторизация и аутентификация домохозяйства у оператора и т.п. -- короче, аналог SIM-карты и паспорта. Операторы связи свободны от кучи гимора и строят свои гигабитные сети. Хомячки смотрят "ТВ ver.2.0" уже по этому Чебурнету, детки неразумные огорожены от всего кроме "единорогов, какающих радугой", все довольны и славят руководство страны. P.S. Самое прикольное, что 80% населения такой вариант вполне устроит. А мы к нему и идем, пока что реализуя эти эшелоны обороны на уровне операторов.

Отчеты в ЛК пока пустые. "Стукач" за два дня никуда не лазил, кроме: Синхронизация времени по NTP DNS-запросы о нескольких своих сайтах *rfc-revizor.ru Несколько коротких HTTPS-сессий с обменом сертификатами и какой-то короткой инфой Запретные счетчики по нулям пока... Это нормально? На какой день включения он у вас куда-то ломиться начинает?

Реально вебморда в версии прошивки 3.1 пошустрее стала, за это разработчикам СПАСИБО! И замечательно, что график вернули, где можно текущую и прошлую загруженность трафиком посмотреть (Monitor -- Throughput Chart). Вот только косячок там... время на шкале показывается UTC, по Гринвичу -- несмотря на то, что выставлено местное и по SNTP актуализируется. Прошу поправить. Ну и до кучи -- давайте все же на базовой станции ВО ВСЕХ таблицах клиентов указывать хотя бы НАЗВАНИЕ клиента. А лучше ещё и IP. Ссылочкой было бы вообще прекрасно. Потому что MAC-адреса мы не выбираем и не запоминаем, ибо не несут они, заводские, никакой нам смысловой нагрузки. Кому очень надо -- может последние октеты и в название клиента добавить. А вот названия и IP-адреса админ подбирает в определенной системности, с привязкой к месту установки, организации или ещё как-то осмысленно. Поэтому такие ключевые поля в таблицах должны быть обязательно.

Пипец, ребят, не нравится мне это, АКТИВНО не нравиццо... Зарулил в address-list на тестируемом Микротике кроме списка статичных IP из Реестра ещё и список доменов (для динамического спуфинга запросов к DNS) -- "а они как ломанутся!" ;) В общем, даже без кириллических доменов, без "звездочек" -- в кэше DNS около двух тыщ адресов постоянно в резолвинге из-за малого TTL, причем активно подгружают девайс и есте задалбывают вышестоящий DNS-сервер! Эт чо, без DPI вообще никак получается надежно не заблокировать? Или мы массово заDDoSим DNS-ы планеты... вот дурдом-то придумали. А напаркуа мне этот дорогущий DPI в практически технологической радиосети на 5-10Мбит/с суммарно, где одна телеметрия да RDP-сеансы?

rublacklist.net по https, у меня аплинк по IP блокирует, так что без вариантов. Да пофиг в принципе... всё равно эти реестры и блокировки -- костылястые костыли идейно и архитектурно, от своего рождения в недалеких головах.

В реестре нету, и скат вполне туда пускает. на waptiny заблочена только одна ссылка. http://waptiny.com/download/... О том и речь, что в Реестре нету, но по IP попадает аккурат. Ссылку и я мог привести... только зачем светить? Вопрос в том, ИЩУТ ЛИ ОНИ что-то примерно подходящее под запрет на тех IP, на которых сайты, которые вроде и нельзя закрыть, но оч. хочется? Ну и, есте, на том же хостинге или IP. P.S. Кста, это IP от CloudFlare вроде бы...

Интересно, rublacklist.net под раздачу случайно попал? Или РКН так специально мины по площадям кладёт, чтоб вместе с каким-то waptiny.com заодно и требуемый IP накрыло?

Сертификат ССС же предъявляли тут уже... наверное, сертифицирующий центр? ;)

Если весь этот зоопарк натится микротиком, то по-честному тяжело. А так, балбесам которые знать не хотят про то, что у них ботнет живёт - тихо дропать траф. Или в raw делать "no track", что при нате аналогично. Вряд ли они пойдут куда телнетом. Можно сделать гибче. Ввести по порту телнета "limit". При превышении - закидывать src-ip в address-list. Согласно этому address-list делать "no track" (или по ситуации drop/reject/tarpit). В результате "честный" телнет с чистого хоста пройдет, а множественные сессии сверх лимита создаваться не будут. Точно, вот тут есть интересное "побудительное" решение, которое я нарыл как-то в Интернете для блокировки торрентокачальщиков в одной конторе. Это ВИДЕО настройки -- ну, другого источника не нашел, там в комментариях вроде правила были отдельно. Фокус в том, что при попытке послать пакет сессии определенного типа (в данном случае torrent, у вас же будет telnet tcp/23) IP этого клиента на несколько минут заносится в "черный список", которому другим правилом ЗАПРЕЩАЕТСЯ ВЕСЬ Интернет. Клиент, поверьте, быстро САМ находится и начинает возмущаться... на что ему резонно отвечается -- "Инет у вас есть, только его весь трояны выжирают, надо лечить, пока все ваши секреты не слили злоумышленникам".

А не дофига ли этому СтукачуРевизору 10Мбит/с? У вас они именно столько и требуют? А если наши клиенты в среднем 1-2-4Мбит/с вполне довольствуются, причем именно корпоративные юрлица (почта, веб, RDP), даже офисом в 2-7 компов -- под Ревизора специальную полосу закупать? Вроде ж ему 512Кбит/с вполне хватать должно, он на ютубе не зависает?

Вот как раз из приведенного спрашивающим скриншота соединений вовсе не следует, что порты на самом Микротике открыты. При том, что заражен скорее всего не сам Микротик (хотя допускаю присутствие "левого" оператора в консоли или сканящего скрипта для RouterOS -- слишком уж накладно и фантастично). Вы предлагаете заблокировать исходящий трафик на telnet-ы в Интернете? И как это спасет от заражения Виндов в локалках, где живого телнета обычно нет как класса? В наше время заражают обычно не долбежкой в редкие порты -- есть более простые методы социальной инженерии. 99.9(9)% что это изнутри через NAT и скорее всего из Винды, протрояненой ДРУГИМ способом. Хотя соглашусь -- фаервол надо бы настраивать. Как минимум от DNS Amplification Attack, ибо по умолчанию Микротик оказывается для них уязвимым.

Подскажите, пожалуйста, знающие ЭЛЕКТРИЧЕСКУЮ часть "роутербордов" специалисты. Вот в модельке Mikrotik CCR1009-8G-1S-1S+ имеется сдвоенный для резервирования блок питания. https://routerboard.com/product/220 Это понятно, фича замечательная, имеем две фазы питания + бесперебойники -- получаем условно непотопляемую сетевую инфраструктуру. Идем дальше. Модели Mikrotik CCR1009-8G-1S-PC или CCR1009-8G-1S-1S+PC То бишь БП внешний отдельный, но если ОДНОВРЕМЕННО и ПАРАЛЛЕЛЬНО запитать через порт PoE, то получим сходный функционал резерированного питания. Внимание, вопрос! Исходя из схемотехники более простых моделей -- допустимо ли ИХ ТОЖЕ запитывать параллельно от сетевого БП и PoE-порта? Есть ли какая-то предусмотренная развязка, чтобы не случилось феерверка или убийства столь полезной железки?