ixi Опубликовано 23 марта, 2018 · Жалоба 1 минуту назад, max1976 сказал: Сам пользуюсь extfilter'ом, никаких пропусков нет. Если ревизор стоит за NAT, тогда может быть все что угодно. Я к тому, что nfqfilter часть адресов пропускает. extfilter работает отлично, с NAT проблем никаких не замечал, всё чисто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 23 марта, 2018 · Жалоба Только что, ixi сказал: Я к тому, что nfqfilter часть адресов пропускает. extfilter работает отлично, с NAT проблем никаких не замечал, всё чисто. Я неправильно понял. У меня ревизор стоял за роутером tp-link TL-ER5120, так там случались пропуски - роутер попросту иногда отбрасывал пакеты от фильтра. Наверное ответы от фильтра слишком быстро прилетали :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 23 марта, 2018 · Жалоба 2 hours ago, ixi said: Я к тому, что nfqfilter часть адресов пропускает. Логично. Ибо "чудо коробка" лОжила на стандарты, а бедный Poco на такой авангард не рассчитан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 24 марта, 2018 (изменено) · Жалоба Снова ревизор две ссылки выдал которые из реестра были удалены. Ох и "чудо коробка". Говорил насчет этого с представителем РКН. Мне он сказал что радиочастотный центр смотрит раз если далее тоже есть пропуски этих же ссылок звонят и делают предписание исправить. Но верить ли его словам? Хотя нам штраф впаивали только когда прокуратура с ркн пришли в живую. Было раз прилично пропусков позвонили из РКН и сказали устраняйте иначе будет плохо. Хотя почитав тему понял что в каждом регионе по-разному со всеми поступают. И будет ли МФИ приводить ревизора к стандартам? Изменено 24 марта, 2018 пользователем arhead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 24 марта, 2018 · Жалоба 1 hour ago, arhead said: Снова ревизор две ссылки выдал которые из реестра были удалены. Ох и "чудо коробка". Таков алгоритм работы Ревизора. У нас часто такое проскакивает, ибо мы скачиваем реестр каждый раз, как только там появляются важные обновления, а это чаще чем раз в час бывает. Пишите письмо на info _на_ rfc-cfa.ru и на cforevizor _на_ rfc-cfa.ru с предложениями по улучшению(об этой ситуации они знают, кстати). Мы такое писали: Quote При проверке может возникнуть ситуация, и возникла у нас, когда Ревизор обнаруживает незаблокированным ресурс, которого уже на данный момент нет в списке. Такое происходит, когда Ревизор проверяет блокировку по реестру более старой версии, чем реестр, использующийся оператором в данный момент. Т.е. у Ревизора версия, где ресурс есть в реестре, а у оператора новый реестр, где уже ресурса нет. Подобные случаи можно избежать, если немного изменить логику работы Ревизора: - перед проверкой Ревизор запрашивает у РКН копию реестра, которая была загружена оператором последний раз(это нужно как раз для того, что бы Ревизор и оператор работали по одинаковой копии реестра); - далее, ведётся проверка блокировки, с сохранением id записей, которые не заблокированы; - если ошибок блокировки не обнаружено, то работа окончена; - после проверки Ревизор запрашивает у РКН копию реестра опять, на тот случай, если как раз за время проверки оператор загрузил новую копию реестра; - если копия рееста не отличается от копии загруженной перед началом проверки, то работа окончена; - id записей, сохранённые на этапе проверки, проверяются по новой копии реестра; те id, которые не обнаружены в новой копии реестра, были удалены из реестра и поэтому были обнаружены как не заблокированные - эти id удаляются из списка незаблокированных. - в конце получаем список незаблокированных id с учётом того, что у оператора мог обновиться список во время проверки Ревизором. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 24 марта, 2018 (изменено) · Жалоба 8 часов назад, oleg_n сказал: Пишите письмо на info _на_ rfc-cfa.ru и на cforevizor _на_ rfc-cfa.ru с предложениями по улучшению(об этой ситуации они знают, кстати). Мы такое писали: Праально,пусть совершенствуют черенок. Изменено 24 марта, 2018 пользователем alexwin уточнил Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 24 марта, 2018 · Жалоба 18 часов назад, max1976 сказал: Я неправильно понял. У меня ревизор стоял за роутером tp-link TL-ER5120, так там случались пропуски - роутер попросту иногда отбрасывал пакеты от фильтра. Наверное ответы от фильтра слишком быстро прилетали :) А как идея сделать триггер для iptables? Дело в том, что такая блокировка обходится всего одним правилом на клиентской машине. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 24 марта, 2018 · Жалоба 15 часов назад, LynxChaus сказал: Логично. Ибо "чудо коробка" лОжила на стандарты, а бедный Poco на такой авангард не рассчитан. Причем здесь Poco? Poco всего лишь framework для некоторого функционала, например, логирования, он никак не участвует в анализе пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 24 марта, 2018 · Жалоба 5 часов назад, ne-vlezay80 сказал: Дело в том, что такая блокировка обходится всего одним правилом на клиентской машине. Я шлю Rst в обе стороны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 24 марта, 2018 · Жалоба 1 час назад, myth сказал: Я шлю Rst в обе стороны rst_to_server = true в настройках extfilter? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 24 марта, 2018 · Жалоба В 23.03.2018 в 03:17, SokolovS сказал: Что по итогу делать с приказом РКН? ID статичный или в каждой выгрузке разный? Судя по тексту придется текст писать огромными буквами. 50% под это предложение это нечто. Я так понимаю,халява кончилась и просто по IP сейчас уже блокировать все тупо не канает,нужно показывать страницу-заглушку в обязательном порядке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 марта, 2018 · Жалоба Сомнительно. На https заглушку не покажешь, только разрыв соединения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 24 марта, 2018 · Жалоба 5 минут назад, alibek сказал: Сомнительно. На https заглушку не покажешь, только разрыв соединения. Ну за исключением https,естественно. Я бегло документ посмотрел,сложилось впечатление,что исключительно по IP как способ блокировки (без dpi) уже не канает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 24 марта, 2018 · Жалоба У меня Extfilter и пропусков 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 24 марта, 2018 · Жалоба 51 минуту назад, alexwin сказал: Ну за исключением https,естественно. Я бегло документ посмотрел,сложилось впечатление,что исключительно по IP как способ блокировки (без dpi) уже не канает. У меня блокированные по IP ресрсы подаают в набор правил, 80 порт на нгикс умеющий на любой запрос показать страницу заглушки, остальне icmp ip prohibited. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 25 марта, 2018 · Жалоба 11 часов назад, st_re сказал: У меня блокированные по IP ресрсы подаают в набор правил, 80 порт на нгикс умеющий на любой запрос показать страницу заглушки, остальне icmp ip prohibited. Роутите в тазике и на нем же nginx? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 марта, 2018 · Жалоба 1 час назад, alexwin сказал: Роутите в тазике и на нем же nginx? Зачем, вовсе не обязательно. зарулить в отдельный влан, где тазик, 80 порт/tcp можно на много чем.. нгинкс да, на кошку не поставить. Но и весь трафик гнать через писюк не обязательно. на 80 порт много долетать врядли когда будет по такой схеме. там жеж всем сообщают 403 пшелвлес. Я почти также транспарент прокси делал на кошке лет 10 назад. 80 порт (ну уже весь) в влан со сквидом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 25 марта, 2018 · Жалоба 1 час назад, st_re сказал: Зачем, вовсе не обязательно. зарулить в отдельный влан, где тазик, 80 порт/tcp можно на много чем.. нгинкс да, на кошку не поставить. Но и весь трафик гнать через писюк не обязательно. на 80 порт много долетать врядли когда будет по такой схеме. там жеж всем сообщают 403 пшелвлес. Я почти также транспарент прокси делал на кошке лет 10 назад. 80 порт (ну уже весь) в влан со сквидом. А как меняете адрес отправителя (nginx),чтобы абонентская машина получила ответ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 марта, 2018 · Жалоба ну сводится задача к предыдущей же. Там фря, pf rdr заворачивает все что движется в nginx на 127.0.0.1:80, ответы отправляются обратно в влан. IP-порты все на месте средствами PF RDR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 25 марта, 2018 · Жалоба 19 часов назад, SokolovS сказал: rst_to_server = true в настройках extfilter? Да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LynxChaus Опубликовано 25 марта, 2018 · Жалоба On 3/24/2018 at 1:00 PM, max1976 said: Причем здесь Poco? А оно искренне не понимает когда чудо коробко присылает урл в виде 'http://........%B8%A1%E0%B8%B2%' On 3/24/2018 at 1:00 PM, max1976 said: Poco всего лишь framework для некоторого функционала, например, логирования, он никак не участвует в анализе пакетов. Ну-ну :) и Poco::URI(..) тоже сугубо для логов используется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 марта, 2018 · Жалоба 6 часов назад, LynxChaus сказал: А оно искренне не понимает когда чудо коробко присылает урл в виде 'http://........%B8%A1%E0%B8%B2%' Ну-ну :) и Poco::URI(..) тоже сугубо для логов используется? В новой версии не используется Poco::URI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 26 марта, 2018 · Жалоба В 3/24/2018 в 17:58, myth сказал: Я шлю Rst в обе стороны А вдруг пользователи договорятся и он не будет принимать ваши rst. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user Опубликовано 26 марта, 2018 · Жалоба RST не от IP второго участника сессии и не будут приниматься системой. Фильтр отправляет RST от IP второго участника, не от своего IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 26 марта, 2018 · Жалоба 1 час назад, user сказал: RST не от IP второго участника сессии и не будут приниматься системой. Фильтр отправляет RST от IP второго участника, не от своего IP. На стороне сайта просто сделают: iptables -A INPUT -s <ваша подсеть> -p tcp --tcp-flags RST RST -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...