drdaeman

Второй раз меняют уже, не могут решение суда записать :) Теперь URL'ы http'шные стали. Что странное - сервер на 443 порту замолчал (а вроде раньше отвечал, если мне не приснилось).

Не могу шейперы победить. Вот есть шейпинг как его делает ванильный accel-pppd 1.7. Просто, удобно, работает. Но не знала баба горя, купила баба порося. Потребовалось добавить правила, которые по-другому ограничивают определенную подсеть (скажем, 10.0.0.0/8). «Вниз», к клиенту, не проблема. Включил ppp_compat, в ip-up, видя поставленный htb qdisc, делаю: tc class add dev "$IFNAME" parent 1: classid 1:99 htb rate 100Mbit tc filter add dev "$IFNAME" parent 1:0 prio 0 protocol ip u32 match ip src 10.0.0.0/8 flowid 1:99 Аналогично в ip-change, на ip-down плевать, интерфейс сам пропадет и классы-фильтры с ним. В общем, собственно, пусть оно и некрасиво, но работает. А вот «вверх» не выходит каменный цветок. Поскольку фильтр flow уже имеет приоритет 1 (меньшее, что удается сунуть, при попытке filter add prio 0 в приоритете оказывается что-то непотребное типа 49152), то я «сдвинул» его на prio 1000. Добавил класс 1:1 для трафика на нужную подсеть и u32-фильтр. В итоге на ifb фильтры выглядят так: filter parent 1: protocol ip pref 16 u32 filter parent 1: protocol ip pref 16 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 16 u32 fh 800::800 order 2048 key ht 800 bkt 0 flowid 1:1 match 0a000000/ff000000 at 12 filter parent 1: protocol ip pref 1000 flow filter parent 1: protocol ip pref 1000 flow handle 0x1 map keys priority baseclass 1:1 Тут я явно чего-то не понимаю, потому что u32 как будто и не было и в класс 1:1 не попадает ни байтика. Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0). Помогите, пожалуйста.

Как можно заметить, расхлебывают заваренное, вообще-то, совсем не они.

Я просто оставлю это здесь. http://safe.cnews.ru/news/top/index.shtml?2012/12/10/512165

И? Вариантов ровно два. Один — нагнут, несмотря на «да у него же IP в реестре» провайдера, за то что блокировал неположенный ресурс. Второй — пострадавшего завернут с «провайдер действовал строго по закону.» А дальше? И так, вроде бы, всем понятно, что провайдеры сейчас с завязанными глазами блуждают где-то между молотом и наковальней. С одной стороны пользователи, с другой прокуратура, а РКН с Думой улыбаются и машут отчетами как реестр влегкую подебил сотни вредоносных сайтов.

А какие, кстати, санкции-то?

Только в законе такое крутое определение сетевого адреса, что туда подходит хоть IP, хоть доменное имя, хоть URL, хоть MAC, хоть черт лысый, лишь бы по этому черту адресовать можно было.

Ай, да ладно. На престарелой малвари оно действительно не хуже, но на свежаке работает примерно никак. http://www.av-test.org/en/tests/home-user/windows-7/sepoct-2012/

Китай, кстати нынче впереди планеты всей. Они дообкатали анализатор протоколов (давно еще было замечено, что после обычного подключения из Китая вдруг через минуту-другую прилетает еще один «странный» коннект, щупающий сервер) и выпустили его в продакшен. Теперь оперативно блокируются все популярные VPN'ы. (Tor, включая бриджи, если что, GFW уже давно победил.) http://www.reddit.com/r/China/comments/14dr8g/great_firewall_updated_is_learning_how_to/ И ничего. Такие дела. (Кстати, Мизулина как-то обещала новый законопроект, где будет положено забанить все проксики с VPNами, так что... ну вы поняли.)

Meanwhile, in Dubai. МСЭ приняла Y.2770 про DPI: http://hitech.vesti.ru/news/view/id/862 Хотя, по мне как, самое поганое в этом документе (точнее слитом корейском драфте: http://ru.scribd.com/doc/115591181/2012-1357-Y-2770) не то, что айяйяй можно читать и даже модифицировать пакетики (бида-бида, наконец-то, может, криптография займет положенное место), а то, что там проскочила (не новая, конечно, но) идея по-разному биллинговать разные виды траффика. Все помнят как пару лет назад Google в этихихних Америках бодался против этого самого с FCC? Тогда оно прокатило, а теперь вот такую сочную дулю им показали.

Meanwhile in Russia. Вот это (копия) попало в реестр: http://img.leprosorium.com/1634051

Это самое, а тут wiki нету? Ведь какая благодать была бы — чем сто раз одно и то же отвечать на переспросы, ткнуть ссылку статью «Работа с реестром запрещенных сайтов» и там все бы было. Аналогично и не для реестра, а для многих других вещей. Те же решения типичных задач, типовые примеры-конфиги оборудования и скрипты автоматизации (ну или ссылки на репозитории с ними) можно выкладывать. Я ведь только что приводил ссылку на пост. Скопирую даже оттуда:

Обязательно. ЭЦП для участия в торгах не имеет т.н. "квалифицированного сертификата", робот запрет-инфо не может проверить ее... мнэ... аутентичность. КриптоАРМ генерирует саму подпись (функция закрытого ключа и подписываемой последовательности байт), КриптоПро это только поддержка самого сертификата, подпись генерировать не умеет. Неправда Ваша. Покупать новую ЭЦП надо только если или старая выдана УЦ не из списка аккредитованных или если старый сертификат не «квалифицированная ЭЦП» — они разных уровней бывают (в любом случае, стоит потратить немного времени и попробовать со старым — вдруг пройдет). У нас ЭЦП получалась именно для гос.торгов, выдана авторизованным УЦ и прекрасно подходит для работы с реестром. У некоторых, правда, подписи для торгов не проходят, даже будучи выданными УЦ из списка из-за недоработок УЦ — тогда жалуются выдавшему УЦ, после заворотов «ну, купите новую» и требований «вообще-то вы обязаны были выдать как положено, давайте устраняйте свои дефекты бесплатно» делают что надо. Но если не принимает, еще не факт что УЦ виноват. Думаю, если УЦ аккредитован, запрос сформирован правильно, проверялка на «Госуслугах» дает зеленый свет, но подпись на реестре не проходит проверку, можно пробовать обратиться в РКН и спросить за какие грехи это так. У некоторых выданы другим УЦ — вот тогда не подходит, тогда надо покупать. КриптоАРМ покупать не нужно (хотя для ленивых можно запросить триал, один раз сделать подпись и пользоваться этим запросом всегда — пока это работает), достаточно КриптоПРО CSP (в нем есть утилита для генерации подписей) или OpenSSL, рецепты по использованию были в теме: Подпись с использованием КриптоПРО CSP (без КриптоАРМ): http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=772022 Использование OpenSSL, если сертификат экспортируем: http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=771668 Про использование OpenSSL с токенами (с переменным успехом) тут тоже было, но что-то с ходу не найти, а листать тему лень. Ищите и да обрящете.

Нет, ну меня другое радует. Сервер работает, провайдер работает, а из-за каких-то умников, с которыми у сторон и отношений нет никаких, связи, в итоге, нет.

Охохо, я сейчас вам веселое, если бы не слишком грустное, расскажу. Получаем сейчас жалобу от клиента, дескать, почему я иду на Webstagram, а у меня вместо теплых ламповых хипстерских фоточек появляется какой-то логотип Билайна и АТАТАТ? Смотрю в трейс. Пакет уходит через Раском → Голден → Корбина → бдыщщщ! Билайн вообразил что 108.162.207.20 в реестре (сайт реестра так не думает, но Билайн думает иначе) и зафильтровал транзит. Адрес CloudFlare'овский, видимо, там или сосач или форчонг побывали. Ок, маршрут на другой аплинк, вроде работает. «Но осадок остался.»