snvoronkov Опубликовано 20 апреля, 2018 · Жалоба 15 минут назад, VolanD666 сказал: А зачем у вас сервера то через фильтр ходят? Или вы в смысле что клиенты страдают? Такая архитектура. :-( Единственное разумное место помещения в разрыв. Ну, и клиенты тоже. Особенно понравился бан ubnt. "Никаких значимых сервисов", ага. ДБ (С) Лавров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 20 апреля, 2018 · Жалоба К ч0рному списку надо сразу белый делать :) [и сразу добавить туда ip апстримов] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 20 апреля, 2018 · Жалоба Мдя. А я уж потянулся было обновиться - подожду пока. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 20 апреля, 2018 · Жалоба Да, кстати: СКАТ не блочит 2ip.ru [178.63.151.224] который в бане 178.63.0.0/16 Хотя по Отчётам Ревизора пропусков нету или <1% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба 2 часа назад, VolanD666 сказал: А зачем у вас сервера то через фильтр ходят? Ну например СКАТ просто тупо на аплинке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 20 апреля, 2018 · Жалоба Думается ревизор и не проверяет блокировку этих сетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба 12 минут назад, Urs_ak сказал: Да, кстати: СКАТ не блочит 2ip.ru Обновите СКАТ, начнет блокировать подсети. Мы решили пока не обновляться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 20 апреля, 2018 · Жалоба 10 минут назад, alibek сказал: Обновите СКАТ, начнет блокировать подсети. Мы решили пока не обновляться. Так я тоже не хочу на выходные это ставить :) Кстати коллега спрашивает - на СКАТе ОЗУ не закончится, заблокировать 20 млн. IP ? Кто-нибудь может прокомментировать этот момент? И не будет ли деградации по скорости обработки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба Там ведь эти адреса не поштучно перечисляются, а в подсетях сидят. Да и даже 20 миллионов адресов — это всего лишь 80 МБ ОЗУ. Нагрузки я не вижу, но мы железо с запасом брали, на будущий апгрейд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 20 апреля, 2018 · Жалоба 31 минуту назад, alibek сказал: Обновите СКАТ, начнет блокировать подсети. Мы решили пока не обновляться. а с чего он должен блочить 2ip.ru ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба 1 минуту назад, Mechanic сказал: а с чего он должен блочить 2ip.ru ? В реестре есть 178.63.0.0/16. 2ip.ru у некоторых ресолвится в 178.63.151.224. В этом случае он должен блокироваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 20 апреля, 2018 · Жалоба ясно, у меня открывается на других ip А как решается вопрос со стоп страницей на предмет вставки идентификатора блокировки ? И вообще, как сво стоп- страницу настроить , что-то не нашел в вики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 20 апреля, 2018 · Жалоба 36 минут назад, alibek сказал: Обновите СКАТ, начнет блокировать подсети. Мы решили пока не обновляться. Это где такое? У мну - 7.5. И нового не предлагает (специально "yum clean all" сделал). Блокировки сетей - только через отдельный пакет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба На предыдущей странице написано. Не сам СКАТ обновляется, а к нему утилита, чтобы блокировать по подсетям. Нужно установить пакет blacksubnets и настроить запуск скрипта в кроне. Я это имел ввиду. Я так понимаю, что СКАТ архитектурно блокировать подсетями не умеет, только индивидуальные адреса, а разработчики не решились в облако добавлять адреса для больших подсетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 20 апреля, 2018 · Жалоба 1 минуту назад, alibek сказал: На предыдущей странице написано. Не сам СКАТ обновляется, а к нему утилита, чтобы блокировать по подсетям. Нужно установить пакет blacksubnets и настроить запуск скрипта в кроне. Я так понимаю, что СКАТ архитектурно блокировать подсетями не умеет, только индивидуальные адреса, а разработчики не решились в облако добавлять адреса для больших подсетей. Мня. Ну жык я-же и отзыв там написал. :-) Работает как доктор прописал. Ничего обновлять не надо. Не понравилось? Выключается. Легко: "/usr/libexec/blacksubnets.sh stop" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба 2 минуты назад, snvoronkov сказал: Работает как доктор прописал. Верю. Но пока не буду спешить. К тому же не думаю, что для таких подсетей Ревизор сможет оформить материалы для пропуска. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 апреля, 2018 · Жалоба А если сможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба Ну тогда попадем на штраф. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 20 апреля, 2018 · Жалоба У Карбоновцев были какие-то траблы : Цитата Но 16 апреля с единичными проблемами столкнулись несколько интернет-провайдеров. Оборудование перестало справляться с нагрузкой после того как Роскомнадзором были добавлены крупные подсети. В результате неправильной интеграции с маршрутизаторами 2 млн IP-адресов стали добавляться по 1 штуке в правила фильтрации вместо подсетей, что привело к зависанию серверов. С помощью системы мониторинга техническая поддержка Carbon Soft выявила тех интернет-провайдеров, у кого ещё могут возникнуть проблемы из-за ошибок в скриптах интеграции. 68-ми провайдерам было отправлено оповещение с просьбой обратить внимание на работу маршрутизаторов. https://www.carbonsoft.ru/фильтрация-telegram/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба С Карбоном изначально было ясно, что архитектура у них халтурная. Правда то, что в СКАТ-е не предусмотрели работу с подсетями, для меня неприятным сюрпризом оказалось. Вроде бы технических сложностей особых тут нет. Надеюсь, что они костыли с отдельным скриптом уберут и переработают движок. 17 минут назад, Urs_ak сказал: В результате неправильной интеграции с маршрутизаторами 2 млн IP-адресов стали добавляться по 1 штуке в правила фильтрации вместо подсетей Ага, а теперь давайте добавлять большими подсетями и думать, как метрики "перебить". Смешные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 20 апреля, 2018 · Жалоба 13 минут назад, alibek сказал: Правда то, что в СКАТ-е не предусмотрели работу с подсетями, для меня неприятным сюрпризом оказалось. Вроде бы технических сложностей особых тут нет. Надеюсь, что они костыли с отдельным скриптом уберут и переработают движок. У нас ребята пробовали реализовать что то типа Скат. Я их не смог убедить что подсети нужно в отдельную таблицу засовывать и они остановились только на трёх таблицах - URL, домены и IP адреса, а подсети сбрасывали в таблицу IP. Типа последовательный поиск в двух таблицах у них получался более накладным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 апреля, 2018 · Жалоба Там даже не таблица, а дерево должно быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 апреля, 2018 · Жалоба 29 минут назад, NikAlexAn сказал: Типа последовательный поиск в двух таблицах у них получался более накладным. Отдельная таблица действительно не нужна, только таблица должна быть не IP, а NET. Отдельные адреса сохраняются с маской /32. При правильной организации (дерево) поиск достаточно эффективный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 апреля, 2018 · Жалоба ну по сути это mtree должно быть как в CEF, только т.к. нам не надо заголовки переписывать, а значит и adv таблица не нужна. изи Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 20 апреля, 2018 · Жалоба А ничё что в случае таблицы IP поиск на полное совпадение а в случае сетей ещё и маску проверять? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...