Jump to content
Калькуляторы

Технические средства контроля за оператором

Ну всё, теперь письма счастья рассылают:

 

Настоящим уведомляю Вас о составлении протокола об административном правонарушении в отношении юридического лица по части 3 статьи 14.1 Кодекса РФ об административных правонарушениях – «Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией)».

 

По результатам мониторинга ограничения оператором связи ... доступа к информационным ресурсам в
сети «Интернет», установлено, что оператор связи ... не ограничивает доступ к информационным ресурсам,
распространяемым посредством информационно-телекоммуникационной сети
«Интернет», в порядке, установленном Федеральным законом от 27.07.2006
No 149-ФЗ «Об информации, информационных технологиях и о защите
информации», чем нарушило п. 1, п. 5 ст. 46 Федерального закона от 07.07.2003
No 126-Ф «О связи».Вывод: В результате мониторинга выявлены признаки нарушения оператором связи
... требований:
- п. 1, п. 5 ст. 46 Федерального закона от 07.07.2003 No 126-ФЗ «О связи»;
- пп. «а» п. 26 Правил оказания телематических услуг связи, утверждённых
постановлением Правительства Российской Федерации от 10.09.2007 No 575;
- лицензионные требования, установленные лицензией (лицензиями).

Share this post


Link to post
Share on other sites

Ну всё, теперь письма счастья рассылают:

 

Настоящим уведомляю Вас о составлении протокола об административном правонарушении в отношении юридического лица по части 3 статьи 14.1 Кодекса РФ об административных правонарушениях – «Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией)».

 

По результатам мониторинга ограничения оператором связи ... доступа к информационным ресурсам в
сети «Интернет», установлено, что оператор связи ... не ограничивает доступ к информационным ресурсам,
распространяемым посредством информационно-телекоммуникационной сети
«Интернет», в порядке, установленном Федеральным законом от 27.07.2006
No 149-ФЗ «Об информации, информационных технологиях и о защите
информации», чем нарушило п. 1, п. 5 ст. 46 Федерального закона от 07.07.2003
No 126-Ф «О связи».Вывод: В результате мониторинга выявлены признаки нарушения оператором связи
... требований:
- п. 1, п. 5 ст. 46 Федерального закона от 07.07.2003 No 126-ФЗ «О связи»;
- пп. «а» п. 26 Правил оказания телематических услуг связи, утверждённых
постановлением Правительства Российской Федерации от 10.09.2007 No 575;
- лицензионные требования, установленные лицензией (лицензиями).

в голосовалке http://forum.nag.ru/forum/index.php?showtopic=123162&mode=show&st=30 отметьтесь, пожалуйста

Share this post


Link to post
Share on other sites

Коллеги, у кого стоит программная версия Ревизора, как вы мониторите их активность, если он стоит в виртуалке?

В логе виртуалке с Ревизорм вижу

142:44:49.721850 NAT: DHCP offered IP address 10.0.2.15

Как я понимаю, это как раз ip, который Ревизор получил для работы, но мониторинг этого ip по всем интерфейсам сервака никакой активности с него не показывает. Но в ЛК на портале РЧЦ агент видно как активный и можно заказать и загрузить отчет о его работе.

Share this post


Link to post
Share on other sites

И не будет нигде активности этого ip, ибо он серый адрес виртуалки, смотрите по ip хост-машины.

Share this post


Link to post
Share on other sites

И не будет нигде активности этого ip, ибо он серый адрес виртуалки, смотрите по ip хост-машины.

Должна активность быть. На 'внутреннем' интерфейсе хоста, куда виртуалка подключена. Того самого, в который 'DHCP offered IP address 10.0.2.15' сделано.

Другое дело, что он может быть каким-нибудь упрощенным и пакетики на нем могут плохо ловиться.

Share this post


Link to post
Share on other sites

И не будет нигде активности этого ip, ибо он серый адрес виртуалки, смотрите по ip хост-машины.

И как по ip хост-машины предполагается отловить активность Ревизора?

 

И не будет нигде активности этого ip, ибо он серый адрес виртуалки, смотрите по ip хост-машины.

Должна активность быть. На 'внутреннем' интерфейсе хоста, куда виртуалка подключена. Того самого, в который 'DHCP offered IP address 10.0.2.15' сделано.

Другое дело, что он может быть каким-нибудь упрощенным и пакетики на нем могут плохо ловиться.

У сервера всего 1 физ.интерфейс, да и логических всего ничего:

 sudo ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:f1:7e:61:b8
         inet addr:172.21.36.233  Bcast:172.21.36.255  Mask:255.255.255.0
         inet6 addr: fe80::20c:f1ff:fe7e:61b8/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:183686267 errors:0 dropped:0 overruns:0 frame:0
         TX packets:180743643 errors:11 dropped:0 overruns:0 carrier:2836160
         collisions:23272501 txqueuelen:1000
         RX bytes:3788497266 (3.5 GiB)  TX bytes:2160762726 (2.0 GiB)

eth0:1    Link encap:Ethernet  HWaddr 00:0c:f1:7e:61:b8
         inet addr:212.ххх.ххх.ххх  Bcast:212.ххх.ххх.ххх  Mask:255.255.255.248
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:338011616 errors:0 dropped:0 overruns:0 frame:0
         TX packets:338011616 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:558546696 (532.6 MiB)  TX bytes:558546696 (532.6 MiB)

 

И ничего специально "под установку Ревизора" на сервере не делалось.

 sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
lbilling   all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain lbilling (1 references)
target     prot opt source               destination

Share this post


Link to post
Share on other sites

У сервера всего 1 физ.интерфейс, да и логических всего ничего:

 sudo ifconfig

просто ifconfig может не показывать какие-то интефейсы

#ifconfig
...
virbr0    Link encap:Ethernet  HWaddr 52:54:00:71:de:90  
         inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
         UP BROADCAST MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
#ifconfig -a
....
virbr0    Link encap:Ethernet  HWaddr 52:54:00:71:de:90  
         inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
         UP BROADCAST MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

virbr0-nic Link encap:Ethernet  HWaddr 52:54:00:71:de:90  
         BROADCAST MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Но вообще он слегка depricated, поэтому лучше так:

# ip link
...
4: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default qlen 1000
   link/ether 52:54:00:71:de:90 brd ff:ff:ff:ff:ff:ff
5: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr0 state DOWN mode DEFAULT group default qlen 1000
   link/ether 52:54:00:71:de:90 brd ff:ff:ff:ff:ff:ff

 

И ничего специально "под установку Ревизора" на сервере не делалось.

 sudo iptables -L

NAT же не в тех цепочках настраивается. 'iptables -L -t nat' ну и, на всякий случай 'iptables -L -t mangle'.

 

Можно еще в процессах этот dhcp демон найти и посмотреть, на каком интерфейсе он висит.

Я подозреваю, что какой-нибудь dnsmasq найдется.

Share this post


Link to post
Share on other sites

Должна активность быть. На 'внутреннем' интерфейсе хоста, куда виртуалка подключена.

Возможно, никогда не ловил пакеты в этом месте. Но что-то мне подсказывает, что NAT производит сервис виртуализации.

Share this post


Link to post
Share on other sites

NAT же не в тех цепочках настраивается. 'iptables -L -t nat' ну и, на всякий случай 'iptables -L -t mangle'.

 

Можно еще в процессах этот dhcp демон найти и посмотреть, на каком интерфейсе он висит.

Я подозреваю, что какой-нибудь dnsmasq найдется.

Ну как-то так:

root@lb:~# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
   link/ether 00:0c:f1:7e:61:b8 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
   link/ether 00:0c:f1:7e:61:b9 brd ff:ff:ff:ff:ff:ff

root@lb:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

root@lb:~# iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

root@lb:~# ps afx | grep dhcp
25570 pts/0    S+     0:00                      \_ grep dhcp
root@lb:~# ps afx | grep DHCP
25607 pts/0    S+     0:00  |                   \_ grep DHCP
root@lb:~# ps afx | grep dns
25615 pts/0    S+     0:00  |                   \_ grep dns
root@lb:~# ps afx | grep mas
25619 pts/0    S+     0:00  |                   \_ grep mas

 

А Ревизор вот он:

root@lb:~# ps afx | grep VB
4713 ?        S      0:00  \_ [iprt-VBoxWQueue]
25576 pts/0    S+     0:00                      \_ grep VB
4899 ?        S      1:09 /usr/lib/virtualbox/VBoxXPCOMIPCD
4904 ?        Sl     4:18 /usr/lib/virtualbox/VBoxSVC --auto-shutdown
4917 ?        Sl   698:11  \_ /usr/lib/virtualbox/VBoxHeadless --comment ra-wrt-x86 --startvm a9xxxxx10-eaxx-4cxx-xxx-xxxxxxxxxx --vrde config

Share this post


Link to post
Share on other sites

А Ревизор вот он:

VirtualBox в режиме NAT сети? Там у него, действительно, что-то свое для сети делается. Когда вся сеть хост-гость, судя по всему, внутри какого-то процесса существует, а не внутри сетевого стека хоста. Оно немного странное (скажем, сетевой доступ с хоста на гостя через раз получается)

Чтобы ходило более видимо, можно сделать двумя способами:

 

1) Подключить гостя к сети по bridged схеме и NAT-ить на штатном маршрутизаторе.

либо

2) Подключить гостя по hostonly сети, отключив встроенный в VB NAT, и настроить хост как маршрутизатор с/без NAT-а.

 

Ну не знаю, что там внутри этого виртуального Ревизор живет и как он к этому отнесется, но я бы попытался не в VB его запустить, а в родном KVM/qemu

Share this post


Link to post
Share on other sites

Вы тут что обсуждаете ? Как обмануть Ревизор ? И не пытайтесь, будьте честными... Есть закон, хоть и дебильный, но его надо соблюдать. Остальное - себе дороже вылезет...

Share this post


Link to post
Share on other sites

Вы тут что обсуждаете ? Как обмануть Ревизор ? И не пытайтесь, будьте честными... Есть закон, хоть и дебильный, но его надо соблюдать. Остальное - себе дороже вылезет...

Ну, некоторые чисто из любопытства в него лезли

Share this post


Link to post
Share on other sites

Вы тут что обсуждаете ? Как обмануть Ревизор ? И не пытайтесь, будьте честными... Есть закон, хоть и дебильный, но его надо соблюдать. Остальное - себе дороже вылезет...

Я пытаюсь всего лишь посмотреть что, когда и как он делает. Об обмане речи не идет.

А закон реально дебильный - тут уже отписывался один оператор из Челябинской области: по итогам общения с РСН 100% операторов будут вызваны для составления протоколов. Что - все операторы упыри, не желающие исполнять закон? Закон просто дебильный, и тут описывали примеры того, что Ревизор говорит "не заблокировано", а потом выясняется: либо ip не совпадает с реестром, либо Ревизор заглушку не видит, либо еще что-то. И в суде скорее всего не инспектор РСН будет доказывать виновность, а оператор в суде должен будет объяснять вышеописанное. А у судьи будет печать для штамповки "Нет оснований не доверять показаниям инспектора"

 

VirtualBox в режиме NAT сети? Там у него, действительно, что-то свое для сети делается. Когда вся сеть хост-гость, судя по всему, внутри какого-то процесса существует, а не внутри сетевого стека хоста. Оно немного странное (скажем, сетевой доступ с хоста на гостя через раз получается)

Чтобы ходило более видимо, можно сделать двумя способами:

 

1) Подключить гостя к сети по bridged схеме и NAT-ить на штатном маршрутизаторе.

либо

2) Подключить гостя по hostonly сети, отключив встроенный в VB NAT, и настроить хост как маршрутизатор с/без NAT-а.

 

Ну не знаю, что там внутри этого виртуального Ревизор живет и как он к этому отнесется, но я бы попытался не в VB его запустить, а в родном KVM/qemu

Не потяну описанное, т.к. для меня все это по большей части набор слов. :)

Share this post


Link to post
Share on other sites

Я пытаюсь всего лишь посмотреть что, когда и как он делает. Об обмане речи не идет.

А закон реально дебильный - тут уже отписывался один оператор из Челябинской области: по итогам общения с РСН 100% операторов будут вызваны для составления протоколов. Что - все операторы упыри, не желающие исполнять закон?

Все нищеброды будут выпилены. Если Вы способны сделать систему фильтрации согласно закона - ну гордитесь и продавайте. Делать ставку на опенсорс никому не стоит. Отчего производители ДПИ активно работают с РКН ? Чтобы мы, покупатели - не парились. Отчего я имею в облаке от дпи еще и судебные решения, которых в реестре нету ?

Share this post


Link to post
Share on other sites

Все нищеброды будут выпилены. Если Вы способны сделать систему фильтрации согласно закона - ну гордитесь и продавайте. Делать ставку на опенсорс никому не стоит. Отчего производители ДПИ активно работают с РКН ? Чтобы мы, покупатели - не парились. Отчего я имею в облаке от дпи еще и судебные решения, которых в реестре нету ?

Критериев нищебродства еще не придумали. :)

Так ее и большие операторы не могут сделать. У нас договор на фильтрацию с РТ и что? А ничего - в ЛК на портале РЧЦ куча незаблокированных сайтов. Выпилим Ростелеком? :)

А наше государство просто повадилось решать свои задачи за счет бизнеса - и СОРМ, и DPI, и сейчас еще что-нибудь придумают. И нищебродство тут ни при чем. Законы дебильные. И эти блокировки, и яровые - уже доказано, что это не работает и никому не надо, кроме тех, кто решил на этом пропиариться или подзаработать.

Share this post


Link to post
Share on other sites

Критериев нищебродства еще не придумали. :)

Как не придумали ? Давно уже придумали экономисты ... Сэкономим на сорме, сэккономим на фильтрации, сэкономим на техподдержке. И каждый у них в плюсах, кроме конторы, эти и там эти эконономисты спрячут штрафы в иную деятельность и расходы.

Share this post


Link to post
Share on other sites

Как не придумали ? Давно уже придумали экономисты ... Сэкономим на сорме, сэккономим на фильтрации, сэкономим на техподдержке. И каждый у них в плюсах, кроме конторы, эти и там эти эконономисты спрячут штрафы в иную деятельность и расходы.

Это не нищебродство, это какой-то экстрим. :)

Я же говорю о тех, кто честно пытается выполнить законы, но не получается, потому что.... см. выше.

Если 100% бизнеса якобы нарушают закон (вольно или невольно), то этот закон должен быть пересмотрен.

Только не надо троллить типа "100% торговцев наркотиками нарушают закон". Мы говорим о легальной деятельности.

Share this post


Link to post
Share on other sites

Я пытаюсь всего лишь посмотреть что, когда и как он делает. Об обмане речи не идет.

А закон реально дебильный - тут уже отписывался один оператор из Челябинской области: по итогам общения с РСН 100% операторов будут вызваны для составления протоколов. Что - все операторы упыри, не желающие исполнять закон?

Все нищеброды будут выпилены. Если Вы способны сделать систему фильтрации согласно закона - ну гордитесь и продавайте. Делать ставку на опенсорс никому не стоит. Отчего производители ДПИ активно работают с РКН ? Чтобы мы, покупатели - не парились. Отчего я имею в облаке от дпи еще и судебные решения, которых в реестре нету ?

Разве Вы батенька себя нищебродом не считаете?

Пользуетесь какими то левыми списками, составленными людьми,

не несущих ни какой ответственности, за то что они в это облако впихивают.

Вместо того что бы нанять пару десятков профи для ежеменутного качественного анализа судебных решений.

Edited by Стич

Share this post


Link to post
Share on other sites

Отчего я имею в облаке от дпи еще и судебные решения, которых в реестре нету ?

Т.е. блокируете то, что не положено - в Реестре же адресов нет?

 

Посему вопрос: В реестре нет -- значит этот Ревизор не контролирует и не проверяет. Действуют ли его проверки в другую сторону, т.е. если проверка прошла, то считается, что оператор свои обязанности выполнил и все остальные проверяющие, если им хочется, должны претензии не оператору, а составителю Реестра применять?

 

А если все не так, как выше написано, то есть ли какие-нибудь действия со стороны операторов, чтобы так стало?

Share this post


Link to post
Share on other sites

Т.е. блокируете то, что не положено - в Реестре же адресов нет?

 

Посему вопрос: В реестре нет -- значит этот Ревизор не контролирует и не проверяет. Действуют ли его проверки в другую сторону, т.е. если проверка прошла, то считается, что оператор свои обязанности выполнил и все остальные проверяющие, если им хочется, должны претензии не оператору, а составителю Реестра применять?

 

 

 

А проверяльщиков на всех хватит. За судебными решениями еще и прокуратура следит.

Share this post


Link to post
Share on other sites

А проверяльщиков на всех хватит. За судебными решениями еще и прокуратура следит.

Имеется в виду - можно или нельзя нельзя прокуратуре сказать 'у нас все что надо блокируется - вот результаты проверки'. А если нельзя - то почему?

Share this post


Link to post
Share on other sites

А проверяльщиков на всех хватит. За судебными решениями еще и прокуратура следит.

Имеется в виду - можно или нельзя нельзя прокуратуре сказать 'у нас все что надо блокируется - вот результаты проверки'. А если нельзя - то почему?

 

Ну прокуратура гуманнее ревизора. Сначала письмо пишет, затем ответа ждет. А если ответ не тот, который их устраивает - в суд подаёт. И не всегда их можно уговорить отозвать свои бумаги из суда.

По прошлым временам были такие случаи у нас. Когда какой-нибудь суд из задрищенска что-то блочит, а наши прокуроры это у нас находят. И аргумент что в запретинфо нету для них не работает.

Share this post


Link to post
Share on other sites

Т.е. блокируете то, что не положено - в Реестре же адресов нет?

На возмущение что реестр ведется плохо и там нет актуальных адресов судья заявил что решения судов должны выполняться непосредственно. Если суд решил url блокировать - его надо блокировать. Как - решать Вам. Если по реестру нельзя - ищите другой способ исполнить. Раз уж взяли лицензию - исполняйте условия. Не можете - не берите лицензию.

 

В принципе судья прав... Мы в итоге отказались от выборочного заворота по списку IP адресов. Теперь заворачивается все...

Share this post


Link to post
Share on other sites

Т.е. блокируете то, что не положено - в Реестре же адресов нет?

На возмущение что реестр ведется плохо и там нет актуальных адресов судья заявил что решения судов должны выполняться непосредственно. Если суд решил url блокировать - его надо блокировать. Как - решать Вам. Если по реестру нельзя - ищите другой способ исполнить. Раз уж взяли лицензию - исполняйте условия. Не можете - не берите лицензию.

 

В принципе судья прав... Мы в итоге отказались от выборочного заворота по списку IP адресов. Теперь заворачивается все...

 

При https в TLS которых не возможно определить имя хоста придётся блокировать 443 к заданному IP,

тогда направление всего трафика на DPI не спасет. Откуда IP брать будете и что говорить судье.

Edited by Стич

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this