1. Для блокировка используем

[admf]

В 16.03.2022 в 12:13, wed сказал:

не грузил acl в себя ext все таки по памяти. 

А до сколько увеличили память? у меня оказывается такая же проблема, увеличил до 32G и все равно пишет

Information ACL - Building ACL from file ***/hosts

В итоге закомментировал в скрипте подготовки файла конфигурацию ipv6 вставку

 

Эта сетка в таблице subnet, там при вставке нет проверки на ipv6, в итоге удалил запись из таблице, эта сетка в записи о блокировке facebook 

Изменено 16 марта, 2022 пользователем admf

[flow-control]

Сегодня реестр не можем получить. vigruzki.rkn.gov.ru 504 Gateway Time-out

Только у нас так или ркн лежит?

 

[Dystopian]

В 18.03.2022 в 10:08, flow-control сказал:

Сегодня реестр не можем получить. vigruzki.rkn.gov.ru 504 Gateway Time-out

Только у нас так или ркн лежит?

 

у нас тоже лежит, видимо, для всех

[nevsik]

В 18.03.2022 в 10:52, Dystopian сказал:

е лежит, видимо, дл

Да, у меня тоже не выгружаются списки с часа ночи

Изменено 18 марта, 2022 пользователем nevsik

[swsn]

пропуски поперли, похоже из-за:

Цитата

--- Added subnets ---
Subnet: 2a03:2880:0000:0000:0000:0000:0000:0000/31 for id: 4142515
Subnet: 2a03:2880:0000:0000:0000:0000:0000:0000/31 for id: 4142516
 

 

[Cramac]

Все привет. А кто то пробовал выгружать подпись от фнс? по старой схеме не пошло, или у меня не тот P12FromGostCSP

[alibek]

В прошлом году я пробовал.

Были какие-то заморочки, но выгрузилось.

В этом еще не пробовал.

[Cramac]

@alibek с прошлогодним все норм, а вот с текущими, что от ФНС...

[sdy_moscow]

В 18.03.2022 в 14:31, Cramac сказал:

@alibek с прошлогодним все норм, а вот с текущими, что от ФНС...

Она же теперь не извлекаемая из ключа. ХЗ, что делать. РКН тупит как обычно.

[alibek]

В 18.03.2022 в 16:06, sdy_moscow сказал:

Она же теперь не извлекаемая из ключа.

Скоро узнаю.

Вроде бы говорили, что должна быть экспортируемая.

 

В 18.03.2022 в 16:06, sdy_moscow сказал:

ХЗ, что делать.

Подписать вручную, далее использовать файл-запрос с подписью.

Мне РКН как-то ранее такую глупость уже советовал.

[sdy_moscow]

В 18.03.2022 в 16:12, alibek сказал:

Скоро узнаю.

Вроде бы говорили, что должна быть экспортируемая.

 

Подписать вручную, далее использовать файл-запрос с подписью.

Мне РКН как-то ранее такую глупость уже советовал.

Не экспортируемая она с этого года, теперь их выдает налоговая, такие у нас новые правила цифровизации-дебилизации.

РКН - они наверное дауны, как они это представляют делать каждый час? ДБ!

[alibek]

В 18.03.2022 в 16:16, sdy_moscow сказал:

как они это представляют делать каждый час?

Ну поскольку РКН никак не проверяет таймстамп в запросе, то это возможно — не генерировать и подписывать запрос, а вручную создать xml-файл запроса, подписать его и в дальнейшем всегда использовать пару файлов xml+sig.

Такое вполне работает, просто выглядит тупо.

[st_re]

В 18.03.2022 в 16:16, sdy_moscow сказал:

Не экспортируемая она с этого года, теперь их выдает налоговая, такие у нас новые правила цифровизации-дебилизации.

РКН - они наверное дауны, как они это представляют делать каждый час? ДБ!

так как оно работает с момента появления выгрузок. раз в году руками подписывается xml и далее кормится в их систему год, до скисания подписи. потом процедура повторяется.

[YuryD]

В 18.03.2022 в 18:37, st_re сказал:

так как оно работает с момента появления выгрузок. раз в году руками подписывается xml и далее кормится в их систему год, до скисания подписи. потом процедура повторяется.

 Да, работает... Но тут у меня возникла траблема при выгрузке реестра, битый zip летит. Маленький реестр соцсайтов - без проблем, полный - битый. Полагаю что одна из моих ног опять что-то впендюрила левое, завтра вынесу выгруз на другую ip-сеть из своей as.

 

В 18.03.2022 в 16:31, Cramac сказал:

@alibek с прошлогодним все норм, а вот с текущими, что от ФНС...

 Так они же сразу предупреждали, что от фнс работает пока только в фнс ? Вроде для физлиц только так, или что-то поменялось ?

[Cramac]

@YuryD странный подход, если только фнс выдает :)

попробую вручную подписать и выгрузить

[YuryD]

В 18.03.2022 в 20:02, Cramac сказал:

@YuryD странный подход, если только фнс выдает :)

попробую вручную подписать и выгрузить

 Что это Вам даст ? Я физлицо м в лк фнс увидел возможность получения личной эцп для себя, с предупреждением что она будет работать только в фнс. Я не связан у фнс с моей организацией, поэтом даже если выгрузку и дадут - скорее не дадут, по инн-огрн не пройдет мой запрос... Ну и если дадут - запрос не будет засчитан моей конторе :), значит не выгружен конторой.

[Cramac]

@YuryD не не, не путайте ту подпись что был в лк фнс и квалифицированную на ооо. 

вот это

https://www.nalog.gov.ru/rn77/related_activities/ucfns/

[aalexanderr]

В 16.03.2022 в 12:13, wed сказал:

Похоже что дело в файле hosts в строке

2a03:2880:0000:0000:0000:0000:0000:0000/31, 6/0xfe

Если ее удалить - сразу начинает работать... 

 

А точно дело в памяти? Обычно extfilter явно вываливается - говорит мало памяти. Тут просто залипает и все. 

Hugepages  у меня выделено 8 гб. 

 

как убрать работу с ipv6? у меня он пока не используется.

 

upd. 

убрать можно в скрипте extfilter_maker - там блок закомментировать связанный с ipv6

upd2. 

У меня там был включена опция добавлять все ip для блокировки в режиме моста. 

выключил - все стало хорошо помещаться. 

 

не грузил acl в себя ext все таки по памяти. 

А как собственно говоря зависон этот выглядел ? старые хосты блочились, а новые нет ?

И что это за опция добавлять все IP для блокировки в режиме моста ? Речь об этом: ?

# выгружать в ssls_ips только ip адреса, указанные в реестре.
only_original_ssl_ip = true
 

 

В 18.03.2022 в 12:58, swsn сказал:

пропуски поперли, похоже из-за:

 

Не могу найти эти адреса, они в хостах или же в ssl_ips ?

 

В 16.03.2022 в 23:03, admf сказал:

А до сколько увеличили память? у меня оказывается такая же проблема, увеличил до 32G и все равно пишет

Information ACL - Building ACL from file ***/hosts

В итоге закомментировал в скрипте подготовки файла конфигурацию ipv6 вставку

 

Эта сетка в таблице subnet, там при вставке нет проверки на ipv6, в итоге удалил запись из таблице, эта сетка в записи о блокировке facebook 

 

Вообще если IPv6 не нужны по идее можно из файла:

zapret.pl убрать или закомментить и в базу они литься не будут больше:

if(defined $content->{ipv6}{value})
        {
                my @ipv6 = @{$content->{ipv6}{value}};
                convertIPv6(\@ipv6);
                push(@ips, @ipv6);
        }

Изменено 19 марта, 2022 пользователем aalexanderr

[max1976]

В скрипте extfilter_maker.pl не было поддержки вставки ipv6 в hosts файл. Во вложении патч исправляющий проблему.

 

extfilter_maker.patch

[aalexanderr]

В 20.03.2022 в 08:52, max1976 сказал:

В скрипте extfilter_maker.pl не было поддержки вставки ipv6 в hosts файл. Во вложении патч исправляющий проблему.

 

extfilter_maker.patch 4 \u041a\u0431 · 7 downloads

А проблему можно решить просто отключив ipv6 в zapret.pl ?

zapret.pl убрать или закомментить и в базу они литься не будут больше:

if(defined $content->{ipv6}{value})
        {
                my @ipv6 = @{$content->{ipv6}{value}};
                convertIPv6(\@ipv6);
                push(@ips, @ipv6);
        }

[alibek]

В 18.03.2022 в 16:12, alibek сказал:

Скоро узнаю.

Экспорт в PFX с помощью P12FromGostCSP_2012 прошел успешно.

Но придется опять компилировать сборку OpenSSL с поддержкой нужных алгоритмов, прошлогодняя не работает.

При запуске прошлогодней сборки openssl engine выдает:

(dynamic) Dynamic engine loading support
139665714046720:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:113:filename(/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so): libcapi20.so.4: cannot open shared object file: No such file or directory
139665714046720:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:161:
139665714046720:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
139665714046720:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
139665714046720:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1

Хотя работало же в прошлом году.

Опять придется вспоминать, что же я делал.

[aalexanderr]

В 21.03.2022 в 10:25, alibek сказал:

Экспорт в PFX с помощью P12FromGostCSP_2012 прошел успешно.

Но придется опять компилировать сборку OpenSSL с поддержкой нужных алгоритмов, прошлогодняя не работает.

При запуске прошлогодней сборки openssl engine выдает:

(dynamic) Dynamic engine loading support
139665714046720:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:113:filename(/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so): libcapi20.so.4: cannot open shared object file: No such file or directory
139665714046720:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:161:
139665714046720:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
139665714046720:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
139665714046720:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1

Хотя работало же в прошлом году.

Опять придется вспоминать, что же я делал.

зачем, зачем вы это делаете ?

 

подпишите на компе, подсуньте файл и отключите генерацию в скрипте и забудьте на год про эту проблему.

[Morphus]

Кому-нить приходило такое ? Проверить, отчитаться. Типа почему  приложения работают. Вроде как из-за использования quic. И мы его должны заблочить своими силами.

Так понимаю домен (mail.ttraf.ru) полностью они забанить не могут, так как затронет остальные сервисы, которые должны остаться в работе.

Может кто знает что-то больше об этой ситуации, поделитесь мыслями.

[Cramac]

@Morphus нам пришло об выездной проверки только. 

[MUY_68]

Коллеги, добрый день! Мобильное приложения "instagram", "twitter" у кого-нибудь работает? У нас по ревизору пропусков нет, но приложение хоть и с проблемами, работает. Вчера у нас со стороны РКН у всех были выездные проверки.