Перейти к содержимому
Калькуляторы

DPI СКАТ поделитесь опытом

2 часа назад, iMPoSsibLe_iT сказал:

Коллеги,а кто-нить знает как с ними можно связаться дабы узнать подробности? 

@Bigmazy в личку напишите.

 

Если я правильно его с реальной личностью прокареллировал, то это нужный вам человек. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут вышли требования роскомпозора по блокировке, хотелось бы знать что думает про это СКАТ DPI?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

где можно найти более развернутую инструкцию как поднять НАТ на СКАТе? не имел дела с развертыванием НАТа фактически на бридже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если по простому:

1) L3 включение СКАТ (т.е. между абонентами и скат есть L3-устройство ( маршрутизатор) )

абоненты-...-роутер1-СКАТ-роутер2(бордер)-интернет

на роутере2 для NAT пула IP адресов (белых) прописываете маршрут на роутер1 и на этом все

роутер1 ничего про эти белые адреса не знает, так как он имеет дело уже с серыми адресами, который получаются после прохода через скат

аналогично роутер2(бордер) ничего не знает про серые адреса 

2) L2 включение СКАТ (терминация PPPoE/VLAN/QinQ производится на СКАТ , между абонентскими CPE и СКАТ только свичи)

абоненты-СКАТ-...бордер-итернет

в этом случае у СКАТ есть IP (пусть и виртуальный) - весь входящий из инета трафик маршрутизируем на этот IP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 часа назад, iMPoSsibLe_iT сказал:

Коллеги,а кто-нить знает как с ними можно связаться дабы узнать подробности? 

Зашёл на их сайт vasexperts.ru.   Там указан номер (звонил по коду 812). Позвонил, попытался позадавать вопросы(в частности о стоимости поддержки),а мне девушка говорит что представляет компанию ИТ-Град и СКАТ DPI они не занимаются.  

 

Честно признаться я слегка под впечатлением.

1 и 2 уровень ТП (3й уровень ВАС Экспертс) и звонки принимает КЦ ИТ-ГРАД, новых сотрудников набрали, не достаточно обучили, бывает.
Будем разбираться.
На сайте есть форма ее заполните Вам перезвонят, или в личку мне напишите телефон свяжутся.

 

11 часов назад, VolanD666 сказал:

Тут вышли требования роскомпозора по блокировке, хотелось бы знать что думает про это СКАТ DPI?

есть там один вопрос, по которому ждем ответа от Роскомнадзора. Если что то конкретное спросите ответим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да как бы вопрос один, что делать операторам- владельцам СКАТ? Нужно будет какое-то обновление или какой алгоритм?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, VolanD666 сказал:

Да как бы вопрос один, что делать операторам- владельцам СКАТ? Нужно будет какое-то обновление или какой алгоритм?

Как то вставлять на страничку с zapret'ом  хэш, полученный от РЧЦ.. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Если то, что я тут по ссылкам почитал, то получается полный бред в формировании странички о бликировки. С одной стороны - она должна быть статичным html, с другой стороны должна содержать причину попадания в запретинфо, со 112к элементов в выгрузке :( Есть вариант подсунуть туда гиперссылку прямо на запретинфо, с подсунутым url, а капчу уж юзер вводит. У меня кстати на страничке блокировки все ссылки на проверки приведены, т.е. кому чешется - могут сами разбираться и не разобраться :(  Но мня, у меня скат в одном месте, забор реестра в другом, а веб-сервер вообще в третьем...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 23.03.2018 в 19:23, satboy сказал:

Как то вставлять на страничку с zapret'ом  хэш, полученный от РЧЦ.. 

А если список получает СКАТ и используется страница СКАТа о запрете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В ‎23‎.‎03‎.‎2018 в 15:23, satboy сказал:

Как то вставлять на страничку с zapret'ом  хэш, полученный от РЧЦ.. 

А в чем тут проблема?

Это будет не хеш, а идентификатор. И он наверняка будет постоянным, может быть даже ИНН или номер лицензии.

Так что никаких проблем со страницей блокировки не будет.

Проблема будет в другом, это еще одно слабое место, которое будут использовать.

Например будут перенаправлять посетителей kremlin.ru на страницу заглушки, в которой будет прописан идентификатор оператора-конкурента.

Потом спохватятся и на странице заглушки нужно будет ЭЦП ставить, чтобы ее подделать нельзя было. И скорее всего той самой ЭЦП, с которой нужно работать через Крипто-Про на Windows.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И кстати да, а если у меня блочит еще апстрип, как в этом случае быть. Ну т.е. он для подстраховки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Благодарю за разъяснение к настройке НАТа, буду прбовать.

 

Возник вопрос по блокировке контента от РКН, последние несколько дней много пробоев по длинному списку при проверке, общался с РКН, проблема в том что фактически страница то получается заблокированной, но перед тем как получить заглушку, ревизор все таки успевает получить заголовки оригинального сайта, за что и засчитывает нам пропуск... сейчас это около 300-400 страниц в сутки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Включать DPI нужно "в разрыв".

Остальные схемы могут давать пропуски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда пишите в поддержку.

При правильном подключении пропусков не должно быть.

И получить заголовки оригинального сайта Ревизор никак не может, эти пакеты СКАТ дропает.

Они могут проскочить только при пассивной схеме, когда DPI включается в зеркало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 22.03.2018 в 05:48, VolanD666 сказал:

Тут вышли требования роскомпозора по блокировке, хотелось бы знать что думает про это СКАТ DPI?

получали от них инфу, что направили запрос в РКН, мы тоже дополнительно , сами, отправляли запрос по идентификации блокировки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Простой вопрос, могу ли я в скат6энтри в локальные списки запихать нечто типа *:4786 для блокировки текущей атаки на каталисты ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можете, если укажете IP адрес каталисты

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

Уважаемый оператор, выпущено дополнение по блокировке подсетей
http://vasexperts.ru/wiki/doku.php?id=dpi:dpi_options:base_functionality:opt_filtration:asnfilter_script:start
Применимо только для установки в разрыв.
 
Рекомендуем перед настройкой сделать бэкап в директории /etc
aslocal.bin
asnum.dscp
--
С уважением, служба поддержки клиентов «ИТ-ГРАД»
Тел: 8-800-700-44-68, +7 (812) 313-88-11
Сайт: https://servicedesk.it-grad.ru

 

Уточните - это обязательно дополнение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, saaremaa сказал:

Уточните - это обязательно дополнение?

В вики зайдите. Это альтернатива дропу пакетов на бордере. Если не намерены выполнять блокировку добуквенно (банить здоровенными блоками по IP), то не ставьте. Однако, будете получать пропуски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подождите, стоит скат, он должен блокировать реестр. О какой блокировке на бордере идет речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, VolanD666 сказал:

Подождите, стоит скат, он должен блокировать реестр. О какой блокировке на бордере идет речь?

Он не блокирует подсети по айпи. Совсем. Вот для этого и сделана эта тулза. Кстати, работает как доктор прописал после небольшой доработки напильником:

 

Сделал запуск раз в пять минут вместо минуты и в заголовке крон файла поменял "2>&1 >/dev/null" на ">/dev/null 2>&1". А то задолбал ежеминутными письмами из-за curl. :-)

 

Да, а если кто в скрипте еще и табуляций наставит, то тот будет большой молодец! :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, snvoronkov сказал:

Он не блокирует подсети по айпи. Совсем. Вот для этого и сделана эта тулза. Кстати, работает как доктор прописал после небольшой доработки напильником:

И выключил...

 

Сегодня в ночь РосКомПозор знатно отлажался. Пачка софтовых репозитариев отпала на серверах.

 

Получаем: Тулза удобная, спасибо. Но подзаконку выполнить уже не представляется возможным без потери функционала не только развлекательных/неуникальных сервисов, но и критичных для функционирования даже самой сети, в связи с полнейшей неадекватностью оператора реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, snvoronkov сказал:

И выключил...

 

Сегодня в ночь РосКомПозор знатно отлажался. Пачка софтовых репозитариев отпала на серверах.

 

Получаем: Тулза удобная, спасибо. Но подзаконку выполнить уже не представляется возможным без потери функционала не только развлекательных/неуникальных сервисов, но и критичных для функционирования даже самой сети, в связи с полнейшей неадекватностью оператора реестра.

А зачем у вас сервера то через фильтр ходят?

 

Или вы в смысле что клиенты страдают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.