1. Для блокировка используем

[Галушко Дмитрий]

В 17.03.2018 в 13:44, SokolovS сказал:

Свободно распространяемый софт для организации DPI пассивного типа. Аналог решений Барьер и CyberFilter в инсталляциях на 5-6 Гбит/c. Поддержка Ревизора по телефону его рекомендует в качестве бесплатной замены собственных кустарных решений.

так CyberFilter облачное решение...

?

[alibek]

Фильтрация не может быть облачной в принципе.

Облачными могут быть только списки.

[Галушко Дмитрий]

13 минут назад, alibek сказал:

Фильтрация не может быть облачной в принципе.

Облачными могут быть только списки.

это понятно...

я задал вопрос про другое, и не Вам...

[SokolovS]

58 минут назад, Галушко Дмитрий сказал:

так CyberFilter облачное решение...

?

CyberFilter в разных вариантах предлагают в т.ч. и для локальной установки на площадке оператора. А так да, многие используют его в облаке. 2xBGP линка через GRE туннели и все заработало. Анонсируется порядка 75 тыс. маршрутов, трафик в их сторону небольшой.

[max1976]

В 17.03.2018 в 13:44, SokolovS сказал:

Свободно распространяемый софт для организации DPI пассивного типа. Аналог решений Барьер и CyberFilter в инсталляциях на 5-6 Гбит/c. Поддержка Ревизора по телефону его рекомендует в качестве бесплатной замены собственных кустарных решений.

Новую версию Extfilter можно и на скоростях 10+ Гбит/с использовать.

[ichthyandr]

20 минут назад, max1976 сказал:

Новую версию Extfilter можно и на скоростях 10+ Гбит/с использовать.

с какими  процессорами?

[max1976]

22 минуты назад, ichthyandr сказал:

с какими  процессорами?

С современными, на 6 ядрах.

[sanyasi]

Последняя версия, после борьбы с сайтами Навального, стала пропуски делать. При чем, постепенно накапливая число пропусков. Перезагрузка восстанавливает блокирование. 

 

С 14 марта

 

worker.core.1.total_packets=87092242704
worker.core.1.ip_packets=87092242692
worker.core.1.ipv4_packets=87092242692
worker.core.1.ipv6_packets=0
worker.core.1.total_bytes=11251442102500
worker.core.1.matched_ip_port=8404
worker.core.1.matched_ssl=1973271
worker.core.1.matched_ssl_ip=0
worker.core.1.matched_domains=3205212
worker.core.1.matched_ulrs=13556523
worker.core.1.active_flows=118758
worker.core.1.ipv4_fragments=358471246
worker.core.1.ipv6_fragments=0
worker.core.1.ipv4_short_packets=0
worker.core.2.total_packets=86899669030
worker.core.2.ip_packets=86899669030
worker.core.2.ipv4_packets=86899669030
worker.core.2.ipv6_packets=0
worker.core.2.total_bytes=10941309671106
worker.core.2.matched_ip_port=4495
worker.core.2.matched_ssl=2581274
worker.core.2.matched_ssl_ip=0
worker.core.2.matched_domains=3100672
worker.core.2.matched_ulrs=13075150
worker.core.2.active_flows=118036
worker.core.2.ipv4_fragments=381236481
worker.core.2.ipv6_fragments=0
worker.core.2.ipv4_short_packets=0
allworkers.total_packets=173991911734
allworkers.ip_packets=173991911722
allworkers.ipv4_packets=173991911722
allworkers.ipv6_packets=0
allworkers.total_bytes=22192751773606
allworkers.matched_ip_port=12899
allworkers.matched_ssl=4554545
allworkers.matched_ssl_ip=0
allworkers.matched_domains=6305884
allworkers.matched_ulrs=26631673
allworkers.active_flows=236794
allworkers.ipv4_fragments=739707727
allworkers.ipv6_fragments=0
allworkers.ipv4_short_packets=0
allports.received_packets=173991909573
allports.missed_packets=0
allports.rx_nombuf=0
allports.ierrors=77

 

P.S.  Ошибка нашлась - не срабатывал скрипт обновления конфигурации.

 

Изменено 25 марта, 2018 пользователем sanyasi
Ошибка нашлась

[max1976]

17 часов назад, sanyasi сказал:

allports.missed_packets=0

Судя по этому счетчику, фильтр успевает все обрабатывать. В фильтре нет кода, который может давать описанный эффект.

Изменено 20 марта, 2018 пользователем max1976

[SokolovS]

А почему может копиться "RX missed" на порту с которого идут ответы?

[max1976]

26 минут назад, SokolovS сказал:

А почему может копиться "RX missed" на порту с которого идут ответы?

Потому что чтение данных с этого порта не осуществляется. Очередь накапливается, а затем переполняется, и из-за этого счетчик увеличивается.

[SokolovS]

6 минут назад, max1976 сказал:

Потому что чтение данных с этого порта не осуществляется. Очередь накапливается, а затем переполняется, и из-за этого счетчик увеличивается.

Это надо лечить или это норма?

[max1976]

5 минут назад, SokolovS сказал:

Это надо лечить или это норма?

Так и должно быть. Сделайте L3 интерфейс между фильтром и маршрутизатором с каким-то диапазоном, который не используется у вас в сети. В таком случае на этот интерфейс не будет попадать ненужный трафик и счетчик не будет расти. Можно вообще выключить ARP/IPv6 ND на этом интерфейсе.

Изменено 19 марта, 2018 пользователем max1976

[Галушко Дмитрий]

15 марта зарегены Минюстом и 27 марта начинают действовать Требования к способам (методам) ограничения доступа к информационным ресурсам, размещаемой информации об ограничении доступа к информационным ресурсам" (утверждены приказом РКН от 14.12.2017 № 249) Согласно п.2б) разрешено блокировать через UpLink путем забора "очищенного" трафика http://ordercom.ru/treb.doc

[myth]

Не очень понятен 8 пункт

 

Цитата

8. При выгрузке операторам связи присваивается уникальный код (идентификатор), который необходим для подтверждения ограничения операторами связи доступа к информационным ресурсам.

 

 

В какое место странице, с какими тегами его вставлять? Меняется ли этот код от выгрузки к выгрузке?

 

Можно ли как-то использовать этот код для доставления хлопот оператору?

[max1976]

20 минут назад, myth сказал:

Не очень понятен 8 пункт

 

 

 

В какое место странице, с какими тегами его вставлять? Меняется ли этот код от выгрузки к выгрузке?

 

Можно ли как-то использовать этот код для доставления хлопот оператору?

Что за идентификатор? В выгрузке нет ничего похожего на идентификатор оператора.

[myth]

Вот и мне непонятно...

 

Вроде как идентификатор присваивается запросу на получение выгрузки. Это что, раз в час заглушку менять теперь?

[a290]

Теперь без заглушки (только TCP RST) совсем нельзя? А как с HTTPS быть; подмену сертификата делать?

[myth]

Цитата

Если запись выгрузки содержит сведения об указателе страницы сайта в сети «Интернет», использующем сетевой протокол, поддерживающий шифрование, допускается ограничение доступа ко всему доменному имени, в том числе путем ограничения запросов пользователей к системе получения информации о доменных именах (далее – DNS-сервер) или выполнения соответствующих настроек DNS-серверов оператора связи

 

[LynxChaus]

А с 8.8.8.8 и подобными что прикажут делать? РЭзат, не дожидаясь пэрэтоныта?

 

[myth]

Зачем их резать?

[LynxChaus]

10 minutes ago, myth said:

в том числе путем ограничения запросов пользователей к системе получения информации о доменных именах (далее – DNS-сервер)

какое место из этого - не понятно? Велкам парсить DNS запросы.

[a290]

2 минуты назад, LynxChaus сказал:

А с 8.8.8.8 и подобными что прикажут делать? РЭзат, не дожидаясь пэрэтоныта?

 

Можно DNS запросы с помощью DPI фильтровать. При попытке резолва запрещенного домена - дропать пакет с запросом и возвращать NXDOMAIN.

 

 

[myth]

Допускается...

[LynxChaus]

3 minutes ago, myth said:

Допускается...

А это дяди с бумажкой "о неблокировании" расскажут, как трактовать.