Умник Опубликовано 13 февраля, 2021 · Жалоба 13 минут назад, YuryD сказал: Хорошая практика - иметь свой надежный, а остальные заблочить Заблочить? На каком основании? Это какая-то общепринятая практика или вы сами практикуете, и только поэтому она "хорошая"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 февраля, 2021 · Жалоба 1 минуту назад, Умник сказал: На каком основании? Теперь на основании сабжа Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 13 февраля, 2021 · Жалоба Только что, Andrei сказал: Теперь на основании сабжа Из какого именно документа следует, что нужно блочить любые DNS-рекурсоры кроме заданных? Предусмотрена ли ответственность, если не заблокировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 февраля, 2021 · Жалоба Только что, Умник сказал: Заблочить? На каком основании? Это какая-то общепринятая практика или вы сами практикуете, и только поэтому она "хорошая"? Мы живем в одной стране, основное подключение у меня pptp, выдаю свои днс с сервера. Захочется кому-то - заблочить чего-то, пусть указом будет. А уж заменить в днс-сервере зоны корневых серверов - ну мы тут живем. Остальное - понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 февраля, 2021 · Жалоба 13 минут назад, Умник сказал: Из какого именно документа следует, что нужно блочить любые DNS-рекурсоры кроме заданных? https://forum.nag.ru/index.php?/topic/153026-prikaz-221-svedeniya-v-roskomnadzor-prinyato/&do=findComment&comment=1630227 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 февраля, 2021 · Жалоба 14 минут назад, Умник сказал: Из какого именно документа следует, что нужно блочить любые DNS-рекурсоры кроме заданных? Предусмотрена ли ответственность, если не заблокировать? Кроме подумать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 13 февраля, 2021 (изменено) · Жалоба 14 минут назад, Andrei сказал: https://forum.nag.ru/index.php?/topic/153026-prikaz-221-svedeniya-v-roskomnadzor-prinyato/&do=findComment&comment=1630227 Нет, не следует. Максимум следует только это: 1) Оператор изменяет настройки своего DNS-рекурсора (пересылает все запросы на указанные в документе DNS, использует альтернативную root-зону) 2) Оператор отдает по DHCP своим абонентам указанные в документе DNS-сервера Про блокировку возможности использовать какой-нибудь 8.8.8.8 - ничего. Не исключаю, что такую блокировку будет выполнять ТСПУ. Но ТСПУ для оператора - "черный ящик", он это изменить не может. Изменено 13 февраля, 2021 пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 февраля, 2021 · Жалоба 7 минут назад, Умник сказал: Нет, не следует. Максимум следует только это: Про блокировку возможности использовать какой-нибудь 8.8.8.8 - ничего. Ни исключаю, что такую блокировку будет выполнять ТСПУ. Но ТСПУ для оператора - "черный ящик", он это изменить не может. Ё) Поместите в реестр выгрузки 8,8,8,8, зачем тспу нужен. Механизм уже есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 13 февраля, 2021 (изменено) · Жалоба 1 час назад, YuryD сказал: Ё) Поместите в реестр выгрузки 8,8,8,8, зачем тспу нужен. Механизм уже есть. Можно прописать исключения Изменено 13 февраля, 2021 пользователем ne-vlezay80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 февраля, 2021 · Жалоба 2 часа назад, Умник сказал: 1) Оператор изменяет настройки своего DNS-рекурсора (пересылает все запросы на указанные в документе DNS, использует альтернативную root-зону) Значит я как-то не так понимаю это требование. Про то, что клиент себе может прописать любой DNS я разумеется понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 14 февраля, 2021 · Жалоба Подскажите как быть. Есть LIR с кучкой AS и адресов. Сетевой инфраструктуры своей никакой нет. Все ресурсы сдает в аренду операторам. РКН, видимо в RIPE нашло что AS числятся на этом LIR, и начало слать запросы о предоставлении инфы по 221 приказу. Если в xml по этим AS указать в actor'ах этих операторов, которым сдаются ресурсы, будет ли этого достаточно? Получится и LIR инфу по AS подаст и оператор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AdmSasha Опубликовано 15 февраля, 2021 · Жалоба В 12.02.2021 в 17:27, Va-Bank сказал: Какие вкладки имеются ввиду интересно, откуда качать файл зоны, как думаете? Тот же вопрос. Где это? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 15 февраля, 2021 · Жалоба В 12.02.2021 в 13:39, Va-Bank сказал: Прислали новое письмо от РКН с инструкциями и текстом: Национальная система доменных имен! Инструкция_для_ОС_по_подключению_к_НСДИ_v3.pdf Вдогонку от надзора: "В связи с корректировкой настроек национальной системы доменных имен Центр мониторинга и управления сетью связи общего пользования просит не использовать высланную 12.02.2021 в Ваш адрес инструкцию до особого распоряжения" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TRIada Опубликовано 15 февраля, 2021 · Жалоба В 04.02.2021 в 18:32, EuPhobos сказал: router bgp 3333 bgp router-id 3.3.3.3 address-family ipv4 vrf INTERNET network 3.3.3.3 mask 255.255.x.y neighbor 6.6.6.6 remote-as 6666 neighbor 6.6.6.6 description RKN neighbor 6.6.6.6 ebgp-multihop 255 neighbor 6.6.6.6 update-source Loopback0 neighbor 6.6.6.6 activate neighbor 6.6.6.6 prefix-list DENY-ANY-PREFIXES in В случае, если bgp в роутере уже есть, я меняю на: neighbor 6.6.6.6 remote-as 65100 neighbor 6.6.6.6 local-as 65200 no-prepend replace-as пусть 65100 будет ихний, а 65200 мой. так будет правильно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 15 февраля, 2021 · Жалоба 2 часа назад, Andrei сказал: Вдогонку от надзора: "В связи с корректировкой настроек национальной системы доменных имен Центр мониторинга и управления сетью связи общего пользования просит не использовать высланную 12.02.2021 в Ваш адрес инструкцию до особого распоряжения" Похоже нагрузку рассчитать не додумались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 15 февраля, 2021 · Жалоба Сплошной #Лавровий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 15 февраля, 2021 · Жалоба 6 часов назад, Стич сказал: Похоже нагрузку рассчитать не додумались. Интересно, что если посмотреть traceroute и ping в lg разных операторов и прикинуть задержки, то выходит, что сеть 195.208.4.0/24 анонсируется anycast-ом в разных точках страны. Как минимум есть присутствие в Москве, Питере и Казане. Так что в зависимости от связанности оператора и политик маршрутизации трафика абоненты по стране будут видеть физически разные сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 15 февраля, 2021 · Жалоба Да, сеть есть на RS во всех городах присутствия MSK-IX по стране. Анонсирует ее neighbor ripndns. https://www.msk-ix.ru/dns/ Так что им не впервой. Просто в этот раз рекурсор, а не авторитативный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svcons Опубликовано 16 февраля, 2021 · Жалоба Вот п.8 ст.56.2 ФЗ О связи: В случае, если операторы связи, собственники или иные владельцы технологических сетей связи имеют номер автономной системы, такие операторы связи, собственники или иные владельцы технологических сетей связи также обязаны: 4) в сроки, порядке, составе и формате, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, представлять в электронной форме в указанный федеральный орган исполнительной власти, в том числе по его требованию, информацию:... Приказом 221 собственно и установлены сроки, порядок и состав предоставления информации. П.8 приказа № 221: Посредством личного кабинета на Сайте обеспечивается: 8.1. Направление информации посредством заполнения электронных форм. 8.2. Размещение информации в формате XML, доступном для скачивания в личном кабинете на Сайте и содержащим поля к заполнению, полностью идентичные содержанию электронных форм, предусмотренных подпунктом 8.1 пункта 8 настоящего акта. 8.3. Получение технических условий организации автоматического взаимодействия систем управления сетями связи или средств связи с информационной системой. Из приказа 221 никак не следует, что какой-то способ является приоритетным. Роскомнадзору не дано право устанавливать, например, обязательность предоставления информации именно путем автоматического взаимодействия с МЦУ. А значит оператор сам может выбирать способ предоставления информации. Например, если оператор предпочитает направлять информацию в виде XMLфайлов, то обязать его подключиться к их системе, в общем-то нельзя. Думаю оттого такой странный способ - направить инструкции и не направлять официального письма, содержащего требование. Получается операторы как-бы по своему желанию подключаются к ЦМУ... Мы полагаем, есть все основания выбрать любой, предусмотренный приказом 221, способ отправки информации. О чем можно и уведомить Роскомнадзор. Хотя и такой обязанности нет. Возвращаясь к форме, направления инструкций (без сопроводительного, без ЭП). То как инструкции направлены ни к чему оператора не обязывает. Нет ни требования, ни предложения, ни обоснования. Есть только инструкции. Можно выразить Роскомназору благодарность за предоставленную информацию, а можно и не отвечать, ведь никакого ответа и не просят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 16 февраля, 2021 · Жалоба 2 минуты назад, svcons сказал: никакого ответа и не просят. В e-mail есть приписка: "Направляем инструкции для организации работы. О получении сообщения прошу сообщить _тут_ФИО_сотрудника_надзора (_код_города)_тел_номер__. Обращаем внимание, направленные инструкции размещены и в ЛК владельца АС." Конечно к этой приписке относится все, что вы написали выше Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 16 февраля, 2021 · Жалоба 13 часов назад, Умник сказал: Да, сеть есть на RS во всех городах присутствия MSK-IX по стране. Анонсирует ее neighbor ripndns. https://www.msk-ix.ru/dns/ Так что им не впервой. Просто в этот раз рекурсор, а не авторитативный. В этом то вся и разница обслужить запросы всех вирусов со всех устройств РФ. Создали точку отказа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 февраля, 2021 · Жалоба 5 часов назад, Andrei сказал: О получении сообщения прошу сообщить Ну и сообщите, что получили. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 16 февраля, 2021 · Жалоба Интересно, а кокому нибудь владельцу AS (не оператору) приходило ли требование об установке СОРМ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oller Опубликовано 16 февраля, 2021 · Жалоба Не подскажите по настройки BGP для РКН Как правильно настроить, чтобы только отдавать neighbor, но не принимать Крайне не силен в сетях, пока вырисовывается следубщее neighbor RKN peer-group neighbor RKN remote-as 65211 neighbor RKN prefix-list FIRMA out neighbor IP_RKN ebgp-multihop peer-group RKN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
дядя Саша Опубликовано 17 февраля, 2021 · Жалоба 16 часов назад, oller сказал: Как правильно настроить, чтобы только отдавать neighbor, но не принимать Этот вариант чем плох? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...