1. Для блокировка используем

[Morphus]

Доброго!
Если взять такой процессор: https://shop.nag.ru/catalog/02274.protsessory-dlya-servera/23865.cm8066002032301sr2r7
1) Сейчас у меня 4 ядерный Intel(R) Xeon(R) CPU E3-1230 v6 @ 3.50GHz и такая конфигурация:

[port 0]
queues = 0,1; 1,2; 2,3

А допустим если я хочу использовать 6 из 10, как лучше распределить ядра по очередям в настройках фильтра ? У кого как ?
2) это должно увеличить производительность ?

3) Чем больше ядер тем лучше ? Или тут главное частота ?

4) Чем больше памяти под hugepages - тем лучше ?

 

Спасибо!

[arhead]

Сегодня местный РКН прислал списки с адресами почтовых сервером которые надо заблочить. Вот интересно кто это придумал. Заблочу адреса, но почтовые сервера у абонов единицы. Все равно же на всякие яндексы и гуглы будут письма приходитью

[alibek]

А как это письмо выглядело?

Что нужно заблокировать — доступ к почтовику извне или выход почтовика наружу?

И как определены почтовые сервера? Как tcp/25?

[arhead]

Вот содержание письма. Просят заблокировать исход  и вход трафик

Скрытый текст

В связи с выявлением фактов получения на территории Российской
Федерации сообщений электронной почты от запрещенных ресурсов, в том
числе являющихся почтовыми серверами (перечень прилагается), прошу
обеспечить выполнение требований по ограничению доступа к упомянутым
ресурсам, путем фильтрации как исходящего трафика, так и входящего
трафика.
О принятых мерах, с указанием способа ограничения доступа, прошу
доложить в срок до 19.11.2020.

 

[alibek]

Все тупее и тупее.

 

А какие адреса в списке? Ваши или внешние?

[arhead]

1 минуту назад, alibek сказал:

А какие адреса в списке? Ваши или внешние?

Китайские и чуть Амазона. 185.70.40.ХХХ PROTON,CH

[alibek]

Так пусть вносят в реестр, они и заблокируются.

[hRUst]

Тоже пришло письмо, в Excel список ip адресов с подписью PROTONMAIL

Изменено 16 ноября, 2020 пользователем hRUst

[alibek]

Все эти адреса и так есть в реестре, прокуратурой внесены.

Имитация бурной деятельности.

[ixi]

1 час назад, alibek сказал:

Все эти адреса и так есть в реестре, прокуратурой внесены.

Не все. Да ещё и входящий надо как-то блокировать..

[Валдис Б]

у меня открылся mx.chris......com  . Остальные закрыты. Смотрел выборочно. 

Фильтрации согласно списков РКН уже недостаточно? надо чтото еще применять ?

[Связной (С)]

20 часов назад, alibek сказал:

Так пусть вносят в реестр, они и заблокируются.

А входящий трафик к абоненту с них - тоже?

[remos]

33 минуты назад, Связной (С) сказал:

А входящий трафик к абоненту с них - тоже?

Если блокировка из реестра по ip, у вас блокируется только исходящий?

[dryukov]

Если ответ не уйдет то и входящий толку не имеет. Если конечно это будет не тунель.
А так да, нужно городить фильтр на входящие соединения.
Ну и удалять из блокировки нельзя даже если в реестре почистят, ведь блокировку должны тоже письмом отменить.
Так что два реестра блокировок, а резолвить ли имена ? )))

[ixi]

7 минут назад, dryukov сказал:

Если ответ не уйдет то и входящий толку не имеет. Если конечно это будет не тунель.

Или один адрес добавлен в список специально для проверки выполнения и с него будут слать UDP прямо на ревизор. Это ж сколько штрафов поднять можно !

[alex39x]

у нас в новой "табличке для блокировки от РКН"  два адреса не входящих  в реестр на 17.11.20. оба амазоновские. что с этим делать не понятно. такое чувство что всё обнулилось и мы вернулись на 10 лет назад

Изменено 17 ноября, 2020 пользователем alex39x

[ixi]

Итог разговора с РКН:

- блокируйте как знаете, отчитывайтесь что сделали, что именно делать, мы не знаем, нам сверху спустили.

- при чём тут домены -- не знаем.

- если после блокировки через оператора пройдёт такая почта, то ой.

- писем на отмену не ждите.

[dryukov]

Как в январе похоже.
Лучший способ борьбы с сообщениями о минировании по электронной почте - запретить электронную почту, тогда минировать не будут )))
Подтверждение ведь не получат, будут сами разминировать ?
Это сюрреализм какой то ....

[dtn.spawn]

В 16.11.2020 в 12:37, arhead сказал:

выполнение требований по ограничению доступа к упомянутым
ресурсам, путем фильтрации как исходящего трафика, так и входящего

Фильтрация подразумевает блокировку трафика по определенным критериям протокол/порт. Походу в этой ситуации придется блокировать полностью IP адреса.

2 часа назад, Валдис Б сказал:

у меня открылся mx.chris......com

У них в файле он привязан к 185.70.40.102, а по факту резолвится в совсем другой IP.

[alexgreat]

Просто оставлю это здесь....

[sdy_moscow]

35 минут назад, alexgreat сказал:

Просто оставлю это здесь....

 

Какая прекрасная схема... И ведь какой-то <censured> её придумал и нарисовал! Вот только про то, как всё работает он - <censured>, не то что не знал, а даже не задумывался! Поэтому, ответы на все сложные и непонятные для профессионалов вопросы, у него ограничились квадратиками и стрелочками.

 

С таким же успехом я могу составить схему для решения любой проблемы.

 

Например, вот схема для "окончательного" решения проблемы этого поста (блокировок).

1. Изобрести машину времени.

2. Вернуться в прошлое.

3. Дать почитать современный учебник по стеку TCP/IP протоколов тому, кто придумал эти блокировки!

4. Если-же он будет продолжать тупить, то надо еще немного назад вернуться и применить легкое вмешательство в его судьбу, чтобы он никогда не стал тем, кем стал.

 

Согласитесь - это гениально и просто! Жду нобелевскую премию!

[Andrei]

7 часов назад, alexgreat сказал:

Просто оставлю это здесь....

Откуда схемка?

 

6 часов назад, sdy_moscow сказал:

ответы на все сложные и непонятные для профессионалов вопросы, у него ограничились квадратиками и стрелочками.

Так вот же выше написали:

19 часов назад, ixi сказал:

Итог разговора с РКН:

- блокируйте как знаете, отчитывайтесь что сделали, что именно делать, мы не знаем, нам сверху спустили.

- при чём тут домены -- не знаем.

 

[tryaskina]

2 часа назад, Andrei сказал:

Откуда схемка?

https://rkn.gov.ru/news/rsoc/news56266.htm

 

Коллеги, добрый день.
А имеет ли смысл исполнять требование из письма? Планирую ответить, что оператор связи обязан блокировать только ресурсы,включенные в реестр запрещенных, что подтверждается 1) законодательством 2) заявлениями самого РКН (привести ссылку на памятку и разъяснения, данные на онлайн-конференциях (напр., тут https://74.rkn.gov.ru/p21424/conf164.htm)). Но терзают смутные сомненья.

[Связной (С)]

30 минут назад, tryaskina сказал:

А имеет ли смысл исполнять требование из письма?

Если есть желание делать по закону, а не по личной чьей-то просьбе, то конечно.

Еще можно упомянуть, пусть пришлют реквизиты требований прокурора или лучше их копии, по которым ресурсы из списка он решил и постановил заблокировать.

[tryaskina]

13 минут назад, Связной (С) сказал:

Если есть желание делать по закону, а не по личной чьей-то просьбе, то конечно.

Еще можно упомянуть, пусть пришлют реквизиты требований прокурора или лучше их копии, по которым ресурсы из списка он решил и постановил заблокировать.

 

не совсем поняла Вашу мысль. 
Т.е. исполнить нужно, подстраховав себя копиями требований прокуратуры? Как это вяжется с тем, что блокировать следует исключительно то, что федеральный РКН вносит в реестр (в полномочия территориального формирование списка ресурсов не входит, только контроль за исполнением)?