Перейти к содержимому
Калькуляторы

РКН, BGP и все все все... мысли о том, о чем страшно подумать...

Я вот так чутка задумался - получить IP адреса "Стыков" и "Внешних" BGP Ростелекома, Транстелекомма да и любого провайдера не сложно - а вот теперь вопрос что будет при попадании данных IP в список блокировок....

Я конечно понимаю что при правильной настройке "зоны" контроля DPI и блокировки с IP маршрутизирующего оборудования пересекатся не должны никак, но гдеж оно настроенно то правильно....

Изменено пользователем Nordicx86

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Обычно это малоизвестные /30 (разве что по трассе гадать), поэтому шанс попадания крайне мал

2. Если апстрим вас не фильтрует - ничего не будет, естественно

3. Ну а если да и с резолвом, по IP - само собой разумеется, задница. Но шанс этого - см. п.1

4. Если у вас BGP - скорее всего у вас более 1 стыка, и пропадание одного не фатально

5. Стыки обычно мониторятся, никаких проблем с обнаружением быть не должно

 

Если же вы про сами апстримы и их стыки - то обычно вся фильтрация до стыков. Фильтровать свой стык - это надо совсем с дуба рухнуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если же вы про сами апстримы и их стыки - то обычно вся фильтрация до стыков. Фильтровать свой стык - это надо совсем с дуба рухнуть.

Бывают и такие...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бывают и такие...

Верю :) Но это совсем уж через край. Вообще же в схеме фильтрации предполагается фильтрация трафика только конечных абонентов и, по отдельным соглашениям, субоператоров. А в случае фильтрации самих стыков очень трудно разделить тех, кого надо фильтровать, и кто фильтруется сам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну будет дыра в трейсе, и то не всегда. Транзитные роутеры конечному юзеру сервисов не предоставляют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю, что скорее не фильтруют, а анонсят внутри сети /32 на все что должно пойти через ДПИ.. если эти анонсы вдруг долетают до бордера, то best маршрут на нейбора оказывается не там, где ему должно быть, а на ДПИ.. Единственное врядли такой маршрут дойдет до бордера "наверх", скорее до того, где клиенты терминируются. Иначе на петлю уйдет весь трафик. Но наверное возможны варианты.

 

Аналогично похожие проблемы возникают когда не подумали, и в тот ДПИ завернуло ip своего клиента, трафик начинает ходить кругами. даже если сам ДПИ трафик и пропускает, но он влетает в ДПИ снова. Второе я уже пару раз на своих ресурсах видел. у разных аплинков

 

Ну будет дыра в трейсе, и то не всегда. Транзитные роутеры конечному юзеру сервисов не предоставляют.

зато предоставляют таблицу маршрутизации посредством BGP своему соседу... если у того маршрут на BGP нейбора станет не /30 в линк, а /32 в сторону dpi, то скорее всего будет ой, и bgp сложится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно вопрос из зала без профессиональной зашорености? ;)

А сделать нельзя, чтобы фильтрация была для клиентских IP и адрес, выданный ревизору? Разве это противоречит закону?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТТК разослал письмо о прекращении фильтрации магистрального трафика. Может, как раз из-за возможности самоблокировки?

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

+

Не знаю, как там сейчас дела обстоят, но когда я работал - была просто подмена DNS-ответов + блок по IP из резолва.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не знаю, как там сейчас дела обстоят, но когда я работал - была просто подмена DNS-ответов + блок по IP из резолва.

Было дело, но уже так блокировки не обходятся, где-то полгода наверное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

просто их трафик с фильтрами лучше вообще отключить, чем пускать в продакшн. Из-за резолва там постоянно что-то не работает.

Да, за такое клиенты спасибо не скажут.

 

C:\>tracert youtube.com

 

Трассировка маршрута к fz139.TTK.ru [188.43.20.67]

с максимальным числом прыжков 30:

 

5 1 ms 1 ms 1 ms omk02.omk22.transtelecom.net [217.150.40.26]

6 30 ms 30 ms 30 ms 10.99.99.125

7 30 ms 30 ms 30 ms dib-filtr-gw.transtelecom.net [188.43.20.67]

 

Трассировка завершена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно ли я понимаю что РКН в связи с недавним инцидентом удалил из реестра ряд доменов?

 

А РКН имел право это делать? Ведь наверняка что-то вносилось по решениям судов вступивших в силу и просто так удалять из реестра - это правонарушение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это, кстати, вообще вопрос... вот домен, скажем

romashka.com

и начали с него торговать травой, распространять алахакбарки, играть в казиношки или ее что. принял суд решение. в решении же нет ничего кроме имени сайта.

 

Ну те домен бросили, и некий Роман года через 3 решил что ему хочется такое имя домена. Он попал?

 

не, давайте еще выносить ршения что 3-я ул Стролителей дом-квартира является притоном и запрещена к посещению итд.. все ? даже если дом снесли и построили новый, то квартиру посещать нельзя ? Кажется тут чтото не так...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно ли я понимаю что РКН в связи с недавним инцидентом удалил из реестра ряд доменов?

 

А РКН имел право это делать? Ведь наверняка что-то вносилось по решениям судов вступивших в силу и просто так удалять из реестра - это правонарушение?

Не мог, решение о разделегировании только через суд, и самим регистратором. Никру жмется о юристике, внешним прогибам не подчиняется, но внутренние правила для разделегации есть. Остальным регистраторам - бояться надо только интерпола.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.