[QWE]

С релизом 7 процент пропуска 0, ну и редиректр Https на заглушку порадовал.

Скиньте на анонсы версии 7 на сайте карбона

Иначе вы забегаете вперед и хвалите того чего нет в анонсах и я делаю вывод что Вы не реальный пользователь карбона.

Изменено 10 мая, 2016 пользователем QWE

[Tem]

я за их сайтом не слежу, хватает твиттера

https://twitter.com/carbon_reductor

 

Пользуюсь редуктором более года, какой смысл мне писать про то , чего нет ?

[QWE]

я за их сайтом не слежу, хватает твиттера

https://twitter.com/carbon_reductor

 

Пользуюсь редуктором более года, какой смысл мне писать про то , чего нет ?

ох уж этот карбон, твиттер для анонсов )) что там постится забавно - монолог разработчика

скучно ему

[Dyr]

weirded

Да не нужно вам парсить teredo. Его нужно либо блокировать на ASBR, либо тупо поднимать у себя, на то он и anycast

Вот прямо так и бил бы канделябром по мордам за блокирование туннельного адреса. С какого, собственно, вы решили, что можете у себя поднимать туннельный интерфейс в /dev/null, чтобы я клиентом не мог через него проходить?

 

 

[s.lobanov]

weirded

Да не нужно вам парсить teredo. Его нужно либо блокировать на ASBR, либо тупо поднимать у себя, на то он и anycast

Вот прямо так и бил бы канделябром по мордам за блокирование туннельного адреса. С какого, собственно, вы решили, что можете у себя поднимать туннельный интерфейс в /dev/null, чтобы я клиентом не мог через него проходить?

 

1. teredo уже deprecated

2. 99.9% это не нужно

3. на 0.1% типа Dyr можно забить. Если хочется, чтобы 0.1% не возмущались на форумах - поднимать teredo у себя и блокировать трафик после него. Но лично я в этом смысла не вижу. Хотите давать ipv6 - давайте ipv6 по-нормальному.

[Dyr]

weirded

Да не нужно вам парсить teredo. Его нужно либо блокировать на ASBR, либо тупо поднимать у себя, на то он и anycast

Вот прямо так и бил бы канделябром по мордам за блокирование туннельного адреса. С какого, собственно, вы решили, что можете у себя поднимать туннельный интерфейс в /dev/null, чтобы я клиентом не мог через него проходить?

 

1. teredo уже deprecated

2. 99.9% это не нужно

3. на 0.1% типа Dyr можно забить. Если хочется, чтобы 0.1% не возмущались на форумах - поднимать teredo у себя и блокировать трафик после него. Но лично я в этом смысла не вижу. Хотите давать ipv6 - давайте ipv6 по-нормальному.

1. Да вы шо? А мужики-то и не знают. Пруфы будут?

 

2. За всех отучайтесь говорить. Не нужно будет, когда вы в сети будете выдавать ipv6. Что-то мне подсказывает, что сейчас вы от этого далеки.

 

3. Я бы с удовольствием ознакомился с позицией РКН по вашему видению блокировок ip-адреса, который вам не принадлежит и в списках РКН не значится.

 

 

[s.lobanov]

Dyr

1. я давал пруф в другой теме, могу попозже сам поискать

2. я не работаю в isp

[SyJet]

3. Я бы с удовольствием ознакомился с позицией РКН по вашему видению блокировок ip-адреса, который вам не принадлежит и в списках РКН не значится.

 

Дык в чем проблема - изучайте вопрос, судитесь, а потом останется только один выход - эмиграция от досады, что интернеты блокируют.

[s.lobanov]

Для Dyr - https://tools.ietf.org/html/rfc7526 . Видна ломится именно на 192.88.99.1, теперь оно deprecated и можно с чистой совестью его блокировать, чтобы на ноутах проверяющих из РКН с семёрочкой не были доступы сайты по ipv6

[vlad11]

Прочитайте внимательно RFC7526, что предлагается делать с 192.88.99.0/24.

В реестре по-прежнему есть эта сеть.

Internet Assigned Numbers Authority 6TO4-RELAY-ANYCAST-IANA-RESERVED (NET-192-88-99-0-1) 192.88.99.0 - 192.88.99.255

[s.lobanov]

vlad11

понятно, что сеть по-прежнему занята, если её отдать под что-то другое, то будет куча мусора туда валиться. основной посыл rfc таков, что механизм 6/4 через 192.88.99.1 теперь deprecated. Гики себе настроят ipv6 через бесплатные сервисы, домохозяйки даже не узнают, что оператор блокирует anycast relay, не вижу тут никаких проблема вообще(в блокировке этого релея)

[vlad11]

Вы явно не владеете ситуацией, как домохозяйки включают tеredo.

Подсказка, посмотрите настройки самого популярного торрент-клиента для Windows.

[s.lobanov]

Да какая разница как и кто его включает? Суть проблемы в том, что когда приходят проверяющие из РКН в российские ISP, у них ноутбук, win7 и программа, которая проверяет url-ы с использованием ipv6 через teredo-тунель через 192.88.99.1. Торрент-клиент и с заблокированным этим IP будет работать, сайты тоже открываются, поэтому всем пофиг, заблокирован он или нет, ну кроме парочки гиков, которые всегда найдутся

[Dyr]

Прелестно просто. А когда они с Оперой придут и включенной прокси, всем ещё будете прокси-сервера отключать?

[Andris]

s.lobanov, а не подскажете, давно у нас всё в чужих сетях, что стало по RFC deprecated, нужно именно блокировать? Вы термин “deprecated” с выражением “must be blocked” не путаете?

 

Вообще этот Ваш совет — из разряда «как выстрелить себе в ногу».

Изменено 24 июня, 2016 пользователем Andris

[s.lobanov]

Прелестно просто. А когда они с Оперой придут и включенной прокси, всем ещё будете прокси-сервера отключать?

 

Ну а есть другие варианты? Фейковый серверы opera turbo поставить у себя нельзя. Либо прогибаться под РКН, либо уходить из бизнеса ISP

 

s.lobanov, а не подскажете, давно у нас всё в чужих сетях, что стало по RFC deprecated, нужно именно блокировать? Вы термин “deprecated” с выражением “must be blocked” не путаете?

 

Вообще этот Ваш совет — из разряда «как выстрелить себе в ногу».

 

Объясните почему? Я же написал, что есть 2 варианта - поставить у себя релей 192.88.99.1 и фильтровать трафик за ним, либо тупо заблокировать 192.88.99.1. 99.9% абонентов блокировку не заметят, а если вам важно мнение пары гиков, ну ставьте ради них релей, никто же не запрещает этого делать. я предложил простой и вполне реалистичный workaround

[QWE]

Если совсем плохо, то что посоветуете для фильтрации списков от РКН и Минюста?

заработал Редуктор

но не сразу - что то обновили, поправили разработчики

[ichthyandr]

народ, где можно посмотреть схемы подключения?

[formatftp]

У нас редуктор уже года наверное два точно стоит. Только положительные отзывы: поставили, не заработало- отписались в тех.поддержку, и дали ссш до машины с редуктором. Они все привели в порядок.

За все два года было несколько проблем, все решались либо минимальными правками, либо обращением в тех.поддержку.

На почту постоянно приходят сообщения о проблемах, плюс, с полгода назад у них появился саттелит- это копия редуктора без функций фильтрации. Мы его поставили на удаленную машину, которая занята выкачиванием файлика с блокировками (дабы не попасть на штраф при проблемах с сервером за невыгрузку реестра)

[Tem]

народ, где можно посмотреть схемы подключения?

 

http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380260

[ichthyandr]

народ, где можно посмотреть схемы подключения?

 

http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380260

т.е. по схеме L2 комп с редуктором "одноногий"? Порт на коммутаторе в режиме зеркала принимать пакеты будет? (по документации не совсем понятно)

Изменено 1 июля, 2016 пользователем ichthyandr

[SyJet]

народ, где можно посмотреть схемы подключения?

 

http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380260

т.е. по схеме L2 комп с редуктором "одноногий"? Порт на коммутаторе в режиме зеркала принимать пакеты будет? (по документации не совсем понятно)

Нет, вторая нога есть, по ней редуктор ходит в инет и посылает фейки клиентам

[DemonS]

Доброго времени суток, коллеги!

 

Подскажите, пожалуйста, как можно подредактировать конфиг nginx, чтобы заглушка отдавалась с кодом статуса 451 вместо 200.

Подозреваю, что когда агент-ревизор видит код ответа 200, то считает, что страница доступна.

 

Сейчас сделано так:

 

 

server {
   listen       80;
   listen       443 ssl;

   ssl_certificate      /etc/nginx/ssl/cert.pem;
   ssl_certificate_key  /etc/nginx/ssl/cert.key;
   ssl_session_timeout  5m;
   ssl_protocols  SSLv2 SSLv3 TLSv1;
   ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
   ssl_prefer_server_ciphers   on;

   root   /opt/blockpages/rkn;
   error_page 404 =451 /index.html;
   index index.html;
}

 

 

 

Для несуществующих страниц подменяется код статуса с 404 на 451. Хочется такого же поведения и для "существующих" страниц.

[DemonS]

Сам и отвечу.

 

    error_page 404 =451 /a51de55b8e632c3114e2e24a4c22275d.html;
   index /index.html;

Полагаю никто не угадает имя существующей страницы! ;)

[MATPOC]

У нас редуктор уже года наверное два точно стоит. Только положительные отзывы: поставили, не заработало- отписались в тех.поддержку, и дали ссш до машины с редуктором. Они все привели в порядок.

Удовлетворяет ли carbon reductor новым рекомендациям по блокированию? В частности, "10. При наличии в записи выгрузки информации о доменном имени и сетевом адресе при отсутствии информации об указателе страницы сайта в сети "Интернет", операторам связи рекомендуется ограничивать доступ ко всему информационному ресурсу, включая все сетевые протоколы.". И как carbon reductor блокирует https? РКН почти открытым текстом говорит - резолвите домены и блокируйте по IP. Потому как уже не принимают наши отмазки на замечания "Ревизора" о том, что данный https не блокируется из-за того, что у сайта теперь адрес, отличный от того, что указан в реестре.