Jump to content

Блокировка сайтов провайдерами

a-zazell
 Share

Блокировка веб ресурса  

569 members have voted

  1. 1. Для блокировка используем


Recommended Posts

admf

admf

Posted
Posted (edited)
В 16.03.2022 в 12:13, wed сказал:

не грузил acl в себя ext все таки по памяти. 

А до сколько увеличили память? у меня оказывается такая же проблема, увеличил до 32G и все равно пишет 

Information ACL - Building ACL from file ***/hosts

В итоге закомментировал в скрипте подготовки файла конфигурацию ipv6 вставку

 

Эта сетка в таблице subnet, там при вставке нет проверки на ipv6, в итоге удалил запись из таблице, эта сетка в записи о блокировке facebook 

Edited by admf
  • Replies 6.1k
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Dystopian

Dystopian

Posted
Posted
В 18.03.2022 в 10:08, flow-control сказал:

Сегодня реестр не можем получить. vigruzki.rkn.gov.ru 504 Gateway Time-out

Только у нас так или ркн лежит?

 

у нас тоже лежит, видимо, для всех

swsn

swsn

Posted
Posted

пропуски поперли, похоже из-за:

Цитата

--- Added subnets ---
Subnet: 2a03:2880:0000:0000:0000:0000:0000:0000/31 for id: 4142515
Subnet: 2a03:2880:0000:0000:0000:0000:0000:0000/31 for id: 4142516
 

 

alibek

alibek

Posted
Posted
В 18.03.2022 в 16:06, sdy_moscow сказал:

Она же теперь не извлекаемая из ключа.

Скоро узнаю.

Вроде бы говорили, что должна быть экспортируемая.

 

В 18.03.2022 в 16:06, sdy_moscow сказал:

ХЗ, что делать.

Подписать вручную, далее использовать файл-запрос с подписью.

Мне РКН как-то ранее такую глупость уже советовал.

sdy_moscow

sdy_moscow

Posted
Posted
В 18.03.2022 в 16:12, alibek сказал:

Скоро узнаю.

Вроде бы говорили, что должна быть экспортируемая.

 

Подписать вручную, далее использовать файл-запрос с подписью.

Мне РКН как-то ранее такую глупость уже советовал.

Не экспортируемая она с этого года, теперь их выдает налоговая, такие у нас новые правила цифровизации-дебилизации.

РКН - они наверное дауны, как они это представляют делать каждый час? ДБ!

alibek

alibek

Posted
Posted
В 18.03.2022 в 16:16, sdy_moscow сказал:

как они это представляют делать каждый час?

Ну поскольку РКН никак не проверяет таймстамп в запросе, то это возможно — не генерировать и подписывать запрос, а вручную создать xml-файл запроса, подписать его и в дальнейшем всегда использовать пару файлов xml+sig.

Такое вполне работает, просто выглядит тупо.

st_re

st_re

Posted
Posted
В 18.03.2022 в 16:16, sdy_moscow сказал:

Не экспортируемая она с этого года, теперь их выдает налоговая, такие у нас новые правила цифровизации-дебилизации.

РКН - они наверное дауны, как они это представляют делать каждый час? ДБ!

так как оно работает с момента появления выгрузок. раз в году руками подписывается xml и далее кормится в их систему год, до скисания подписи. потом процедура повторяется.

YuryD

YuryD

Posted
Posted
В 18.03.2022 в 18:37, st_re сказал:

так как оно работает с момента появления выгрузок. раз в году руками подписывается xml и далее кормится в их систему год, до скисания подписи. потом процедура повторяется.

 Да, работает... Но тут у меня возникла траблема при выгрузке реестра, битый zip летит. Маленький реестр соцсайтов - без проблем, полный - битый. Полагаю что одна из моих ног опять что-то впендюрила левое, завтра вынесу выгруз на другую ip-сеть из своей as.

 

В 18.03.2022 в 16:31, Cramac сказал:

@alibek с прошлогодним все норм, а вот с текущими, что от ФНС...

 Так они же сразу предупреждали, что от фнс работает пока только в фнс ? Вроде для физлиц только так, или что-то поменялось ?

YuryD

YuryD

Posted
Posted
В 18.03.2022 в 20:02, Cramac сказал:

@YuryD странный подход, если только фнс выдает :)

попробую вручную подписать и выгрузить

 Что это Вам даст ? Я физлицо м в лк фнс увидел возможность получения личной эцп для себя, с предупреждением что она будет работать только в фнс. Я не связан у фнс с моей организацией, поэтом даже если выгрузку и дадут - скорее не дадут, по инн-огрн не пройдет мой запрос... Ну и если дадут - запрос не будет засчитан моей конторе :), значит не выгружен конторой.

aalexanderr

aalexanderr

Posted
Posted (edited)
В 16.03.2022 в 12:13, wed сказал:

Похоже что дело в файле hosts в строке

2a03:2880:0000:0000:0000:0000:0000:0000/31, 6/0xfe

Если ее удалить - сразу начинает работать... 

 

А точно дело в памяти? Обычно extfilter явно вываливается - говорит мало памяти. Тут просто залипает и все. 

Hugepages  у меня выделено 8 гб. 

 

как убрать работу с ipv6? у меня он пока не используется.

 

upd. 

убрать можно в скрипте extfilter_maker - там блок закомментировать связанный с ipv6

upd2. 

У меня там был включена опция добавлять все ip для блокировки в режиме моста. 

выключил - все стало хорошо помещаться. 

 

не грузил acl в себя ext все таки по памяти. 

А как собственно говоря зависон этот выглядел ? старые хосты блочились, а новые нет ?

И что это за опция добавлять все IP для блокировки в режиме моста ? Речь об этом: ?

# выгружать в ssls_ips только ip адреса, указанные в реестре.
only_original_ssl_ip = true
 

 

В 18.03.2022 в 12:58, swsn сказал:

пропуски поперли, похоже из-за:

 

Не могу найти эти адреса, они в хостах или же в ssl_ips ?

 

В 16.03.2022 в 23:03, admf сказал:

А до сколько увеличили память? у меня оказывается такая же проблема, увеличил до 32G и все равно пишет 

Information ACL - Building ACL from file ***/hosts

В итоге закомментировал в скрипте подготовки файла конфигурацию ipv6 вставку

 

Эта сетка в таблице subnet, там при вставке нет проверки на ipv6, в итоге удалил запись из таблице, эта сетка в записи о блокировке facebook 

 

Вообще если IPv6 не нужны по идее можно из файла:

zapret.pl убрать или закомментить и в базу они литься не будут больше:

if(defined $content->{ipv6}{value})
        {
                my @ipv6 = @{$content->{ipv6}{value}};
                convertIPv6(\@ipv6);
                push(@ips, @ipv6);
        }

Edited by aalexanderr
aalexanderr

aalexanderr

Posted
Posted
В 20.03.2022 в 08:52, max1976 сказал:

В скрипте extfilter_maker.pl не было поддержки вставки ipv6 в hosts файл. Во вложении патч исправляющий проблему.

 

extfilter_maker.patch 4 \u041a\u0431 · 7 downloads

А проблему можно решить просто отключив ipv6 в zapret.pl ?

zapret.pl убрать или закомментить и в базу они литься не будут больше:

if(defined $content->{ipv6}{value})
        {
                my @ipv6 = @{$content->{ipv6}{value}};
                convertIPv6(\@ipv6);
                push(@ips, @ipv6);
        }

alibek

alibek

Posted
Posted
В 18.03.2022 в 16:12, alibek сказал:

Скоро узнаю.

Экспорт в PFX с помощью P12FromGostCSP_2012 прошел успешно.

Но придется опять компилировать сборку OpenSSL с поддержкой нужных алгоритмов, прошлогодняя не работает.

При запуске прошлогодней сборки openssl engine выдает: 

(dynamic) Dynamic engine loading support
139665714046720:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:113:filename(/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so): libcapi20.so.4: cannot open shared object file: No such file or directory
139665714046720:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:161:
139665714046720:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
139665714046720:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
139665714046720:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1

Хотя работало же в прошлом году.

Опять придется вспоминать, что же я делал.

aalexanderr

aalexanderr

Posted
Posted
В 21.03.2022 в 10:25, alibek сказал:

Экспорт в PFX с помощью P12FromGostCSP_2012 прошел успешно.

Но придется опять компилировать сборку OpenSSL с поддержкой нужных алгоритмов, прошлогодняя не работает.

При запуске прошлогодней сборки openssl engine выдает: 

(dynamic) Dynamic engine loading support
139665714046720:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:113:filename(/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so): libcapi20.so.4: cannot open shared object file: No such file or directory
139665714046720:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:161:
139665714046720:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
139665714046720:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
139665714046720:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1

Хотя работало же в прошлом году.

Опять придется вспоминать, что же я делал.

зачем, зачем вы это делаете ?

 

подпишите на компе, подсуньте файл и отключите генерацию в скрипте и забудьте на год про эту проблему.

Morphus

Morphus

Posted
Posted

image.thumb.png.f34437b84504781dc34001ac1f03ae60.png

Кому-нить приходило такое ? Проверить, отчитаться. Типа почему  приложения работают. Вроде как из-за использования quic. И мы его должны заблочить своими силами.

Так понимаю домен (mail.ttraf.ru) полностью они забанить не могут, так как затронет остальные сервисы, которые должны остаться в работе.

Может кто знает что-то больше об этой ситуации, поделитесь мыслями.

MUY_68

MUY_68

Posted
Posted

Коллеги, добрый день! Мобильное приложения "instagram", "twitter" у кого-нибудь работает? У нас по ревизору пропусков нет, но приложение хоть и с проблемами, работает. Вчера у нас со стороны РКН у всех были выездные проверки.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.