Перейти к содержимому
Калькуляторы

Приказ 221 Сведения в Роскомнадзор - Принято

В 15.02.2021 в 09:41, Andrei сказал:

Вдогонку от надзора: "В связи с корректировкой настроек национальной системы доменных имен Центр мониторинга и управления сетью связи общего пользования просит не использовать высланную 12.02.2021 в Ваш адрес инструкцию до особого распоряжения"

Прислали новую инструкцию v4, в которой уже ничего и ниоткуда не просят скачивать. Чисто конфиги в тексте и все. Пока не настраивал.

Инструкция_для_ОС_по_подключению_к_НСДИ_v4.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 minute ago, Va-Bank said:

Прислали новую инструкцию v4, в которой уже ничего и ниоткуда не просят скачивать. Чисто конфиги в тексте и все. Пока не настраивал.

Инструкция_для_ОС_по_подключению_к_НСДИ_v4.pdf

настроил static-stub вроде работает, будет понятно что там дальше когда "Астрологи объявят неделю неработающего интернета"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я настроил по 5 пункту "Настройки для использования резолверов НСДИ в качестве форвардеров". Инет не пропал, клиенты ничего не заметили... пока. А там посмотрим. Плюс надо было еще отписать уведомление о произведенных настройках в территориальное Управление Роскомнадзора

Изменено пользователем Va-Bank

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, bytestore сказал:

Можно сурс где почитать?

сурс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кому-нибудь удалось получить корневую зону с 194.85.254.37?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Умник сказал:

Кому-нибудь удалось получить корневую зону с 194.85.254.37?

А вы свой адрес сообщили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Va-Bank сказал:

Я настроил по 5 пункту "Настройки для использования резолверов НСДИ в качестве форвардеров". Инет не пропал, клиенты ничего не заметили... пока. А там посмотрим. Плюс надо было еще отписать уведомление о произведенных настройках в территориальное Управление Роскомнадзора

 

utk.edu например, попробуйте разрешить, через днс...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, remos сказал:

utk.edu например, попробуйте разрешить, через днс...

Имя, судя по всему из России вообще недоступно. https://ping-admin.ru/free_test/result/1614264964eyjupwscg18g85s9y2948.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, Умник сказал:

Имя, судя по всему из России вообще недоступно. https://ping-admin.ru/free_test/result/1614264964eyjupwscg18g85s9y2948.html

Попробуйте с "гоголь" днс или 1.1.1.1 и таких доменов не мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, remos сказал:

Попробуйте с "гоголь" днс или 1.1.1.1 и таких доменов не мало.

Не похоже, что виноват навязываемый DNS. То что все эти точки его уже используют - тоже крайне маловероятно. У этого института какая-то хитрая политика по отношению к адресам из РФ. Если использовать иностранный публичный резольвер, то имя преобразуется, но получить хотя бы что-то по HTTP от 160.36.239.51 не удается. Устанавливается TCP-соединение, но данные не передаются. Всему остальному миру хотя бы отвечает 403 из-за неправильного хоста. Хотя нет, ответил все-таки одной точке в ЕКТ. Но тенденция все равно видна. https://ping-admin.ru/free_test/result/1614266727e5f688619283v8or95w73.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, remos сказал:

Попробуйте с "гоголь" днс или 1.1.1.1 и таких доменов не мало.

оно у меня напрямую с их НСов не ресолвится раз через два. когда ресолвится, ответ прилетает секунд через 5. Ну не интересен ребятам трафик из РФ.. из Германии отвечает в лет...

 

возможно их задолбало постоянное долбление роботов из России... (как у нас их тонны из всяких Китаев и Бразилий). гг хакиры, как минимум некоторые, предпочитают долбиться с поломатых хостов в одних странах в другие страны, возможно, чтобы снизить вероятность отслеживания цепочки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 минуты назад, Умник сказал:

Не похоже, что виноват навязываемый DNS. То что все эти точки его уже используют - тоже крайне маловероятно. У этого института какая-то хитрая политика по отношению к адресам из РФ. Если использовать иностранный публичный резольвер, то имя преобразуется, но получить хотя бы что-то по HTTP от 160.36.239.51 не удается. Устанавливается TCP-соединение, но данные не передаются. Всему остальному миру хотя бы отвечает 403 из-за неправильного хоста. Хотя нет, ответил все-таки одной точке в ЕКТ. Но тенденция все равно видна. https://ping-admin.ru/free_test/result/1614266727e5f688619283v8or95w73.html

У вас не открывается страничка университета? А какая у вас автономка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

резолвит

Non-authoritative answer:
Name:   utk.edu
Address: 160.36.239.51

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.02.2021 в 17:47, Va-Bank сказал:

Прислали новую инструкцию v4, в которой уже ничего и ниоткуда не просят скачивать. Чисто конфиги в тексте и все. Пока не настраивал.

Инструкция_для_ОС_по_подключению_к_НСДИ_v4.pdf

Возможен один из 4-х вариантов настройки: ­ 

Настройки для копирования корневой зоны с авторитетного сервера корневой зоны НСДИ(см.п.3); ­ 

Настройки резолвера для использования авторитетного сервера корневой зоны НСДИ(см.п.4); ­ 

Настройки резолверов НСДИ в качестве форвардеров (см.п.5); ­ 

Настройки для использования публичных резолверов НСДИ (см.п.6).

т.е. можно выполнить что-то одно. Я правильно понимаю?

а что будет ...по наименьшему в теории влиять на работу ДНС сервиса?

мне кажется 1 вариант, нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самое простое это последний вариант, просто даёте клиентам адреса серверов НСДИ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По пунктам 5-6 есть некоторые сомнения, что их рекурсеры сдюжат нагрузку. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, kaktak сказал:

По пунктам 5-6 есть некоторые сомнения, что их рекурсеры сдюжат нагрузку. 

воот! и у меня. (

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, alibek сказал:

Самое простое это последний вариант, просто даёте клиентам адреса серверов НСДИ.

У тебя получилось дописаться до Noc?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

удивительный подход по п.1 - ты сообщаешь, что настроил и указываешь ip с которого будешь забирать, но при этом нечего еще не забирается и не работает :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 hours ago, guеst said:

Возможен один из 4-х вариантов настройки: ­ 

Настройки для копирования корневой зоны с авторитетного сервера корневой зоны НСДИ(см.п.3); ­ 

Настройки резолвера для использования авторитетного сервера корневой зоны НСДИ(см.п.4); ­ 

Настройки резолверов НСДИ в качестве форвардеров (см.п.5); ­ 

Настройки для использования публичных резолверов НСДИ (см.п.6).

т.е. можно выполнить что-то одно. Я правильно понимаю?

а что будет ...по наименьшему в теории влиять на работу ДНС сервиса?

мне кажется 1 вариант, нет?

да тоже думаю по первому варианту будет меньше всего влиять

а например если в кронтаб прописать что-то типа

*/30 * * * * root /usr/bin/dig axfr @194.85.254.37 > /dev/null

то вообще влиять не будет

 

и кстати у меня axfr работает хотя никаких ip я никуда еще не сообщал
 

Quote

 

iddqd@localhost:~$ dig axfr @194.85.254.37

; <<>> DiG 9.16.1-Ubuntu <<>> axfr @194.85.254.37
; (1 server found)
;; global options: +cmd
.            518400    IN    NS    f.root-servers.net.
.            518400    IN    NS    m.root-servers.net.


 

 

Изменено пользователем bqd

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, bqd сказал:

да тоже думаю по первому варианту будет меньше всего влиять

а например если в кронтаб прописать что-то типа


*/30 * * * * root /usr/bin/dig axfr @194.85.254.37 > /dev/null

то вообще влиять не будет

 

и кстати у меня axfr работает хотя никаких ip я никуда еще не сообщал
 

 

 

ДА оно как-то странно работает, AXFR отдается но NSD синхронизироваться отказывается, как бы не авторитетная зона...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, remos сказал:

ДА оно как-то странно работает, AXFR отдается но NSD синхронизироваться отказывается, как бы не авторитетная зона...

Важно! Для функционирования DNS-сервера NSD в качестве сервера корневой зоны
DNS при компиляции необходимо установить флаг --enable-root-server, в противном
случае NSD не будет загружать файлы корневой зоны.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 14.02.2021 в 13:50, Bambuk сказал:

Подскажите как быть. Есть LIR с кучкой AS и адресов. Сетевой инфраструктуры своей никакой нет. Все ресурсы сдает в аренду операторам.

РКН, видимо в RIPE нашло что AS числятся на этом LIR, и начало слать запросы о предоставлении инфы по 221 приказу.

Если в xml по этим AS указать в actor'ах этих операторов, которым сдаются ресурсы, будет ли этого достаточно?

Получится и LIR инфу по AS подаст и оператор?

Здравствуйте,

Оказался в аналогичной ситуации. Закон это не регламентирует.

Если на вашей AS анонсируются какие - либо IP адреса, которыми вы не пользуетесь, но которые находятся в аренде у другой организации, вы обязаны по данной ASN предоставлять информацию по 221 приказу. Но сделать фактически вы этого не сможете поскольку AS+IP пользуется оператором, а не вашей организацией. В связи с этим вам нужно получить для своих клиентов их собственные ASN как LIR.

Свою собственную ASN вы можете дерегистрировать, если она не предоставляет для вас ценности. Тогда вы не попадаете под действие закона.

 

В моем случае у меня есть старые ASN (короткие и красивые) которые предоставляют для меня ценность и которые на данный момент не анонсируются. Но даже в данном случае Роскомнадзор хочет чтобы я исполнял инструкции по предоставлению информации РАНР, НСДИ, инциденты и др., но которые рассчитаны для активных AS. Оперативные дежурные в Москве ЦМУ ССОП говорят, что выполнить данные инструкции при отсутствие какого либо оборудования и не активных AS невозможно. В связи с этим буду писать запрос в местный РКН, чтобы они разъяснили что мне нужно сделать. 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, 5p134n сказал:

В связи с этим вам нужно получить для своих клиентов их собственные ASN как LIR. 

Свою собственную ASN вы можете дерегистрировать, если она не предоставляет для вас ценности. Тогда вы не попадаете под действие закона.

 

Помоему как ЛИР-у не особо доставит проблем перерегистрировать эти же АС-ки на конкретные организации а ип оставить у себя...  тогда и роутинг объекты не надо править

но решение про оф.запрос местным тоже правильное....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.