[AdmSasha]

Может кто проверить ну или уже точно знает, на retrieveServiceConfiguration SCE2020 в какой нибуть bypass уходит или нет ?

[MATPOC]

Это как так? Берёте ЛЮБОЙ IP из реестра и в null?

А если это IP вконтактика, например?

Не любой, а тот, что указан как тип блокировки blockType="ip". А если это IP вконтактика - то это проблемы РКН. Вы читали о том, что Ревизор теперь стучится и по IP адресам, указанным в Реестре?

[AdmSasha]

MATPOC, а на чем режете URL ?

[MATPOC]

MATPOC, а на чем режете URL ?

На предыдущей странице я писал, что мы используем SCE-8000. Для блокировок типа domain и domain-mask делаем заглушки зон на локальных DNS серверах.

[AdmSasha]

MATPOC, Прошу прощения. Не слежу кто отвечает. А почему блокировку IP осуществляете не через SCE ?

[MATPOC]

MATPOC, Прошу прощения. Не слежу кто отвечает. А почему блокировку IP осуществляете не через SCE ?

На этапе внедрения не смогли найти простой способ добавления IP к зонам. По примерам в документации написали java приложение, оно загрузило конфиг, попыталось распарсить его и сказало. что что-то ей там не нравилось. Хотя SCE нормально работало с этим конфигом. Поэтому плюнули на SCE и пошли на пограничник.

[Bat]

Кто пользовался услугами блокировки у сервисов, которые работают по принципу зеркалирования трафика и отсылки абонентам пакетов с отбоем соединения? Возникают ли ситуации, когда пакет от реального сервера дойдет раньше?

Насколько эффективно работают такие сервисы?

[bud_on]

зеркалирования трафика и отсылки абонентам пакетов с отбоем соединения

Сейчас пользуем Барьер от Руспромсофта. Вполне работает, однако когда выросла нагрузка на dpi (ревизоры стали активнее запросы слать) Барьер перестал справляться, попали на протокол в Надзоре. После замены сетевухи на рекомендованную производителем и обновлении версии dpi вроде ситуация выправилась. Пока на этапе тестирования, к 100% блокировки еще не пришли, но уже близки.

Хотя рекламировать этот dpi наверно не стану. Пока есть ещё вопросы, которые после покупки саппорта вроде начали потихоньку решаться...

Изменено 9 февраля, 2017 пользователем bud_on

[Bat]

Т.е. не 100% у вас? Если не секрет, сколько за сутки "пролазит"? В штуках, не в процентах.

[bud_on]

Bat, ответил в ЛС. А то сочтут рекламой/антирекламой.

[Bat]

Спасибо!

[Галушко Дмитрий]

зеркалирования трафика и отсылки абонентам пакетов с отбоем соединения

Сейчас пользуем Барьер от Руспромсофта. Вполне работает, однако когда выросла нагрузка на dpi (ревизоры стали активнее запросы слать) Барьер перестал справляться, попали на протокол в Надзоре. После замены сетевухи на рекомендованную производителем и обновлении версии dpi вроде ситуация выправилась. Пока на этапе тестирования, к 100% блокировки еще не пришли, но уже близки.

Хотя рекламировать этот dpi наверно не стану. Пока есть ещё вопросы, которые после покупки саппорта вроде начали потихоньку решаться...

по Барьеру уже 2 суда только про которые я знаю.

Причем по 2-му: апеллирование Штрафа 30 тр.

[bud_on]

по Барьеру уже 2 суда только про которые я знаю.

А можете ссылками поделиться? к суду готовимся.

[Галушко Дмитрий]

по Барьеру уже 2 суда только про которые я знаю.

А можете ссылками поделиться? к суду готовимся.

отписал в личку.

получается уже 3-й раз Барьер...

ПС добавлю в опрос http://forum.nag.ru/forum/index.php?showtopic=123162&st=120&p=1370069&fromsearch=1entry1370069 вопрос, какая софтина не смогла залочить ...

[AlKov]

Не любой, а тот, что указан как тип блокировки blockType="ip".

Это не обсуждается, т.к. "само-собой подразумевается".

А если это IP вконтактика - то это проблемы РКН.

Увы.. Это проблема оператора..

Вы читали о том, что Ревизор теперь стучится и по IP адресам, указанным в Реестре?

Вот именно! И похоже, стучится он так:

запрос по url - всё хорошо, блокируется. А вот дальше, похоже на то, что "товарищ Ревизор" делает следующее - вместо имени домена подставляет IP, указанный в url, т.е. типа так: http://aa.bb.cc.dd/?что_то_там.php (или html) - вообщем - "окончание ссылки".

И.. В большинстве случаев попадает "куда-то" (не всегда, "куда надо").. Ну и вывод - "не блокируется".

Не буду утверждать, но очень на тО похоже.

Так-что, как не извращайся, а в дерьме всё одно окажешься..

[AdmSasha]

MATPOC, у вас длинные URL нормально блочатся, типа записи N 313761 ? У меня SCE2020 воспринимает не боле ~150 символов, т.е. если набрать в адресной строке url длиной 200 символов, то SCE ее пропустит, если сократить до 150, то заблокирует. В саму SCE длинные URL добавляются без проблем. Урезание URL и добавление маски в конце (host.ru/?blabla*), так же не помогает. Может где-то есть какая то галка, чтобы увеличить длину проверяемого url ?

[MATPOC]

MATPOC, у вас длинные URL нормально блочатся, типа записи N 313761 ? У меня SCE2020 воспринимает не боле ~150 символов, т.е. если набрать в адресной строке url длиной 200 символов, то SCE ее пропустит, если сократить до 150, то заблокирует. В саму SCE длинные URL добавляются без проблем. Урезание URL и добавление маски в конце (host.ru/?blabla*), так же не помогает. Может где-то есть какая то галка, чтобы увеличить длину проверяемого url ?

У нас SCE-8000 тоже не блокирует длинные ссылки, я пока режу до 253 символов + *

[AdmSasha]

У нас SCE-8000 тоже не блокирует длинные ссылки, я пока режу до 253 символов + *

Так в том то и проблема, что как бы я на SCE не задавал URL, блокировки не происходит если в браузере набрать очень длинную строку. Если сократить именно в браузере строку запроса на сколько-то символов, то блокировка срабатывает. У вас не так ?

[tyva]

AdmSasha, я на sce2020 такие ссылки сверхдлинные режу до домена, тогда блокирует.

[AdmSasha]

tyva, Оо, владелец sce2020, а как блокируете по ip ?

[tyva]

AdmSasha, отдельно по bgp загружаю маршруты /32 по blocktype=ip на каталист, и на нем в null. Дополнительно резолвлю https домены каждые 10 мин и туда же. Вообщем, пачка самописных скриптов (

[Галушко Дмитрий]

Однако http://forum.nag.ru/forum/index.php?showtopic=111091&view=findpost&p=1372301

[Bat]

Дополнительно резолвлю https домены каждые 10 мин и туда же.

Ну и как результат постоянно будут пропуски сайтов, у которых гигантское количество IP и они их постоянно меняют. Их вроде немного пока, но они есть.

Кроме того, если на IP несколько сайтов, то вы их блочите все.

По хорошему надо блочить по имени сайта HTTPS. Тогда обе проблемы отпадают.

[tyva]

Ну и как результат постоянно будут пропуски сайтов, у которых гигантское количество IP и они их постоянно меняют. Их вроде немного пока, но они есть.

Пока набросал скрипт, который хранит, накапливает ip несколько дней, и если не встречался в резолве, удаляет.

Кроме того, если на IP несколько сайтов, то вы их блочите все.

В свете предстоящих штрафов по 100тр, считаю лучше пока перебдеть, пусть и за счет этих нескольких сайтов. Будут жалобы от абонентов, буду дальше думать.

По хорошему надо блочить по имени сайта HTTPS. Тогда обе проблемы отпадают.

Что-то я думаю этот метод скоро тоже научатся обходить..

 

Мы уже попали на штраф в 30т, сейчас готовим апелляцию. Протокол еще от ноября был. вот как-то так )

[Bat]

Пока набросал скрипт, который хранит, накапливает ip несколько дней, и если не встречался в резолве, удаляет.

Все равно пропуски будут. Там похоже некоторые сайты имеют десятки тысяч адресов. Возможно они еще постоянно пополняются. И коробочка перманентно будет получать новые адреса, отличные от вашего резолвинга. Разве нет такой проблемы?