Jump to content
Калькуляторы

Приказ 221 Сведения в Роскомнадзор - Принято

В 15.02.2021 в 09:41, Andrei сказал:

Вдогонку от надзора: "В связи с корректировкой настроек национальной системы доменных имен Центр мониторинга и управления сетью связи общего пользования просит не использовать высланную 12.02.2021 в Ваш адрес инструкцию до особого распоряжения"

Прислали новую инструкцию v4, в которой уже ничего и ниоткуда не просят скачивать. Чисто конфиги в тексте и все. Пока не настраивал.

Инструкция_для_ОС_по_подключению_к_НСДИ_v4.pdf

Share this post


Link to post
Share on other sites
1 minute ago, Va-Bank said:

Прислали новую инструкцию v4, в которой уже ничего и ниоткуда не просят скачивать. Чисто конфиги в тексте и все. Пока не настраивал.

Инструкция_для_ОС_по_подключению_к_НСДИ_v4.pdf

настроил static-stub вроде работает, будет понятно что там дальше когда "Астрологи объявят неделю неработающего интернета"

Share this post


Link to post
Share on other sites

Я настроил по 5 пункту "Настройки для использования резолверов НСДИ в качестве форвардеров". Инет не пропал, клиенты ничего не заметили... пока. А там посмотрим. Плюс надо было еще отписать уведомление о произведенных настройках в территориальное Управление Роскомнадзора

Edited by Va-Bank

Share this post


Link to post
Share on other sites

Кому-нибудь удалось получить корневую зону с 194.85.254.37?

Share this post


Link to post
Share on other sites
1 минуту назад, Умник сказал:

Кому-нибудь удалось получить корневую зону с 194.85.254.37?

А вы свой адрес сообщили?

Share this post


Link to post
Share on other sites
3 часа назад, Va-Bank сказал:

Я настроил по 5 пункту "Настройки для использования резолверов НСДИ в качестве форвардеров". Инет не пропал, клиенты ничего не заметили... пока. А там посмотрим. Плюс надо было еще отписать уведомление о произведенных настройках в территориальное Управление Роскомнадзора

 

utk.edu например, попробуйте разрешить, через днс...

Share this post


Link to post
Share on other sites
1 час назад, remos сказал:

utk.edu например, попробуйте разрешить, через днс...

Имя, судя по всему из России вообще недоступно. https://ping-admin.ru/free_test/result/1614264964eyjupwscg18g85s9y2948.html

Share this post


Link to post
Share on other sites
2 минуты назад, Умник сказал:

Имя, судя по всему из России вообще недоступно. https://ping-admin.ru/free_test/result/1614264964eyjupwscg18g85s9y2948.html

Попробуйте с "гоголь" днс или 1.1.1.1 и таких доменов не мало.

Share this post


Link to post
Share on other sites
4 минуты назад, remos сказал:

Попробуйте с "гоголь" днс или 1.1.1.1 и таких доменов не мало.

Не похоже, что виноват навязываемый DNS. То что все эти точки его уже используют - тоже крайне маловероятно. У этого института какая-то хитрая политика по отношению к адресам из РФ. Если использовать иностранный публичный резольвер, то имя преобразуется, но получить хотя бы что-то по HTTP от 160.36.239.51 не удается. Устанавливается TCP-соединение, но данные не передаются. Всему остальному миру хотя бы отвечает 403 из-за неправильного хоста. Хотя нет, ответил все-таки одной точке в ЕКТ. Но тенденция все равно видна. https://ping-admin.ru/free_test/result/1614266727e5f688619283v8or95w73.html

Share this post


Link to post
Share on other sites
18 минут назад, remos сказал:

Попробуйте с "гоголь" днс или 1.1.1.1 и таких доменов не мало.

оно у меня напрямую с их НСов не ресолвится раз через два. когда ресолвится, ответ прилетает секунд через 5. Ну не интересен ребятам трафик из РФ.. из Германии отвечает в лет...

 

возможно их задолбало постоянное долбление роботов из России... (как у нас их тонны из всяких Китаев и Бразилий). гг хакиры, как минимум некоторые, предпочитают долбиться с поломатых хостов в одних странах в другие страны, возможно, чтобы снизить вероятность отслеживания цепочки...

Share this post


Link to post
Share on other sites
32 минуты назад, Умник сказал:

Не похоже, что виноват навязываемый DNS. То что все эти точки его уже используют - тоже крайне маловероятно. У этого института какая-то хитрая политика по отношению к адресам из РФ. Если использовать иностранный публичный резольвер, то имя преобразуется, но получить хотя бы что-то по HTTP от 160.36.239.51 не удается. Устанавливается TCP-соединение, но данные не передаются. Всему остальному миру хотя бы отвечает 403 из-за неправильного хоста. Хотя нет, ответил все-таки одной точке в ЕКТ. Но тенденция все равно видна. https://ping-admin.ru/free_test/result/1614266727e5f688619283v8or95w73.html

У вас не открывается страничка университета? А какая у вас автономка?

Share this post


Link to post
Share on other sites

резолвит

Non-authoritative answer:
Name:   utk.edu
Address: 160.36.239.51

 

Share this post


Link to post
Share on other sites
В 25.02.2021 в 17:47, Va-Bank сказал:

Прислали новую инструкцию v4, в которой уже ничего и ниоткуда не просят скачивать. Чисто конфиги в тексте и все. Пока не настраивал.

Инструкция_для_ОС_по_подключению_к_НСДИ_v4.pdf

Возможен один из 4-х вариантов настройки: ­ 

Настройки для копирования корневой зоны с авторитетного сервера корневой зоны НСДИ(см.п.3); ­ 

Настройки резолвера для использования авторитетного сервера корневой зоны НСДИ(см.п.4); ­ 

Настройки резолверов НСДИ в качестве форвардеров (см.п.5); ­ 

Настройки для использования публичных резолверов НСДИ (см.п.6).

т.е. можно выполнить что-то одно. Я правильно понимаю?

а что будет ...по наименьшему в теории влиять на работу ДНС сервиса?

мне кажется 1 вариант, нет?

Share this post


Link to post
Share on other sites

Самое простое это последний вариант, просто даёте клиентам адреса серверов НСДИ.

Share this post


Link to post
Share on other sites

По пунктам 5-6 есть некоторые сомнения, что их рекурсеры сдюжат нагрузку. 

Share this post


Link to post
Share on other sites
2 часа назад, kaktak сказал:

По пунктам 5-6 есть некоторые сомнения, что их рекурсеры сдюжат нагрузку. 

воот! и у меня. (

Share this post


Link to post
Share on other sites
7 часов назад, alibek сказал:

Самое простое это последний вариант, просто даёте клиентам адреса серверов НСДИ.

У тебя получилось дописаться до Noc?

Share this post


Link to post
Share on other sites

удивительный подход по п.1 - ты сообщаешь, что настроил и указываешь ip с которого будешь забирать, но при этом нечего еще не забирается и не работает :)

Share this post


Link to post
Share on other sites
10 hours ago, guеst said:

Возможен один из 4-х вариантов настройки: ­ 

Настройки для копирования корневой зоны с авторитетного сервера корневой зоны НСДИ(см.п.3); ­ 

Настройки резолвера для использования авторитетного сервера корневой зоны НСДИ(см.п.4); ­ 

Настройки резолверов НСДИ в качестве форвардеров (см.п.5); ­ 

Настройки для использования публичных резолверов НСДИ (см.п.6).

т.е. можно выполнить что-то одно. Я правильно понимаю?

а что будет ...по наименьшему в теории влиять на работу ДНС сервиса?

мне кажется 1 вариант, нет?

да тоже думаю по первому варианту будет меньше всего влиять

а например если в кронтаб прописать что-то типа

*/30 * * * * root /usr/bin/dig axfr @194.85.254.37 > /dev/null

то вообще влиять не будет

 

и кстати у меня axfr работает хотя никаких ip я никуда еще не сообщал
 

Quote

 

iddqd@localhost:~$ dig axfr @194.85.254.37

; <<>> DiG 9.16.1-Ubuntu <<>> axfr @194.85.254.37
; (1 server found)
;; global options: +cmd
.            518400    IN    NS    f.root-servers.net.
.            518400    IN    NS    m.root-servers.net.


 

 

Edited by bqd

Share this post


Link to post
Share on other sites
4 часа назад, bqd сказал:

да тоже думаю по первому варианту будет меньше всего влиять

а например если в кронтаб прописать что-то типа


*/30 * * * * root /usr/bin/dig axfr @194.85.254.37 > /dev/null

то вообще влиять не будет

 

и кстати у меня axfr работает хотя никаких ip я никуда еще не сообщал
 

 

 

ДА оно как-то странно работает, AXFR отдается но NSD синхронизироваться отказывается, как бы не авторитетная зона...

Share this post


Link to post
Share on other sites
9 часов назад, remos сказал:

ДА оно как-то странно работает, AXFR отдается но NSD синхронизироваться отказывается, как бы не авторитетная зона...

Важно! Для функционирования DNS-сервера NSD в качестве сервера корневой зоны
DNS при компиляции необходимо установить флаг --enable-root-server, в противном
случае NSD не будет загружать файлы корневой зоны.

 

Share this post


Link to post
Share on other sites
В 14.02.2021 в 13:50, Bambuk сказал:

Подскажите как быть. Есть LIR с кучкой AS и адресов. Сетевой инфраструктуры своей никакой нет. Все ресурсы сдает в аренду операторам.

РКН, видимо в RIPE нашло что AS числятся на этом LIR, и начало слать запросы о предоставлении инфы по 221 приказу.

Если в xml по этим AS указать в actor'ах этих операторов, которым сдаются ресурсы, будет ли этого достаточно?

Получится и LIR инфу по AS подаст и оператор?

Здравствуйте,

Оказался в аналогичной ситуации. Закон это не регламентирует.

Если на вашей AS анонсируются какие - либо IP адреса, которыми вы не пользуетесь, но которые находятся в аренде у другой организации, вы обязаны по данной ASN предоставлять информацию по 221 приказу. Но сделать фактически вы этого не сможете поскольку AS+IP пользуется оператором, а не вашей организацией. В связи с этим вам нужно получить для своих клиентов их собственные ASN как LIR.

Свою собственную ASN вы можете дерегистрировать, если она не предоставляет для вас ценности. Тогда вы не попадаете под действие закона.

 

В моем случае у меня есть старые ASN (короткие и красивые) которые предоставляют для меня ценность и которые на данный момент не анонсируются. Но даже в данном случае Роскомнадзор хочет чтобы я исполнял инструкции по предоставлению информации РАНР, НСДИ, инциденты и др., но которые рассчитаны для активных AS. Оперативные дежурные в Москве ЦМУ ССОП говорят, что выполнить данные инструкции при отсутствие какого либо оборудования и не активных AS невозможно. В связи с этим буду писать запрос в местный РКН, чтобы они разъяснили что мне нужно сделать. 

 

 

Share this post


Link to post
Share on other sites
1 час назад, 5p134n сказал:

В связи с этим вам нужно получить для своих клиентов их собственные ASN как LIR. 

Свою собственную ASN вы можете дерегистрировать, если она не предоставляет для вас ценности. Тогда вы не попадаете под действие закона.

 

Помоему как ЛИР-у не особо доставит проблем перерегистрировать эти же АС-ки на конкретные организации а ип оставить у себя...  тогда и роутинг объекты не надо править

но решение про оф.запрос местным тоже правильное....

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now