Илья Дмитриевич Опубликовано 11 апреля, 2022 · Жалоба Странно что они из гос услуг свой сертификат не поставили https://www.gosuslugi.ru/tls Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 апреля, 2022 · Жалоба В 11.04.2022 в 17:02, Илья Дмитриевич сказал: Странно что они из гос услуг свой сертификат не поставили https://www.gosuslugi.ru/tls Без добавления в систему их (госуслуг) корневого, оно всё равно работать не будет.. но учитывая что глобалсайн работает по системе "ни войны ни мира", тоесть уже месяц валидатит нам домен... при этом есть компания, скажем ООО Ромашка, идём в ник ру, выбираем 2 одинаковых церта от глобайсайна на romashka.com и romashka.ru и первый выписывается кажется даже раньше чем вписываем строку для проверки в ДНС, а второй уже неделю всё проверяется и, судя по тому что месяц висит другой .ru на другую компанию, перспективы туманны... пока LE наше фсё... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 11 апреля, 2022 · Жалоба В 11.04.2022 в 17:27, st_re сказал: Без добавления в систему их (госуслуг) корневого, оно всё равно работать не будет.. но учитывая что глобалсайн работает по системе "ни войны ни мира", тоесть уже месяц валидатит нам домен... при этом есть компания, скажем ООО Ромашка, идём в ник ру, выбираем 2 одинаковых церта от глобайсайна на romashka.com и romashka.ru и первый выписывается кажется даже раньше чем вписываем строку для проверки в ДНС, а второй уже неделю всё проверяется и, судя по тому что месяц висит другой .ru на другую компанию, перспективы туманны... пока LE наше фсё... Мы 29 Mar 2022 получили от них серт, задержка была 4-5 рабочих дней, но мы были в первых рядах. Сейчас желающих вагон, а проверяющих в ручную домены на под санкционность - единицы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 апреля, 2022 · Жалоба В 11.04.2022 в 17:34, bike сказал: Мы 29 Mar 2022 получили от них серт, задержка была 4-5 рабочих дней, но мы были в первых рядах. Сейчас желающих вагон, а проверяющих в ручную домены на под санкционность - единицы. ну у нас висит с, не помню, 12-15 марта.. еще в списке были тавте итд старые, и это продление старого церта по старой цене.. через сутки тип у него тип сменился на глобайсайн и валидатят... правда там получилось *.<DOMAIN> и Validated Org а не Validated Domain. возможно это ухудшает ситуацию.. а те 2 на ООО Ромашка, там простой церт *.romashka.ru с 4 апреля висит (точно такой же на тоже юрлицо *.romashka.com выписался за считанные минуты... и пофиг на проверки.)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 11 апреля, 2022 · Жалоба В 11.04.2022 в 17:54, st_re сказал: *.<DOMAIN> и Validated Org В это вероятно проблема, мы то же хотели Validated Org - нам сразу сказали, что это совсем в ручном режиме. Решили взять самый простой серт, проще потом нормальный выпустить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 апреля, 2022 · Жалоба В 11.04.2022 в 18:00, bike сказал: В это вероятно проблема, мы то же хотели Validated Org - нам сразу сказали, что это совсем в ручном режиме. Решили взять самый простой серт, проще потом нормальный выпустить. мы бы тоже взяли что по проще, но там было продление того что было, а когда поняли что процесс затянулся, уже и ЛЕ выпустили и теперь ждём у моря погоды... старый уже истёк и теперь а не всё ли равно когда оно там родится.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wrecker Опубликовано 20 апреля, 2022 · Жалоба Господа, а никто не брался дорабатывать extfilter для блокировки Instagram и других приложений все таки? Это же становится чувствительной проблемой малых операторов как мы. Кто как решает вопрос блокировки Instagram? Думал что народ вбудоражен и уже есть решение, а тут даже не обсуждается ничего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 11:22, wrecker сказал: а тут даже не обсуждается ничего Обсуждается в Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 13:22, wrecker сказал: Господа, а никто не брался дорабатывать extfilter для блокировки Instagram и других приложений все таки? Это же становится чувствительной проблемой малых операторов как мы. Кто как решает вопрос блокировки Instagram? Думал что народ вбудоражен и уже есть решение, а тут даже не обсуждается ничего. Я блокирнул ip, которые в теме в предыдущем посте указывали Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevsik Опубликовано 20 апреля, 2022 · Жалоба https://github.com/vel21ripn/nDPI Я вот такое на сервера устанавливаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wrecker Опубликовано 20 апреля, 2022 · Жалоба On 4/20/2022 at 12:26 PM, nevsik said: https://github.com/vel21ripn/nDPI Я вот такое на сервера устанавливаю. Это уже ближе. Спасибо. Но тут вопрос схемы включения. Ведь такая nDPI должна быть "в разрыв" включена. Значит это ставить нужно на роутер, выходит серверами заменять стоящий CISCO ASR ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 15:15, wrecker сказал: Значит это ставить нужно на роутер Нет, конечно. Если ставится "в разрыв", то это будет прозрачно для сетевого оборудования. DPI должен включаться между BRAS и абонентами, или между BRAS и аплинком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevsik Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 15:15, wrecker сказал: Это уже ближе. Спасибо. Но тут вопрос схемы включения. Ведь такая nDPI должна быть "в разрыв" включена. Значит это ставить нужно на роутер, выходит серверами заменять стоящий CISCO ASR ? У меня BRAS на linux, вот я прям на них и режу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илья Дмитриевич Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 16:25, nevsik сказал: У меня BRAS на linux, вот я прям на них и режу. а на скока стабильно работает ? много ресурсов съело? вы в связке с iptables запускаете или может через dpdk ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevsik Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 16:25, nevsik сказал: У меня BRAS на linux, вот я прям на них и режу. Один сервак уже неделю работает, норм все. Ресурсов почти не ест. В связке с iptables запушено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илья Дмитриевич Опубликовано 20 апреля, 2022 · Жалоба iptables -A INPUT -m ndpi --facebook -j DROP типа того? еще вроде можно просто к шейперу привязать и резать скорость в сторону facebook Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevsik Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 16:53, Илья Дмитриевич сказал: iptables -A INPUT -m ndpi --facebook -j DROP типа того? еще вроде можно просто к шейперу привязать и резать скорость в сторону facebook Да именно так. К шейперу не привязывал, тут не подскажу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 17:14, nevsik сказал: Да именно так. К шейперу не привязывал, тут не подскажу. насколько ресурсоёмко ? и я правильно понимаю, что вы дополнительно используете extfilter для РКН ? а данный openDPI для блокировки L7 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 20 апреля, 2022 · Жалоба ndpi не работает с фрагментированными пакетами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 20 апреля, 2022 · Жалоба В 20.04.2022 в 23:32, ne-vlezay80 сказал: ndpi не работает с фрагментированными пакетами. т.е. если допустим клиент будет использовать goodbyedpi, коряво фрагментировать пакеты и прочие ухищрения, то ndpi работать не будет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 20 апреля, 2022 (изменено) · Жалоба И такой глупый вопрос кто-нибудь использует 1 фильтр на 2 браса ? В текущий момент схема mirror, 1 брас, линк 10g, трафика 6 гигов. Скрытый текст Хотелось бы разделить нагрузку по схеме mirror: 2 браса, 2 порта 10g, 1 порт sender. Я правильно понимаю, что extfilter в схеме mirror так будет работать с 2мя брасами и 2мя входящими портами ? Скрытый текст И так же вопрос с 2мя брасами схема inline, настройка портов в таком случае будет выглядеть так ?: 0 ядро так же уходит в зрительный зал для работы основного процесса ? и допустим по 4 ядра на порт этого достаточно, чтобы прокачать 3-4 гига в схеме inline ? или лучше оставаться на зеркале ? [port 0] queues = 0,2;1,3;2,4;3,5 type = subscriber mapto = 1 [port 1] = queues = 0,6;1,7;2,8;3,9 type = network mapto = 0 [port 2] queues = 0,10;1,11;2,12;3,13 type = subscriber mapto = 3 [port 3] queues = 0,14;1,15;2,16;3,17 type = network mapto = 2 Скрытый текст Изменено 20 апреля, 2022 пользователем aalexanderr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 20 апреля, 2022 · Жалоба А как между абонентами фильтровать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Илья Дмитриевич Опубликовано 21 апреля, 2022 (изменено) · Жалоба В 20.04.2022 в 17:14, nevsik сказал: Да именно так. К шейперу не привязывал, тут не подскажу. Попробовал развернуть на бордере на debian 10 4.19.0-20-amd64 что то какие то лаги возникают перестает трафик ходить . Стал смотреть вроде как в ядре у меня не в компилирована опция CONFIG_UNUSED_SYMBOLS=y на скока она критична ? И еще интересно на какой версии линукса у вас работает ? и где у вас ndpi стоит? Изменено 21 апреля, 2022 пользователем Илья Дмитриевич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 апреля, 2022 · Жалоба В 20.04.2022 в 23:53, aalexanderr сказал: т.е. если допустим клиент будет использовать goodbyedpi, коряво фрагментировать пакеты и прочие ухищрения, то ndpi работать не будет ? Он может даже mtu минимальный поставить и не будет. Смотрите в сторону suricata в режиме nfq. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevsik Опубликовано 21 апреля, 2022 · Жалоба В 20.04.2022 в 23:04, aalexanderr сказал: насколько ресурсоёмко ? и я правильно понимаю, что вы дополнительно используете extfilter для РКН ? а данный openDPI для блокировки L7 ? extfilter стоит " с боку", в принимает зеркало с брасов, а npdi не посредственно на брасах поднят для блокировки L7. В 21.04.2022 в 03:03, Илья Дмитриевич сказал: Попробовал развернуть на бордере на debian 10 4.19.0-20-amd64 что то какие то лаги возникают перестает трафик ходить . Стал смотреть вроде как в ядре у меня не в компилирована опция CONFIG_UNUSED_SYMBOLS=y на скока она критична ? И еще интересно на какой версии линукса у вас работает ? и где у вас ndpi стоит? CONFIG_UNUSED_SYMBOLS, тоже не включена данная опция. Вот такая версия у меня Linux NAS11 4.19.0-20-amd64 В цепочке forward правило стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...