[Andrei]

В 10.02.2021 в 10:28, Andrei сказал:

они просят указать параметры маршрутизатора, который они будут тыкать палочкой по SNMP. Аналогично просят настроить netflow с марщрутизатора к ним. О каком маршрутизаторе речь? Бордером стоит дебиан с BGP, абоненты терминируются на циске, которую с инета вообще не видно.

Задал этот вопрос по адресу электронки, указанному в присланном надзором файлике, пока тишина...

[Стич]

Делаю на бордере забор snmp для ркн. Бордер на Linux.

snmpwalk .1.3.6.1.2.1.4.24  (это  IP-FORWARD-MIB),  вешает net-snmp.

Похоже из-за большого количества маршрутов (наличия full view).

Ни кто не сталкивался?

 

[Kolunchik]

Добро пожаловать в прекрасный мир snmp на линуксе

[Стич]

56 минут назад, Kolunchik сказал:

Добро пожаловать в прекрасный мир snmp на линуксе

что то мне подсказывает что в других мирах положение с этим будет не лучше.

На вскидку

https://www.cisco.com/c/en/us/support/docs/ip/simple-network-management-protocol-snmp/7270-ipsnmphighcpu.html

Изменено 12 февраля, 2021 пользователем Стич

[Kolunchik]

Согласен :)

И я конечно извиняюсь, но зачем тогда нашей Великой Родине BGP-сессия с ихней нокой?

[Andrei]

17 часов назад, Стич сказал:

Бордер на Linux.

snmpwalk .1.3.6.1.2.1.4.24  (это  IP-FORWARD-MIB),  вешает net-snmp.

Похоже из-за большого количества маршрутов (наличия full view).

Бордер встает колом? Или просто один процесс приходится пристрелить?

[Стич]

1 час назад, Andrei сказал:

Бордер встает колом? Или просто один процесс приходится пристрелить? 

snmpd перестаёт реагировать на snmp запросы похоже навсегда.

Лечится kill -s KILL snmpd. И стартом заново.

[Va-Bank]

Прислали новое письмо от РКН с инструкциями и текстом:

Цитата

Начинайте работу по подключению к НДСИ

Национальная система доменных имен!

Инструкция_для_ОС_по_подключению_к_НСДИ_v3.pdf

Изменено 12 февраля, 2021 пользователем Va-Bank

[Urs_ak]

23 минуты назад, Va-Bank сказал:

Национальная система доменных имен!

Хм. В инструкции две момента:

 

1. Надо поставить себе на DNS-рекурсоре/корпоративном DNS, форвард на 195.208.4.1; 195.208.5.1 и отчитаться об этом в РКН

 

2. Надо на своём операторском DNS/авторитетном DNS подключить как корневой (".") ихний 194.85.254.37 (подключение по ключу). Здесь почему-то отчитаться не надо (не очевидно что надо), хотя вроде это важнее для них должно быть.

 

[Va-Bank]

Непонятен вот этот момент

Цитата

Для настройки локального авторитетного сервера для поддержки на нем 
корневой зоны, полученной с сервера дистрибуции, владельцу автономной системы 
необходимо: 
 Скопировать файл зоны (вкладка «Файлы зоны» → выбор «--серийный номер зоны--
» → кнопка «Показать» → кнопка «Скачать файл»); 

Какие вкладки имеются ввиду интересно, откуда качать файл зоны, как думаете?

[Kolunchik]

из личного кабинета оператора

[Умник]

32 минуты назад, Urs_ak сказал:

Хм. В инструкции две момента:

 

1. Надо поставить себе на DNS-рекурсоре/корпоративном DNS, форвард на 195.208.4.1; 195.208.5.1 и отчитаться об этом в РКН

 

2. Надо на своём операторском DNS/авторитетном DNS подключить как корневой (".") ихний 194.85.254.37 (подключение по ключу). Здесь почему-то отчитаться не надо (не очевидно что надо), хотя вроде это важнее для них должно быть.

 

Не совсем понятно, зачем настраивать тупой форвард запросов и всех абонентов пересаживать на их DNS-сервера, если во втором пункте все равно написано, что DNS-сервера оператора должны забирать альтернативную root-зону. Интересно, что в этой зоне, кстати.

 

Хотят знать, кто куда ходит, разве что. Только при чем здесь суверенный интернет?

[st_re]

Скорее, чтобы в час Х начать отдавать только кошерные ответы... зачем при форварде еще и рут зону забирать, непонятно.. что будет с днссек в случае наступления час Х тоже не понятно..

[Urs_ak]

1 час назад, Va-Bank сказал:

Какие вкладки имеются ввиду интересно, откуда качать файл зоны, как думаете?

Я вот не вижу где такое на портале РКН (Единый портал пользователей ЦМУ ССОП)

[Rivia]

Оператора связи/владельца АС обязует что-то вообще иметь собственные DNS сервера?

[noRKN]

Странно,  что для выполнения требований РКН  я должен дать согласие на обработку моих персональных данных...

А если я не дам согласие,  то я не имею возможности выполнить законные (ли ???) требования РКН?

https://service.rkn.gov.ru/monitoring/ranr

Интересно,  что скажут юристы об этом?

 

 

 

[IgorKy]

НДСИ это уже 229 приказ....

тему надо переименовать в 90-фз

Изменено 12 февраля, 2021 пользователем igorky

[Va-Bank]

47 минут назад, noRKN сказал:

Странно,  что для выполнения требований РКН  я должен дать согласие на обработку моих персональных данных...

У нас ЭЦП сделано на директора (он же главный учредитель). Под его ЭЦП я захожу во все личные кабинеты (не только РКН) и если требуется, то и подтверждение персональных данных от его имени делаю.

Изменено 12 февраля, 2021 пользователем Va-Bank

[Галушко Дмитрий]

Да, однако, с 1 апреля Штрафы начинаются по Сувенирке... При чём для ИП те же, чт для Юриков..

И за неподачу от 10 кР на дожностных...

и до Ляма за повторку, например за неподключение к IX не из реестра= до Ляма

За повторку за неподключение к НСДИ-до 100 кр.

 

Там примерно 10 разных видов нарушений..

 

[Rivia]

Очень удобные единые точки отказа создают. Гипотетический противник, от которого они так усиленно защищаются этими мерами, думаю будет только рад.

Еще очень интересно как все указанные в приказе организации, которые никакие днс-сервера не ставили и которым оные нафиг не уперлись, будут выполнять требования. И кому именно направляют эти требования тоже непонятно, первое требование по поводу РАНР пришло на почту, которая светится по-моему только в БД RIPE. Собирали данные оттуда на базе country?

Изменено 12 февраля, 2021 пользователем Rivia

[Andrei]

6 часов назад, Умник сказал:

форвард на 195.208.4.1; 195.208.5.1

org-name:       Joint-stock company "Internet Exchange "MSK-IX

 

17 минут назад, Rivia сказал:

очень интересно как все указанные в приказе организации, которые никакие днс-сервера не ставили и которым оные нафиг не уперлись, будут выполнять требования.

видимо на бордере что-то типа

iptables -t nat -I PREROUTING -s 0/0 -p udp --dport 53 -j DNAT --to-destination XXX.XXX.XXX.XXX

[Mechanic]

8 часов назад, Va-Bank сказал:

Непонятен вот этот момент

Какие вкладки имеются ввиду интересно, откуда качать файл зоны, как думаете?

да, интересует именно этот момент, а также - если абон поставит у себя свои днс, что делать оператору ?

Как вообще процесс получения их зон и запросов контролируется ?

[ne-vlezay80]

У меня вопрос, как устанавливать СОРМ, если канал связи используется в личных целях? И смысл то в нём, если я могу настроить на коммутаторе исключения и литу туда тот трафик, которые захочу. Да и стоит он дороговато.

[ayf]

3 часа назад, Галушко Дмитрий сказал:

Да, однако, с 1 апреля Штрафы начинаются по Сувенирке... При чём для ИП те же, чт для Юриков..

И за неподачу от 10 кР на дожностных...

и до Ляма за повторку, например за неподключение к IX не из реестра= до Ляма

За повторку за неподключение к НСДИ-до 100 кр.

 

Там примерно 10 разных видов нарушений..

 

А письмо о подключении они всем должны прислать? Или надо постоянно самому искать, что они еще придумают?

[YuryD]

21 час назад, Mechanic сказал:

да, интересует именно этот момент, а также - если абон поставит у себя свои днс, что делать оператору ?

Как вообще процесс получения их зон и запросов контролируется ?

 Хорошая практика - иметь свой надежный, а остальные заблочить, оставив  кошерные от бутындекса. Но если тётя, захочет посмотреть на нечто порнографическое в виде коня, то она поднимет впн, где на туннеле ей прилетят любые порноднс. Туннель есссесно будет с шифрованием. И клиент и оператор об этом понятно не уведомлены будут никак.