Jump to content
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Чистенько, ровненько, никаких дыр. Раз в два часа проверка + маслание с 4-х утра до полудня.

 

Правда, вчерась пришлось Индейца обучать всем отдавать страничку CGI-шкой (с подсказками), а шылизяке - статику. А то что-то ему поплохело малость такое количество запросов обрабатывать. До вчера (может и пораньше - вчера заметил) коробочке было достаточно редиректа на URL блокировки. Сейчас-же начала опять странички полностью выгружать.

 

Может, софт поменяли?

 

 

agrevizor-day.png

Share this post


Link to post
Share on other sites
13 часов назад, YuryD сказал:

 Единственный смысл получить туда логин - чтобы дельты забирать без эцп. Смысл не подтвердился ничем и никем. Хотя - за незабирание реестра кого-то уже снова нагнули ? Отмазок-то немного, в стиле забирает и фильтрует некто вышележащий....  Так что, по старинке, забираю весь реестр с помощью эцп, затраты на неё в общем-то копеечны, в сравнении со штрафами....

Отмазки разные бывают... Даже, например, купленная на дату пропусков кошерная Система Фильтрации (у нас в ЦФО тогда протокол не составляют)

+ ещё много чего... Здесь http://www.ordercom.ru/revizor1.htm анализ систем + позитивная практика

Share this post


Link to post
Share on other sites

Сейчас РСОК рисуют протоколы по другой статье КоАП - по ст.13.34 и суды по этой статье ссылки на малозначительность отклоняют сходу, т.к. есть "возникновение угрозы безопасности государства, жизни и здоровью неопределенного круга лиц". И по боку, что ни в протоколе, ни в материалах дела нет доказательств этому. Все равно рисуют штраф, несмотря на 4.1.1 и использование рекомендованной РСОКом же системы фильтрации.

Share this post


Link to post
Share on other sites

Возник вопрос:

Кто как производит фильтрацию по доменам? 

Мы режим все обращения в 53 порт не наших DNS серверов (соответствующий пункт в договоре есть). Сегодня обратился наш клиент с просьбой доступа к корневикам. Чисто формально для фильтрации по доменам мы поступаем правильно (нельзя фильтровать то что проходит мимо системы фильтрации). Но и клиента понять можно.

Может коллективный разум поможет выработать общий подход?

Share this post


Link to post
Share on other sites
32 минуты назад, snik_1900 сказал:

Возник вопрос:

Кто как производит фильтрацию по доменам? 

Мы режим все обращения в 53 порт не наших DNS серверов (соответствующий пункт в договоре есть). Сегодня обратился наш клиент с просьбой доступа к корневикам. Чисто формально для фильтрации по доменам мы поступаем правильно (нельзя фильтровать то что проходит мимо системы фильтрации). Но и клиента понять можно.

Может коллективный разум поможет выработать общий подход?

Поставит ваш клиент dnscrypt и забудет про ваши днс и запросы, как страшный сон.

Share this post


Link to post
Share on other sites
32 минуты назад, ayf сказал:

Поставит ваш клиент dnscrypt и забудет про ваши днс и запросы, как страшный сон.

Это конечно вариант. Но не все админы настолько умны (читай "не ленивы").

Share this post


Link to post
Share on other sites
10 минут назад, snik_1900 сказал:

Но не все админы настолько умны

Это и не требуется.

Туннелирование и шифрование DNS скоро будет в роутерах из коробки.

Share this post


Link to post
Share on other sites
8 часов назад, Галушко Дмитрий сказал:

Отмазки разные бывают... Даже, например, купленная на дату пропусков кошерная Система Фильтрации (у нас в ЦФО тогда протокол не составляют)

+ ещё много чего... Здесь http://www.ordercom.ru/revizor1.htm анализ систем + позитивная практика

 Пока не пригодилась помощь юристов. Просто мы стелим солому везде, где можно упасть. Чтобы потом не тратить время и деньги на суды. А вообще - читаю Вас регулярно, и не без пользы, спасибо.

Share this post


Link to post
Share on other sites
15 часов назад, ayf сказал:
15 часов назад, snik_1900 сказал:

Возник вопрос:

Кто как производит фильтрацию по доменам? 

Мы режим все обращения в 53 порт не наших DNS серверов (соответствующий пункт в договоре есть). Сегодня обратился наш клиент с просьбой доступа к корневикам. Чисто формально для фильтрации по доменам мы поступаем правильно (нельзя фильтровать то что проходит мимо системы фильтрации). Но и клиента понять можно.

Может коллективный разум поможет выработать общий подход?

Поставит ваш клиент dnscrypt и забудет про ваши днс и запросы, как страшный сон.

И все же, хотелось бы услышать, кто какими методами блокирует домены.

Share this post


Link to post
Share on other sites

все зависит  от того какая у вас цель, не потерять абонентов и избежать штрафов, или что бы враг не прошел.

Share this post


Link to post
Share on other sites
2 часа назад, snik_1900 сказал:

хотелось бы услышать, кто какими методами блокирует домены

Блокируем на DPI.

В функционирование чужих DNS не вмешиваемся.

Share this post


Link to post
Share on other sites
24 minutes ago, alibek said:

Блокируем на DPI.

В функционирование чужих DNS не вмешиваемся.

+1

Проверка http заголовков и sni в https трафике, днс никак не фильтруется/ограничивается

Share this post


Link to post
Share on other sites
3 часа назад, nickD сказал:

все зависит  от того какая у вас цель, не потерять абонентов и избежать штрафов, или что бы враг не прошел.

Руководство не желает терять абонента, но штрафов быть не должно.

 

2 часа назад, alibek сказал:

Блокируем на DPI.

В функционирование чужих DNS не вмешиваемся.

А ревизор как на это реагирует?

Share this post


Link to post
Share on other sites
23 минуты назад, snik_1900 сказал:

А ревизор как на это реагирует?

А как он должен реагировать?

Ревизор должен использовать сетевые параметры, которые назначает оператор, в том числе адреса DNS-серверов.

Если он это делает, то все хорошо.

Share this post


Link to post
Share on other sites

У нас одно время РКН катался по кафешкам и от туда по WIFI делал быстрые проверки минут по 10-15. Как сейчас дело обстоит с такими проверками не знаю.

Share this post


Link to post
Share on other sites

Между тем, в выгрузке начали появляться записи с IPv6 адресами в нарезке /128.

Share this post


Link to post
Share on other sites

Ну хоть чему-то научились.

Практического смысла в блокировке /128 нет, но видимо проверяют на сбои и неожиданности.

Share this post


Link to post
Share on other sites

Эти чтото проверяют ? ха..., не не так,  ха ха ха... Они просто вписывают IP ресурса из АААА записи (какой он там на момент внесения) и все. причем не особо утруждаясь форматированием.. есть 2606:4700:0030:0000:0000:0000:681b:87c3 и есть 2a00:1768:2001:63::46:102

 

Интересно, скоро прилетит адрес с 2 наборами :: ?

Share this post


Link to post
Share on other sites

Действительно, опять идиотам поручили. Именно IPv6-записей всего две: 2606:4700:30::681b:b458 и 2606:4700:30::681b:b558.

Теперь для URL и доменов ресолвят AAAA-записи и добавляют их в реестр.

Скоро реестр опять распухнет, потом начнут думать, как сократить нагрузку на сервер и трафик.

Share this post


Link to post
Share on other sites
53 минуты назад, st_re сказал:

Интересно, скоро прилетит адрес с 2 наборами :: ?

Сразу следом за этапом усечения ведущих нулей. RFC - его-ж ЧИТАТЬ надо...

Share this post


Link to post
Share on other sites
7 минут назад, snvoronkov сказал:
1 час назад, st_re сказал:

Интересно, скоро прилетит адрес с 2 наборами :: ?

Сразу следом за этапом усечения ведущих нулей. RFC - его-ж ЧИТАТЬ надо...

Как бы они не начали сокращать по 2 группы нолей. С их IQ этого можно ожидать.

Share this post


Link to post
Share on other sites

Подскажите, как получить логин/пароль для получения реестра без ключа (ЦП) ?

Share this post


Link to post
Share on other sites
В 19.12.2018 в 08:22, AdmSasha сказал:

Подскажите, как получить логин/пароль для получения реестра без ключа (ЦП) ?

Это экспериментальные дельты, не для всех.

Share this post


Link to post
Share on other sites

Понятно. Значит опять придется сертификат продливать...

Share this post


Link to post
Share on other sites
3 минуты назад, AdmSasha сказал:

придется сертификат продливать

Если у вас бухгалтерия сдает отчетность в электронном виде, через "Контур" например, то эта ЭЦП подходит для выгрузок реестра. Если только отбросить паранойю на счет того, что ей будет пользоваться еще кто-то кроме бухов. Если паранойя присутствует, то да, придется делать отдельную ЭЦП.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now