Перейти к содержимому
Калькуляторы

Технические средства контроля за оператором

Ну всё, теперь письма счастья рассылают:

 

Настоящим уведомляю Вас о составлении протокола об административном правонарушении в отношении юридического лица по части 3 статьи 14.1 Кодекса РФ об административных правонарушениях – «Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией)».

 

По результатам мониторинга ограничения оператором связи ... доступа к информационным ресурсам в
сети «Интернет», установлено, что оператор связи ... не ограничивает доступ к информационным ресурсам,
распространяемым посредством информационно-телекоммуникационной сети
«Интернет», в порядке, установленном Федеральным законом от 27.07.2006
No 149-ФЗ «Об информации, информационных технологиях и о защите
информации», чем нарушило п. 1, п. 5 ст. 46 Федерального закона от 07.07.2003
No 126-Ф «О связи».Вывод: В результате мониторинга выявлены признаки нарушения оператором связи
... требований:
- п. 1, п. 5 ст. 46 Федерального закона от 07.07.2003 No 126-ФЗ «О связи»;
- пп. «а» п. 26 Правил оказания телематических услуг связи, утверждённых
постановлением Правительства Российской Федерации от 10.09.2007 No 575;
- лицензионные требования, установленные лицензией (лицензиями).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну всё, теперь письма счастья рассылают:

 

Настоящим уведомляю Вас о составлении протокола об административном правонарушении в отношении юридического лица по части 3 статьи 14.1 Кодекса РФ об административных правонарушениях – «Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией)».

 

По результатам мониторинга ограничения оператором связи ... доступа к информационным ресурсам в
сети «Интернет», установлено, что оператор связи ... не ограничивает доступ к информационным ресурсам,
распространяемым посредством информационно-телекоммуникационной сети
«Интернет», в порядке, установленном Федеральным законом от 27.07.2006
No 149-ФЗ «Об информации, информационных технологиях и о защите
информации», чем нарушило п. 1, п. 5 ст. 46 Федерального закона от 07.07.2003
No 126-Ф «О связи».Вывод: В результате мониторинга выявлены признаки нарушения оператором связи
... требований:
- п. 1, п. 5 ст. 46 Федерального закона от 07.07.2003 No 126-ФЗ «О связи»;
- пп. «а» п. 26 Правил оказания телематических услуг связи, утверждённых
постановлением Правительства Российской Федерации от 10.09.2007 No 575;
- лицензионные требования, установленные лицензией (лицензиями).

в голосовалке http://forum.nag.ru/forum/index.php?showtopic=123162&mode=show&st=30 отметьтесь, пожалуйста

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, у кого стоит программная версия Ревизора, как вы мониторите их активность, если он стоит в виртуалке?

В логе виртуалке с Ревизорм вижу

142:44:49.721850 NAT: DHCP offered IP address 10.0.2.15

Как я понимаю, это как раз ip, который Ревизор получил для работы, но мониторинг этого ip по всем интерфейсам сервака никакой активности с него не показывает. Но в ЛК на портале РЧЦ агент видно как активный и можно заказать и загрузить отчет о его работе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И не будет нигде активности этого ip, ибо он серый адрес виртуалки, смотрите по ip хост-машины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И не будет нигде активности этого ip, ибо он серый адрес виртуалки, смотрите по ip хост-машины.

Должна активность быть. На 'внутреннем' интерфейсе хоста, куда виртуалка подключена. Того самого, в который 'DHCP offered IP address 10.0.2.15' сделано.

Другое дело, что он может быть каким-нибудь упрощенным и пакетики на нем могут плохо ловиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И не будет нигде активности этого ip, ибо он серый адрес виртуалки, смотрите по ip хост-машины.

И как по ip хост-машины предполагается отловить активность Ревизора?

 

И не будет нигде активности этого ip, ибо он серый адрес виртуалки, смотрите по ip хост-машины.

Должна активность быть. На 'внутреннем' интерфейсе хоста, куда виртуалка подключена. Того самого, в который 'DHCP offered IP address 10.0.2.15' сделано.

Другое дело, что он может быть каким-нибудь упрощенным и пакетики на нем могут плохо ловиться.

У сервера всего 1 физ.интерфейс, да и логических всего ничего:

 sudo ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:f1:7e:61:b8
         inet addr:172.21.36.233  Bcast:172.21.36.255  Mask:255.255.255.0
         inet6 addr: fe80::20c:f1ff:fe7e:61b8/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:183686267 errors:0 dropped:0 overruns:0 frame:0
         TX packets:180743643 errors:11 dropped:0 overruns:0 carrier:2836160
         collisions:23272501 txqueuelen:1000
         RX bytes:3788497266 (3.5 GiB)  TX bytes:2160762726 (2.0 GiB)

eth0:1    Link encap:Ethernet  HWaddr 00:0c:f1:7e:61:b8
         inet addr:212.ххх.ххх.ххх  Bcast:212.ххх.ххх.ххх  Mask:255.255.255.248
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:338011616 errors:0 dropped:0 overruns:0 frame:0
         TX packets:338011616 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:558546696 (532.6 MiB)  TX bytes:558546696 (532.6 MiB)

 

И ничего специально "под установку Ревизора" на сервере не делалось.

 sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
lbilling   all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain lbilling (1 references)
target     prot opt source               destination

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У сервера всего 1 физ.интерфейс, да и логических всего ничего:

 sudo ifconfig

просто ifconfig может не показывать какие-то интефейсы

#ifconfig
...
virbr0    Link encap:Ethernet  HWaddr 52:54:00:71:de:90  
         inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
         UP BROADCAST MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
#ifconfig -a
....
virbr0    Link encap:Ethernet  HWaddr 52:54:00:71:de:90  
         inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
         UP BROADCAST MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

virbr0-nic Link encap:Ethernet  HWaddr 52:54:00:71:de:90  
         BROADCAST MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Но вообще он слегка depricated, поэтому лучше так:

# ip link
...
4: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default qlen 1000
   link/ether 52:54:00:71:de:90 brd ff:ff:ff:ff:ff:ff
5: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr0 state DOWN mode DEFAULT group default qlen 1000
   link/ether 52:54:00:71:de:90 brd ff:ff:ff:ff:ff:ff

 

И ничего специально "под установку Ревизора" на сервере не делалось.

 sudo iptables -L

NAT же не в тех цепочках настраивается. 'iptables -L -t nat' ну и, на всякий случай 'iptables -L -t mangle'.

 

Можно еще в процессах этот dhcp демон найти и посмотреть, на каком интерфейсе он висит.

Я подозреваю, что какой-нибудь dnsmasq найдется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Должна активность быть. На 'внутреннем' интерфейсе хоста, куда виртуалка подключена.

Возможно, никогда не ловил пакеты в этом месте. Но что-то мне подсказывает, что NAT производит сервис виртуализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NAT же не в тех цепочках настраивается. 'iptables -L -t nat' ну и, на всякий случай 'iptables -L -t mangle'.

 

Можно еще в процессах этот dhcp демон найти и посмотреть, на каком интерфейсе он висит.

Я подозреваю, что какой-нибудь dnsmasq найдется.

Ну как-то так:

root@lb:~# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
   link/ether 00:0c:f1:7e:61:b8 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
   link/ether 00:0c:f1:7e:61:b9 brd ff:ff:ff:ff:ff:ff

root@lb:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

root@lb:~# iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

root@lb:~# ps afx | grep dhcp
25570 pts/0    S+     0:00                      \_ grep dhcp
root@lb:~# ps afx | grep DHCP
25607 pts/0    S+     0:00  |                   \_ grep DHCP
root@lb:~# ps afx | grep dns
25615 pts/0    S+     0:00  |                   \_ grep dns
root@lb:~# ps afx | grep mas
25619 pts/0    S+     0:00  |                   \_ grep mas

 

А Ревизор вот он:

root@lb:~# ps afx | grep VB
4713 ?        S      0:00  \_ [iprt-VBoxWQueue]
25576 pts/0    S+     0:00                      \_ grep VB
4899 ?        S      1:09 /usr/lib/virtualbox/VBoxXPCOMIPCD
4904 ?        Sl     4:18 /usr/lib/virtualbox/VBoxSVC --auto-shutdown
4917 ?        Sl   698:11  \_ /usr/lib/virtualbox/VBoxHeadless --comment ra-wrt-x86 --startvm a9xxxxx10-eaxx-4cxx-xxx-xxxxxxxxxx --vrde config

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А Ревизор вот он:

VirtualBox в режиме NAT сети? Там у него, действительно, что-то свое для сети делается. Когда вся сеть хост-гость, судя по всему, внутри какого-то процесса существует, а не внутри сетевого стека хоста. Оно немного странное (скажем, сетевой доступ с хоста на гостя через раз получается)

Чтобы ходило более видимо, можно сделать двумя способами:

 

1) Подключить гостя к сети по bridged схеме и NAT-ить на штатном маршрутизаторе.

либо

2) Подключить гостя по hostonly сети, отключив встроенный в VB NAT, и настроить хост как маршрутизатор с/без NAT-а.

 

Ну не знаю, что там внутри этого виртуального Ревизор живет и как он к этому отнесется, но я бы попытался не в VB его запустить, а в родном KVM/qemu

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы тут что обсуждаете ? Как обмануть Ревизор ? И не пытайтесь, будьте честными... Есть закон, хоть и дебильный, но его надо соблюдать. Остальное - себе дороже вылезет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы тут что обсуждаете ? Как обмануть Ревизор ? И не пытайтесь, будьте честными... Есть закон, хоть и дебильный, но его надо соблюдать. Остальное - себе дороже вылезет...

Ну, некоторые чисто из любопытства в него лезли

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы тут что обсуждаете ? Как обмануть Ревизор ? И не пытайтесь, будьте честными... Есть закон, хоть и дебильный, но его надо соблюдать. Остальное - себе дороже вылезет...

Я пытаюсь всего лишь посмотреть что, когда и как он делает. Об обмане речи не идет.

А закон реально дебильный - тут уже отписывался один оператор из Челябинской области: по итогам общения с РСН 100% операторов будут вызваны для составления протоколов. Что - все операторы упыри, не желающие исполнять закон? Закон просто дебильный, и тут описывали примеры того, что Ревизор говорит "не заблокировано", а потом выясняется: либо ip не совпадает с реестром, либо Ревизор заглушку не видит, либо еще что-то. И в суде скорее всего не инспектор РСН будет доказывать виновность, а оператор в суде должен будет объяснять вышеописанное. А у судьи будет печать для штамповки "Нет оснований не доверять показаниям инспектора"

 

VirtualBox в режиме NAT сети? Там у него, действительно, что-то свое для сети делается. Когда вся сеть хост-гость, судя по всему, внутри какого-то процесса существует, а не внутри сетевого стека хоста. Оно немного странное (скажем, сетевой доступ с хоста на гостя через раз получается)

Чтобы ходило более видимо, можно сделать двумя способами:

 

1) Подключить гостя к сети по bridged схеме и NAT-ить на штатном маршрутизаторе.

либо

2) Подключить гостя по hostonly сети, отключив встроенный в VB NAT, и настроить хост как маршрутизатор с/без NAT-а.

 

Ну не знаю, что там внутри этого виртуального Ревизор живет и как он к этому отнесется, но я бы попытался не в VB его запустить, а в родном KVM/qemu

Не потяну описанное, т.к. для меня все это по большей части набор слов. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я пытаюсь всего лишь посмотреть что, когда и как он делает. Об обмане речи не идет.

А закон реально дебильный - тут уже отписывался один оператор из Челябинской области: по итогам общения с РСН 100% операторов будут вызваны для составления протоколов. Что - все операторы упыри, не желающие исполнять закон?

Все нищеброды будут выпилены. Если Вы способны сделать систему фильтрации согласно закона - ну гордитесь и продавайте. Делать ставку на опенсорс никому не стоит. Отчего производители ДПИ активно работают с РКН ? Чтобы мы, покупатели - не парились. Отчего я имею в облаке от дпи еще и судебные решения, которых в реестре нету ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все нищеброды будут выпилены. Если Вы способны сделать систему фильтрации согласно закона - ну гордитесь и продавайте. Делать ставку на опенсорс никому не стоит. Отчего производители ДПИ активно работают с РКН ? Чтобы мы, покупатели - не парились. Отчего я имею в облаке от дпи еще и судебные решения, которых в реестре нету ?

Критериев нищебродства еще не придумали. :)

Так ее и большие операторы не могут сделать. У нас договор на фильтрацию с РТ и что? А ничего - в ЛК на портале РЧЦ куча незаблокированных сайтов. Выпилим Ростелеком? :)

А наше государство просто повадилось решать свои задачи за счет бизнеса - и СОРМ, и DPI, и сейчас еще что-нибудь придумают. И нищебродство тут ни при чем. Законы дебильные. И эти блокировки, и яровые - уже доказано, что это не работает и никому не надо, кроме тех, кто решил на этом пропиариться или подзаработать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Критериев нищебродства еще не придумали. :)

Как не придумали ? Давно уже придумали экономисты ... Сэкономим на сорме, сэккономим на фильтрации, сэкономим на техподдержке. И каждый у них в плюсах, кроме конторы, эти и там эти эконономисты спрячут штрафы в иную деятельность и расходы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как не придумали ? Давно уже придумали экономисты ... Сэкономим на сорме, сэккономим на фильтрации, сэкономим на техподдержке. И каждый у них в плюсах, кроме конторы, эти и там эти эконономисты спрячут штрафы в иную деятельность и расходы.

Это не нищебродство, это какой-то экстрим. :)

Я же говорю о тех, кто честно пытается выполнить законы, но не получается, потому что.... см. выше.

Если 100% бизнеса якобы нарушают закон (вольно или невольно), то этот закон должен быть пересмотрен.

Только не надо троллить типа "100% торговцев наркотиками нарушают закон". Мы говорим о легальной деятельности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да не первый раз в России ЦЕЛЫЕ отрасли ВЫПИЛИВАЮТСЯ ЦЕЛИКОМ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я пытаюсь всего лишь посмотреть что, когда и как он делает. Об обмане речи не идет.

А закон реально дебильный - тут уже отписывался один оператор из Челябинской области: по итогам общения с РСН 100% операторов будут вызваны для составления протоколов. Что - все операторы упыри, не желающие исполнять закон?

Все нищеброды будут выпилены. Если Вы способны сделать систему фильтрации согласно закона - ну гордитесь и продавайте. Делать ставку на опенсорс никому не стоит. Отчего производители ДПИ активно работают с РКН ? Чтобы мы, покупатели - не парились. Отчего я имею в облаке от дпи еще и судебные решения, которых в реестре нету ?

Разве Вы батенька себя нищебродом не считаете?

Пользуетесь какими то левыми списками, составленными людьми,

не несущих ни какой ответственности, за то что они в это облако впихивают.

Вместо того что бы нанять пару десятков профи для ежеменутного качественного анализа судебных решений.

Изменено пользователем Стич

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отчего я имею в облаке от дпи еще и судебные решения, которых в реестре нету ?

Т.е. блокируете то, что не положено - в Реестре же адресов нет?

 

Посему вопрос: В реестре нет -- значит этот Ревизор не контролирует и не проверяет. Действуют ли его проверки в другую сторону, т.е. если проверка прошла, то считается, что оператор свои обязанности выполнил и все остальные проверяющие, если им хочется, должны претензии не оператору, а составителю Реестра применять?

 

А если все не так, как выше написано, то есть ли какие-нибудь действия со стороны операторов, чтобы так стало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. блокируете то, что не положено - в Реестре же адресов нет?

 

Посему вопрос: В реестре нет -- значит этот Ревизор не контролирует и не проверяет. Действуют ли его проверки в другую сторону, т.е. если проверка прошла, то считается, что оператор свои обязанности выполнил и все остальные проверяющие, если им хочется, должны претензии не оператору, а составителю Реестра применять?

 

 

 

А проверяльщиков на всех хватит. За судебными решениями еще и прокуратура следит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А проверяльщиков на всех хватит. За судебными решениями еще и прокуратура следит.

Имеется в виду - можно или нельзя нельзя прокуратуре сказать 'у нас все что надо блокируется - вот результаты проверки'. А если нельзя - то почему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А проверяльщиков на всех хватит. За судебными решениями еще и прокуратура следит.

Имеется в виду - можно или нельзя нельзя прокуратуре сказать 'у нас все что надо блокируется - вот результаты проверки'. А если нельзя - то почему?

 

Ну прокуратура гуманнее ревизора. Сначала письмо пишет, затем ответа ждет. А если ответ не тот, который их устраивает - в суд подаёт. И не всегда их можно уговорить отозвать свои бумаги из суда.

По прошлым временам были такие случаи у нас. Когда какой-нибудь суд из задрищенска что-то блочит, а наши прокуроры это у нас находят. И аргумент что в запретинфо нету для них не работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. блокируете то, что не положено - в Реестре же адресов нет?

На возмущение что реестр ведется плохо и там нет актуальных адресов судья заявил что решения судов должны выполняться непосредственно. Если суд решил url блокировать - его надо блокировать. Как - решать Вам. Если по реестру нельзя - ищите другой способ исполнить. Раз уж взяли лицензию - исполняйте условия. Не можете - не берите лицензию.

 

В принципе судья прав... Мы в итоге отказались от выборочного заворота по списку IP адресов. Теперь заворачивается все...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. блокируете то, что не положено - в Реестре же адресов нет?

На возмущение что реестр ведется плохо и там нет актуальных адресов судья заявил что решения судов должны выполняться непосредственно. Если суд решил url блокировать - его надо блокировать. Как - решать Вам. Если по реестру нельзя - ищите другой способ исполнить. Раз уж взяли лицензию - исполняйте условия. Не можете - не берите лицензию.

 

В принципе судья прав... Мы в итоге отказались от выборочного заворота по списку IP адресов. Теперь заворачивается все...

 

При https в TLS которых не возможно определить имя хоста придётся блокировать 443 к заданному IP,

тогда направление всего трафика на DPI не спасет. Откуда IP брать будете и что говорить судье.

Изменено пользователем Стич

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.