1. Для блокировка используем

[ixi]

1 минуту назад, max1976 сказал:

Сам пользуюсь extfilter'ом, никаких пропусков нет. Если ревизор стоит за NAT, тогда может быть все что угодно.

Я к тому, что nfqfilter часть адресов пропускает. extfilter работает отлично, с NAT проблем никаких не замечал, всё чисто.

[max1976]

Только что, ixi сказал:

Я к тому, что nfqfilter часть адресов пропускает. extfilter работает отлично, с NAT проблем никаких не замечал, всё чисто.

Я неправильно понял. У меня ревизор стоял за роутером tp-link TL-ER5120, так там случались пропуски - роутер попросту иногда отбрасывал пакеты от фильтра. Наверное ответы от фильтра слишком быстро прилетали :)

[LynxChaus]

2 hours ago, ixi said:

Я к тому, что nfqfilter часть адресов пропускает.

Логично. Ибо "чудо коробка" лОжила на стандарты, а бедный Poco на такой авангард не рассчитан.

[arhead]

Снова ревизор две ссылки выдал которые из реестра были удалены. Ох и "чудо коробка". Говорил насчет этого с представителем РКН. Мне он сказал что радиочастотный центр смотрит раз если далее тоже есть пропуски этих же ссылок звонят и делают предписание исправить. Но верить ли его словам? Хотя нам штраф впаивали только когда прокуратура с ркн пришли в живую. Было раз прилично пропусков позвонили из РКН и сказали устраняйте иначе будет плохо. Хотя почитав тему понял что в каждом регионе по-разному со всеми поступают. И будет ли МФИ приводить ревизора к стандартам? 

Изменено 24 марта, 2018 пользователем arhead

[oleg_n]

1 hour ago, arhead said:

Снова ревизор две ссылки выдал которые из реестра были удалены. Ох и "чудо коробка".

  Таков алгоритм работы Ревизора. У нас часто такое проскакивает, ибо мы скачиваем реестр каждый раз, как только там появляются важные обновления, а это чаще чем раз в час бывает.

Пишите письмо на info _на_ rfc-cfa.ru и на cforevizor _на_ rfc-cfa.ru с предложениями по улучшению(об этой ситуации они знают, кстати). Мы такое писали:

 

Quote

  При проверке может возникнуть ситуация, и возникла у нас, когда
Ревизор обнаруживает незаблокированным ресурс, которого уже на данный
момент нет в списке. Такое происходит, когда Ревизор проверяет блокировку
по реестру более старой версии, чем реестр, использующийся оператором в
данный момент. Т.е. у Ревизора версия, где ресурс есть в реестре, а у
оператора новый реестр, где уже ресурса нет.
  Подобные случаи можно избежать, если немного изменить логику работы
Ревизора:

- перед проверкой Ревизор запрашивает у РКН копию реестра, которая
  была загружена оператором последний раз(это нужно как раз для того,
  что бы Ревизор и оператор работали по одинаковой копии реестра);
- далее, ведётся проверка блокировки, с сохранением id записей, которые
  не заблокированы;
- если ошибок блокировки не обнаружено, то работа окончена;
- после проверки Ревизор запрашивает у РКН копию реестра опять, на
  тот случай, если как раз за время проверки оператор загрузил новую
  копию реестра;
- если копия рееста не отличается от копии загруженной перед началом
  проверки, то работа окончена;
- id записей, сохранённые на этапе проверки, проверяются по новой копии
  реестра; те id, которые не обнаружены в новой копии реестра, были удалены
  из реестра и поэтому были обнаружены как не заблокированные - эти id
  удаляются из списка незаблокированных.
- в конце получаем список незаблокированных id с учётом того, что у
  оператора мог обновиться список во время проверки Ревизором.

 

 

[alexwin]

8 часов назад, oleg_n сказал:

Пишите письмо на info _на_ rfc-cfa.ru и на cforevizor _на_ rfc-cfa.ru с предложениями по улучшению(об этой ситуации они знают, кстати). Мы такое писали:

 

Праально,пусть совершенствуют черенок.

Изменено 24 марта, 2018 пользователем alexwin
уточнил

[ne-vlezay80]

18 часов назад, max1976 сказал:

Я неправильно понял. У меня ревизор стоял за роутером tp-link TL-ER5120, так там случались пропуски - роутер попросту иногда отбрасывал пакеты от фильтра. Наверное ответы от фильтра слишком быстро прилетали :)

А как идея сделать триггер для iptables? Дело в том, что такая блокировка обходится всего одним правилом на клиентской машине.

[max1976]

15 часов назад, LynxChaus сказал:

Логично. Ибо "чудо коробка" лОжила на стандарты, а бедный Poco на такой авангард не рассчитан.

Причем здесь Poco? Poco всего лишь framework для некоторого функционала, например, логирования, он никак не участвует в анализе пакетов.

[myth]

5 часов назад, ne-vlezay80 сказал:

Дело в том, что такая блокировка обходится всего одним правилом на клиентской машине.

Я шлю Rst в обе стороны

[SokolovS]

1 час назад, myth сказал:

Я шлю Rst в обе стороны

rst_to_server = true в настройках extfilter?

[alexwin]

В 23.03.2018 в 03:17, SokolovS сказал:

Что по итогу делать с приказом РКН? ID статичный или в каждой выгрузке разный? Судя по тексту придется текст писать огромными буквами. 50% под это предложение это нечто.

Я так понимаю,халява кончилась и просто по IP сейчас уже блокировать все тупо не канает,нужно показывать страницу-заглушку в обязательном порядке?

[alibek]

Сомнительно.

На https заглушку не покажешь, только разрыв соединения.

[alexwin]

5 минут назад, alibek сказал:

Сомнительно.

На https заглушку не покажешь, только разрыв соединения.

Ну за исключением https,естественно. Я бегло документ посмотрел,сложилось впечатление,что исключительно по IP как способ блокировки (без dpi) уже не канает.

[Antares]

У меня Extfilter и пропусков 0

[st_re]

51 минуту назад, alexwin сказал:

Ну за исключением https,естественно. Я бегло документ посмотрел,сложилось впечатление,что исключительно по IP как способ блокировки (без dpi) уже не канает.

У меня блокированные по IP ресрсы подаают в набор правил, 80 порт на нгикс умеющий на любой запрос показать страницу заглушки, остальне icmp ip prohibited.

[alexwin]

11 часов назад, st_re сказал:

У меня блокированные по IP ресрсы подаают в набор правил, 80 порт на нгикс умеющий на любой запрос показать страницу заглушки, остальне icmp ip prohibited.

Роутите в тазике и на нем же nginx?

[st_re]

1 час назад, alexwin сказал:

Роутите в тазике и на нем же nginx?

Зачем, вовсе не обязательно. зарулить в отдельный влан, где тазик, 80 порт/tcp можно на много чем.. нгинкс да, на кошку не поставить. Но и весь трафик гнать через писюк не обязательно. на 80 порт много долетать врядли когда будет по такой схеме. там жеж всем сообщают 403 пшелвлес. Я почти также транспарент прокси делал на кошке лет 10 назад. 80 порт (ну уже весь) в влан со сквидом.

[alexwin]

1 час назад, st_re сказал:

Зачем, вовсе не обязательно. зарулить в отдельный влан, где тазик, 80 порт/tcp можно на много чем.. нгинкс да, на кошку не поставить. Но и весь трафик гнать через писюк не обязательно. на 80 порт много долетать врядли когда будет по такой схеме. там жеж всем сообщают 403 пшелвлес. Я почти также транспарент прокси делал на кошке лет 10 назад. 80 порт (ну уже весь) в влан со сквидом.

А как меняете адрес отправителя (nginx),чтобы абонентская машина получила ответ?

[st_re]

ну сводится задача к предыдущей же. Там фря, pf rdr заворачивает все что движется в nginx на 127.0.0.1:80, ответы отправляются обратно в влан. IP-порты все на месте средствами PF RDR. 

[myth]

19 часов назад, SokolovS сказал:

rst_to_server = true в настройках extfilter?

Да

[LynxChaus]

On 3/24/2018 at 1:00 PM, max1976 said:

Причем здесь Poco?

А оно искренне не понимает когда чудо коробко присылает урл в виде 'http://........%B8%A1%E0%B8%B2%'

On 3/24/2018 at 1:00 PM, max1976 said:

Poco всего лишь framework для некоторого функционала, например, логирования, он никак не участвует в анализе пакетов.

Ну-ну :) и Poco::URI(..) тоже сугубо для логов используется?

 

[max1976]

6 часов назад, LynxChaus сказал:

А оно искренне не понимает когда чудо коробко присылает урл в виде 'http://........%B8%A1%E0%B8%B2%'

Ну-ну :) и Poco::URI(..) тоже сугубо для логов используется?

 

В новой версии не используется Poco::URI.

[ne-vlezay80]

В 3/24/2018 в 17:58, myth сказал:

Я шлю Rst в обе стороны

А вдруг пользователи договорятся и он не будет принимать ваши rst.

[user]

RST не от IP второго участника сессии и не будут приниматься системой.

Фильтр отправляет RST от IP второго участника, не от своего IP.

[ne-vlezay80]

1 час назад, user сказал:

RST не от IP второго участника сессии и не будут приниматься системой.

Фильтр отправляет RST от IP второго участника, не от своего IP.

На стороне сайта просто сделают:

iptables -A INPUT -s <ваша подсеть> -p tcp --tcp-flags RST RST -j DROP