Jump to content
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Добрый день.

Нашел время автоматизировать выгрузку реестра, сделал на скрипте от tawer'a.

Из консоли всё работает замечательно, но проблема вылезла в другом.

Скрипт надо запускать 2 раза, с интервалом времени, в первый раз с параметром 0, потом с параметром 1.

Добавляю задание в crontab, скрипт без параметров или при их, не верном, указании - ругается на почту и в лог, что, собственно, верно.

С параметром 0, всё корректно отрабатывает, пишет в логи и т.д.

А вот с параметром 1 - нет ни какой реакции, т.е. задание есть, а выполнения, логов или почты нет.

Пробывал так:

x x * * * root perl /gost-ssl/rzs/download.pl 1

x x * * * root /usr/bin/perl /gost-ssl/rzs/download.pl 1

x x * * * root (cd /gost-ssl/rzs; ./download.pl 1)

Ещё побывал, через создания отдельного bash скрипта для запуска, результат один, не работает.

Подскажите, что я делаю не так.

П.С. Запускаю под CentOS 5.

Share this post


Link to post
Share on other sites

Ещё побывал, через создания отдельного bash скрипта для запуска, результат один, не работает.

Подскажите, что я делаю не так.

П.С. Запускаю под CentOS 5.

 

ну например perl в путях отсутствует.

Но если права у download.pl u+x и в заголовке download.pl правильный путь к перлу то вот так вполне работает

1 * * * * root /usr/gost-ssl/rzs/download.pl 0

30 * * * * root /usr/gost-ssl/rzs/download.pl 1

Share this post


Link to post
Share on other sites

У меня тот же скрипт от tawer'a вот как выглядит в кроне: (правда ubuntu 12.04)

 

00 */6 * * * root /usr/bin/perl /work/rzs/download.pl 0

15 */6 * * * root /usr/bin/perl /work/rzs/download.pl 1

 

 

Не иначе как просили заблочить президент.рф

Edited by NightElf

Share this post


Link to post
Share on other sites

/usr/bin/perl

это лишнее, если в самом скрипте в первой же строке указать обработчик ( #!/usr/bin/perl )

Share this post


Link to post
Share on other sites

А у меня другая проблема:

Пробовал целых 3 скрипта:

от Yegorov_p, от tawer и еще какой то.

Ни один не хочет отправлять запрос.

пишут или

urllib2.URLError: <urlopen error [Errno 54] Connection reset by peer>

или

500 Server closed connection without sending any data back at ./download.pl line 49

 

Скриптам не нравится файл электронной подписи. Видимо там какие то спецсимволы или что то вроде того.

Если вместо файла ЭЦП подсунуть файл с белибердой - запросы отправляются без ошибок, но реестр я конечно не получу.

При этом если отправлять тот же файл с ЭЦП просто из браузера в ручном режиме - все работает.

 

У нас рутокен ЭЦП, поэтому выковырять оттуда подпись в PCS#12 и потом подписивать самим не получится.

Share this post


Link to post
Share on other sites

Я ж говорил, в скайп мне напишите, разберемся =)

Share this post


Link to post
Share on other sites

Скриптам не нравится файл электронной подписи. Видимо там какие то спецсимволы или что то вроде того.

вот лучше бы именно на эту ругань посмотреть

 

обе приведённые ошибки к формату файлов с данными и ЭЦП никакого отношения не имеют

 

я экспериментировал, взяв левую ЭЦП и фейковые данные

всё работало нормально

(ессна, сервер позвращал не дамп выгрузки, а "не знаю таких - идите нафиг")

Share this post


Link to post
Share on other sites

http://rkn.gov.ru/news/rsoc/news21583.htm

На сегодняшний день территориальными органами Роскомнадзора направлено подозреваемым в нарушении условий лицензии операторам связи более 600 писем-предупреждений. Составлено в общей сложности 349 протоколов об административных правонарушениях в отношении операторов связи, не выполняющих требования о блокировке противоправного контента. В суд подано 281 исковое заявление.

 

Роскомнадзор обращает внимание на необходимость неукоснительного соблюдения операторами связи, оказывающими услуги по доступу к сети Интернет, норм и требований нормативных правовых актов, касающихся ограничения или своевременного разблокирования доступа к запрещенной информации. Роскомнадзором, в том числе его территориальными органами ведется постоянный мониторинг действий операторов связи. В случае невыполнения данного требования законодательства Российской Федерации, могут приниматься самые жесткие меры реагирования, вплоть до приостановления действия лицензии.

 

Одно из последних решений принятых в Москве касается ООО "КМК-Телеком". Компания привлечена к административной ответственности по ч. 3 ст. 14.1 КоАП РФ (нарушение лицензионных условий) в связи с неавторизацией на сайте http://eais.rkn.gov.ru. Отсутствие авторизации не позволяет оператору получать информацию из Единого реестра сайтов с противоправной информацией и, как следствие, приводит к неисполнению решений о блокировках интернет-ресурсов. Сумма наложенного штрафа составила 30 тыс. руб.

Share this post


Link to post
Share on other sites

Сумма наложенного штрафа составила 30 тыс. руб.

 

30 тыс - это фигня, вот миллион это круто:

http://lenta.ru/news/2013/09/03/million/

 

Надеюсь, что эта хрень не пройдет, а учтут петицию, которую мы подписали на roi.

Но на всякий случай напоминаю про халяву http://vasexperts.ru/vas/index.php/site/filtering4free

 

PS

Решение интересное и главное недорогое - работает на обычном компе, только если нужен Bypass (для спокойствия),

то сетевухи с bypass не дешевые. Комп свой или можно заказать. При этом задержка всего 30 мкс, это вам не Linux какой-нибудь.

+ там уже есть список минюста (который иначе нужно парсить ручками) и все работает автоматически, поставил и забыл.

За небольшие (действительно!) деньги можно активировать остальную DPI функциональность, которая себя моментально окупает,

если ей конечно пользоваться, например, можно подрезать торренты в часы пик или повысить приоритет Voip/Skype.

В любом случае, дается все попробовать на 2 месяца бесплатно.

Почти коммунизм :)

PPS Понимаю, что получилась реклама, но ведь круто же? Или нет?

Share this post


Link to post
Share on other sites

А у меня другая проблема:

500 Server closed connection without sending any data back at ./download.pl line 49

 

Удалось побороть?

Share this post


Link to post
Share on other sites

PS

Решение интересное и главное недорогое - работает на обычном компе, только если нужен Bypass (для спокойствия),

то сетевухи с bypass не дешевые.

Простите за оффтопик, а в каких случаях может пригодиться этот байпас ? Он же "Software programmable"

Share this post


Link to post
Share on other sites

Простите за оффтопик, а в каких случаях может пригодиться этот байпас ? Он же "Software programmable"

 

Сервант бутить?

Share this post


Link to post
Share on other sites

Простите за оффтопик, а в каких случаях может пригодиться этот байпас ? Он же "Software programmable"

"Software programmable" bypass работает следующим образом:

раз в 200 миллисекунд программа сбрасывает watchdog таймер, если она этого не сделает, то bypass активируется, т.е. во всех следующих случаях:

программа зависла, упала или остановлена, сервер отправлен на перезагрузку, питание сервера выключено (на карте есть кондер, который при отключении питания продолжает питать bypass достаточное время, чтобы сработало переключение).

Share this post


Link to post
Share on other sites

Раз упомянули, то несколько слов по поводу... не реклама, просто, как оно есть.

У нас на тестировании находится софтверное решение DPI СКАТ от vasexperts.ru.

Железо(что было, из того и слепил): мать Intel S1200BTL + проц Е3-1230V2(3,3GHz) + 8Gb/RAM + сетевая Intel E1G42ET(Intel 82576) простая, без bypass,

платформа, по оценкам, может промолотить до 3-х гигабитных линков, естественно с добавлением соответствующих сетевых карт(набортные лучше не использовать).

ОС: CentOS 6.3 x86_64 + используется коммерческая реализация DNA + libzero от nTOP(естественно нужны лицензии на каждый порт).

DPI СКАТ накатили и запустили удаленно специалисты разработчика. Реестр в готовом виде(для DPI) выгружается из их "облака" раз в час. Сами мы, естествеено,

отдельно выгружаем список с комнадзора для себя.

Стоит на небольшом статическом аплинке, с нагрузкой в пиках до 200Мбит. http до 40%

Все молотит исправно и перенаправляет на "грозную" затычку со ссылками на реестр и список минюста. Есть мелкие(несущественные) недочеты по списку минюста, но ребята оперативно исправляют и добавляют изменения. Предложили пару интересных коммерчеких опций на попробовать(статистику+полисинг), пока не до них.

Аптайм пока небольшой - две недели. В связи с интересным постом на хабре, упомянутым nuclearcat, стало интересно попытать данный продукт подобным образом, пока так глубоко не копал.

Share this post


Link to post
Share on other sites

Alex_Sor, простите, но если вы не можете подключить к этому фильтру свою базу, то это не более, чем тестирование

причём не вы тестируете систему фильтрации, а система тестируется на вашем железе и за ваш счёт

насколько я всё понимаю

Share this post


Link to post
Share on other sites

А вот на Хабре и кривулю которая блокирует контент у RETN разобрали на кусочки :)

http://habrahabr.ru/post/192046/

А надо, чтобы была прямуля, которая блокирует больше, чем то, что предписано блокировать законом? Быть святее Папы Римского и прозорливее наших депутатов? Исправлять чужие ачипатки в подлежащем к беспрекословному исполнению приказе и домысливать чужие недомысли? :o

 

PS. Дочитал до сентенции о редиректе украинских пользователей на билайн/корбину. В огороде бузина...

Share this post


Link to post
Share on other sites

А надо, чтобы была прямуля, которая блокирует больше, чем то, что предписано блокировать законом? Быть святее Папы Римского и прозорливее наших депутатов? Исправлять чужие ачипатки в подлежащем к беспрекословному исполнению приказе и домысливать чужие недомысли? :o

 

Так и есть. Блокирует по строкам в теле контента. Т.е. если в теле контента будет что-то похожее на http запрос на запрещенный ресурс - пакет застрянет.

Share this post


Link to post
Share on other sites

lcgc Как раз наоборот, сорри что не точно написал про этот момент, продукт позволяет(задается пользователем в кофиге) использовать одновременно выгрузку от разработчика + свои списки(в виде обычных текстоых файлов), продукт их скачивает раз в час, по ссылке, которую вы ему забъете в конфиг, любые варианты, только свои списки, т.е. "микшировать" как угодно. Добалю еще, на всякий, сама машина с dpi для пользователя не "черный ящик", т.е. root и т.п. все наше.

На практические вопросы, учитывая пока мой небольшой опыт с данным продуктом, готов ответить, НО, наверное уже пишите личку, а то как то уже не красиво получается, либо надо в другом разделе отдельную тему завести.

Share this post


Link to post
Share on other sites

Так и есть. Блокирует по строкам в теле контента. Т.е. если в теле контента будет что-то похожее на http запрос на запрещенный ресурс - пакет застрянет.

Не "что-то похожее", а совпадающее до самого последнего знака. И с тем же destination ip, что и подлежащий блокировке ресурс

 

Альтернатива - блокировка по ip. Альтернатива альтернативе - заворачивание на proxy. Что при ближайшем рассмотрении есть тот же пенёк, вид сбоку. Попахивает хайджеком, самоуправством и вообще за гранью добра и зла

 

Домыслы про блокирование чего-то там в Амстердаме или ещё где из той же оперы. Сколько пядей во лбу надо иметь, чтобы не подвергать сомнению очевидное: российские законы имеют силу на территории России?

 

Чем кидать камни в чужой огород и подтрунивать над "кривульками", предложили бы универсальное решение, как сохранить сетевую нейтральность, не нарушив при этом букву закона в каждом отдельно взятом княжестве

Share this post


Link to post
Share on other sites

Не "что-то похожее", а совпадающее до самого последнего знака. И с тем же destination ip, что и подлежащий блокировке ресурс

Т.е. если РКН что-то заблокирует в livejournal, а я в своем блоге на LJ просто размещу ссылку на заблокированное, то меня вы тоже

автоматически заблокируете. Так ?

Share this post


Link to post
Share on other sites

Ссылка будет вида GET /\nHost:BADGUY.livejournal.com ??

 

зы, я чтото запамятовал, чем кончилась инициатива по наказанию за ссылки на заблокированные ресурсы ?

ззы, большинство блокирует просто по IP.. и по сценарию "Т.е. если РКН что-то заблокирует в livejournal" Ваш блог пойдет лесом вообще то и при отсутствии там ссылок..

Share this post


Link to post
Share on other sites

Чем кидать камни в чужой огород и подтрунивать над "кривульками", предложили бы универсальное решение, как сохранить сетевую нейтральность, не нарушив при этом букву закона в каждом отдельно взятом княжестве

В феодальные времена феодальной раздробленности разные законы в каждом княжестве сильно жизнь портили. Надо вспомнит историю, и перестать

хотеть кусочно отменить то, что вода жидкая и грязь переносить может.

Share this post


Link to post
Share on other sites

Ссылка будет вида GET /\nHost:BADGUY.livejournal.com

 

А почему бы и нет? Вот если бы какая-нибудь статья на habr уже была блокирована,

то и рассказ про "кривульку" тоже мог бы оказаться под блокировкой.

 

PS

Непонятно зачем магистральный провайдер вообще занимается блокировками, ведь закон этого не требует.

PPS

>большинство блокирует просто по IP

это временно, пока не вступила в силу новая редакция закона: кого-то очень беспокоит, что есть ресурсы,

на которые они пока не могут замахнуться из-за этого, тот же Livejournal или Wikipedia - если их заблокировать по IP,

тогда всем мало не покажется.

Edited by DimaM

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now