Стич Опубликовано 11 августа, 2022 (изменено) · Жалоба :) Изменено 15 августа, 2022 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 августа, 2022 · Жалоба да и без дефолта варианта ровно 2.. или у нас зарубежный стык и да, там возможно надо чтото фильтровать... или нам уже зафильтровали апрстримы.. но судя по предъявам, что те шлют временами на РФ АС с не РФ путём, те ребята что нами планируют управлять мало разбираются в предмете. ну и а почему просто не вылить проблемную АС (в виде списка сетей) в выгрузку на фильтрацию ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 12:20, Стич сказал: Вроде как ученья три дня назад уже прошли. Идиотизм восхитительный был. Непонятно. Должны были пройти, наш местный РКН прямо сильно переживал за операторов (без сарказма), обзванивал и инструктировал. Но никаких писем и поручений мы так и не получили. РКН попросил быть в готовности, если все-таки придет. Если придет и там будет про фильтрацию BGP — вероятно отвечу, что исполнение невозможно по причине того, что мы не принимаем анонсы. В 11.08.2022 в 12:21, st_re сказал: ну и а почему просто не вылить проблемную АС (в виде списка сетей) в выгрузку на фильтрацию ? Если я правильно понял (и это имеет хоть какую-то логическую предпосылку) — то это нужно не для блокировки, а для защиты от подмены легитимных сайтов (того же портала ГУ) на поддельные, которые злоумышленник развернет у себя для перехваченного трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 12:34, alibek сказал: Если придет и там будет про фильтрацию BGP — вероятно отвечу, что исполнение невозможно по причине того, что мы не принимаем анонсы. Не волнуйтесь уголовной ответственности за это нет ПОКА. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 14:21, st_re сказал: ну и а почему просто не вылить проблемную АС (в виде списка сетей) в выгрузку на фильтрацию ? У вас фильтр прямо так и стоит, на всех ногах bgp ? Ну зафильтруете вы анонсы от этой левой as, Только вот она в пирах у вас не числится.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 12:21, st_re сказал: ну и а почему просто не вылить проблемную АС (в виде списка сетей) в выгрузку на фильтрацию ? Потому что трафик на эту сеть на правильную AS должен проходить через ногу с правильной as и не идти на ногу с неправильной. И сделать вы это сможете токо через фильтрацию анонсов BGP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 13:35, Стич сказал: Потому что трафик на эту сеть на правильную AS должен проходить через ногу с правильной as и не идти на ногу с неправильной. И сделать вы это сможете токо через фильтрацию анонсов BGP. угу и если нога одна, то.. ну зафильтровал я там этот маршрут.. если дефолта у меня нет то эти ГУ поедут в net unreach, если дефолт есть, то приедет к апстриму и там уедут по тому, мной зафильтрованному маршруту, ибо если он ко мне приехал как бест то он и апстрима бест... В общем если ног несколько, то смысл может появиться, если маршрут от правильных ГУ откуда то приедет как бест, что, как бы, не факт, если там нет ростелека... и еще раз, зачем это все 90% отечественных операторов прямых стыков за бугор не имеющих ? Засланный казачёк окажется унутре ? и к нему не пошлют расстрельную команду, а будут бороться фильтрами ? ну хотя с них станется, судя по кол-ву вполне себе Российских ип и имен ресурсов в выгрузке для фильтррации операторами. В 11.08.2022 в 13:21, YuryD сказал: У вас фильтр прямо так и стоит, на всех ногах bgp ? Ну зафильтруете вы анонсы от этой левой as, Только вот она в пирах у вас не числится.... В каком месте я предлагал фильтровать чтото по БГП ? если приезжает маршрут от апстрима и он попадает в указанное правило (там есть не хорошая АС) то маршрут предлагается зарубить.. елси маршрута нет, то будет ой, хост анреач... и смысл тогда далать такую блокировку, если результат все равно недоступно, просто внести в ИП в свою базу у РКН, фильтрация по ИП уже у всех и так реализована, получите то же самое.. да, ноги у меня, к примеру, 3, но вот только у них у всех ростелек довольно далеко по АС маршруту, и вероятность что у них у всех проблемный маршрут окажется лучше реального, высока. соотв маршрут зафильтруется на всех трех ногах. нахрена козе боян это всё операторам стыков за пределы РФ не имеющим, коих большинство ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 14:34, alibek сказал: Непонятно. Должны были пройти, наш местный РКН прямо сильно переживал за операторов (без сарказма), обзванивал и инструктировал. Но никаких писем и поручений мы так и не получили. +1 Только что пришло: Цитата Номер поручения: 130 Тема поручения: Проверить наличие блокировки к ресурсу tsargrad.tv Содержание поручения: Прошу проверить наличие блокировки или сбоя маршрутизации на сети ООО "ТРИВОН НЕТВОРКС" к ресурсу tsargrad.tv. О выполнении прошу сообщить Создано: 2022-08-11 14:25:49 Москва, стандартное время Срок исполнения: 2022-08-12 18:00:00 Москва, стандартное время Критичность: Низкая Внутренний номер: 71e055d4-60db-4c14-b8e9-5097450494f2 Это как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 14:02, st_re сказал: нахрена козе боян это всё операторам стыков за пределы РФ не имеющим, коих большинство ? Как-бы давно всем понятно, что фильтры нужны на трансграничных стыках, внутри периметра в них нет смысла. Это даже в РКН понимают. Но тогда получается, что не все операторы равны, если к одним операторам требования по фильтрации применимы, а к другим неприменимы. И вместо того, чтобы актуализировать и доработать нормативную базу — проще оставить как есть, пусть все мучаются. В 11.08.2022 в 14:20, Andrei сказал: Это как? Ждите поручение 131, об отмене поручения 130. Мышкой сотрудник промахнулся, разослал всем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 16:36, alibek сказал: Ждите поручение 131, об отмене поручения 130. Мышкой сотрудник промахнулся, разослал всем. Ты знал! :) ЗЫ. Пришло 131. И долго они так играться собираются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 16:36, alibek сказал: Как-бы давно всем понятно, что фильтры нужны на трансграничных стыках, внутри периметра в них нет смысла. Это даже в РКН понимают. Но тогда получается, что не все операторы равны, если к одним операторам требования по фильтрации применимы, а к другим неприменимы. Это и будет сувенирный интернет, если на границе, а если внутри - это уже чебурнет... В 11.08.2022 в 16:49, Andrei сказал: Ты знал! :) ЗЫ. Пришло 131. И долго они так играться собираются? Пока операторы не станут белыми и пушистыми :) Полезный совет, не надо попадаться в КИИ, не все клиенты одинаково полезны, хотя вредные - вкуснее :) Ну и надо-же как-то управляемость проверить, любой шофер перед поездкой и рулем покрутит, и на тормоз нажмет.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 09:21, st_re сказал: ну и а почему просто не вылить проблемную АС (в виде списка сетей) в выгрузку на фильтрацию ? Потому что проблемной AC может быть хостер с критической инфраструктурой, который может хостить скажем банковские системы, и если вы его тупо зафильтруете то будете сидеть без банковских сервисов. А если вы проблемный анонс не зафильтруете то опять будете сидеть без этих сервисов ну или там злой запад спалит все ваши проводки хотя бы на уровне метаданных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 15:20, Ivan_83 сказал: Потому что проблемной AC может быть хостер с критической инфраструктурой, который может хостить скажем банковские системы, и если вы его тупо зафильтруете то будете сидеть без банковских сервисов. А если вы проблемный анонс не зафильтруете то опять будете сидеть без этих сервисов ну или там злой запад спалит все ваши проводки хотя бы на уровне метаданных. а если я его зафильтрую то тоже буду сидеть без серсвисов, т.к. другого анонса получить неоткуда и будет "сеть недоступна"... так что "а какая разница" для большинства мелких операторов... В 11.08.2022 в 12:20, Стич сказал: С ЛК детишки наигрались и поняли что ЛК корректно не работает поэтому с почтой решили развлекаться. Книжку как работает email не прочли ещё ибо знали бы что почта имеет свойства иногда не доходить до абонента, а некоторые спамеры о ужас умеют подделать обратный email. ТАм их еще много открытий ждёт на этом поприще... только это будут не их, а наши проблемы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 17:25, st_re сказал: а если я его зафильтрую то тоже буду сидеть без серсвисов, т.к. другого анонса получить неоткуда и будет "сеть недоступна"... так что "а какая разница" для большинства мелких операторов... Тут есть загадка :) Анонсы гадика должен кто-то принять, а уж транзиты его распространят везде. Зафильтровать гадика наверное проще всего фильтрануть на его входе. При многоногости правильный анонс маршрута все равно - откуда-то прилетит. Отсюда - хорошая мысль, верить только себе и не браться за транзиты бгп для клиентов одноразовых. В чем суть-то учения - негодяй-пир, вдрюг решил накакать, и завернуть не свои сети на себя(или для ддоса на других). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 15:35, YuryD сказал: Тут есть загадка :) Анонсы гадика должен кто-то принять, а уж транзиты его распространят везде. Зафильтровать гадика наверное проще всего фильтрануть на его входе. При многоногости правильный анонс маршрута все равно - откуда-то прилетит. Отсюда - хорошая мысль, верить только себе и не браться за транзиты бгп для клиентов одноразовых. В чем суть-то учения - негодяй-пир, вдрюг решил накакать, и завернуть не свои сети на себя(или для ддоса на других). негодяй внутри разве не должен был быть положен письмом (али еще каким звонком) к тому конкретному апстриму, кто его принял и тот не должен был положить ногу своего клиента ? или надо всем всем всем начать быстро лезть руками в БГП, поднимать админов с постели, выдёргивать из отпусков итд и начинать править БГП, с ненулевой вероятностью ошибиться ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 17:41, st_re сказал: негодяй внутри разве не должен был быть положен письмом (али еще каким звонком) к тому конкретному апстриму, кто его принял и тот не должен был положить ногу своего клиента ? или надо всем всем всем начать быстро лезть руками в БГП, поднимать админов с постели, выдёргивать из отпусков итд и начинать править БГП, с ненулевой вероятностью ошибиться ? Зачем ногу сразу ломать, есть договор, есть AS клиента, есть его IP. Просто пропустить при подключении бгп только его сеть/сети, а не вонючие транзиты от криворукости клиента. Это для чебурнета, но работает.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 11 августа, 2022 (изменено) · Жалоба В 11.08.2022 в 15:41, st_re сказал: негодяй внутри разве не должен был быть положен письмом (али еще каким звонком) к тому конкретному апстриму, кто его принял и тот не должен был положить ногу своего клиента ? или надо всем всем всем начать быстро лезть руками в БГП, поднимать админов с постели, выдёргивать из отпусков итд и начинать править БГП, с ненулевой вероятностью ошибиться ? Можно и даже ещё проще что бы такого не возникало в принципе уже всё придумано и работало и работает. Берутся роуты с ripe и по ним фильтруется или RPKI не что не мешает свою суверенную систему сделать. Только для этого надо быть компетентными людьми и не осваивать бюджет. А так папа покажи слоников... Изменено 11 августа, 2022 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 17:55, Стич сказал: Можно и даже ещё проще что бы такого не возникало в принципе уже всё придумано и работало и работает. Берутся роуты с ripe и по ним фильтруется Мнять, acl у bgp так прямо и спроектировали, чтобы на каждый чих их переписывать.... Пока получается на уровне "полк - тревога - газы" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 15:55, Стич сказал: Берутся роуты с ripe РАНР. Или зря столько возни с суверенностью интернета? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 18:19, alibek сказал: РАНР. Или зря столько возни с суверенностью интернета? ранр это где ? это кто ? хоть бы ппрф до оператора с лицензией довели... А то есть лицензии, а лицензирар нихера не пишет, и не целует в лобик :( Я реально не знаю, как сисодмину мне не доводят. Местный ркн упразднен, соотв по целому уралу где-то есть он, в е-бурге. Есть какие-то мальчики с удостоверениями от рчц - какое их дело посмотреть не заблочено-ли что-то кем-то. Протоколов не пишут.... В сфере надзора - бардак :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 11 августа, 2022 · Жалоба 24 minutes ago, alibek said: РАНР. Или зря столько возни с суверенностью интернета? Гм. Ну тут уже возникали мысль про чью-то курсовую, то есть диссертацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 16:44, ipaddr.ru сказал: про чью-то курсовую Зачем вы тгавите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 11 августа, 2022 · Жалоба 2 minutes ago, alibek said: Зачем вы тгавите? Затем, что столбов для развешивания (и проветривания) может не хватить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 18:52, ipaddr.ru сказал: Затем, что столбов для развешивания (и проветривания) может не хватить. Канализация существует внизу, говно конечно пахнет, но это проветривуемо быстрее.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 11 августа, 2022 · Жалоба В 11.08.2022 в 16:19, alibek сказал: РАНР. Или зря столько возни с суверенностью интернета? К сожалению РАНР это пародия. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
