[snvoronkov]

15 минут назад, VolanD666 сказал:

А зачем у вас сервера то через фильтр ходят?

 

Или вы в смысле что клиенты страдают?

Такая архитектура. :-( Единственное разумное место помещения в разрыв.

 

Ну, и клиенты тоже. Особенно понравился бан ubnt. "Никаких значимых сервисов", ага. ДБ (С) Лавров.

[Urs_ak]

К ч0рному списку надо сразу белый делать :)

[и сразу добавить туда ip апстримов]

[NikAlexAn]

Мдя.

А я уж потянулся было обновиться - подожду пока.

[Urs_ak]

Да, кстати: СКАТ не блочит 2ip.ru [178.63.151.224] который в бане 178.63.0.0/16

 

Хотя по Отчётам Ревизора пропусков нету или <1%

 

[alibek]

2 часа назад, VolanD666 сказал:

А зачем у вас сервера то через фильтр ходят?

Ну например СКАТ просто тупо на аплинке.

[Rivia]

Думается ревизор и не проверяет блокировку этих сетей.

[alibek]

12 минут назад, Urs_ak сказал:

Да, кстати: СКАТ не блочит 2ip.ru

Обновите СКАТ, начнет блокировать подсети.

Мы решили пока не обновляться.

[Urs_ak]

10 минут назад, alibek сказал:

Обновите СКАТ, начнет блокировать подсети.

Мы решили пока не обновляться.

Так я тоже не хочу на выходные это ставить :)

 

Кстати коллега спрашивает - на СКАТе ОЗУ не закончится, заблокировать 20 млн. IP ?

Кто-нибудь может прокомментировать этот момент?

И не будет ли деградации по скорости обработки?

[alibek]

Там ведь эти адреса не поштучно перечисляются, а в подсетях сидят.

Да и даже 20 миллионов адресов — это всего лишь 80 МБ ОЗУ.

Нагрузки я не вижу, но мы железо с запасом брали, на будущий апгрейд.

[Mechanic]

31 минуту назад, alibek сказал:

Обновите СКАТ, начнет блокировать подсети.

Мы решили пока не обновляться.

а с чего он должен блочить 2ip.ru ?

[alibek]

1 минуту назад, Mechanic сказал:

а с чего он должен блочить 2ip.ru ?

В реестре есть 178.63.0.0/16.

2ip.ru у некоторых ресолвится в 178.63.151.224.

В этом случае он должен блокироваться.

[Mechanic]

ясно, у меня открывается на других ip

 

А как решается вопрос со стоп страницей на предмет вставки идентификатора блокировки ?

И вообще, как сво стоп- страницу настроить , что-то не нашел в вики.

[snvoronkov]

36 минут назад, alibek сказал:

Обновите СКАТ, начнет блокировать подсети.

Мы решили пока не обновляться.

Это где такое?

 

У мну - 7.5. И нового не предлагает (специально "yum clean all" сделал). Блокировки сетей - только через отдельный пакет.

[alibek]

На предыдущей странице написано.

Не сам СКАТ обновляется, а к нему утилита, чтобы блокировать по подсетям.

Нужно установить пакет blacksubnets и настроить запуск скрипта в кроне.

Я это имел ввиду.

Я так понимаю, что СКАТ архитектурно блокировать подсетями не умеет, только индивидуальные адреса, а разработчики не решились в облако добавлять адреса для больших подсетей.

[snvoronkov]

1 минуту назад, alibek сказал:

На предыдущей странице написано.

Не сам СКАТ обновляется, а к нему утилита, чтобы блокировать по подсетям.

Нужно установить пакет blacksubnets и настроить запуск скрипта в кроне.

Я так понимаю, что СКАТ архитектурно блокировать подсетями не умеет, только индивидуальные адреса, а разработчики не решились в облако добавлять адреса для больших подсетей.

Мня. Ну жык я-же и отзыв там написал. :-) Работает как доктор прописал. Ничего обновлять не надо.

 

Не понравилось? Выключается. Легко: "/usr/libexec/blacksubnets.sh stop"

[alibek]

2 минуты назад, snvoronkov сказал:

Работает как доктор прописал.

Верю. Но пока не буду спешить.

К тому же не думаю, что для таких подсетей Ревизор сможет оформить материалы для пропуска.

[VolanD666]

А если сможет?

[alibek]

Ну тогда попадем на штраф.

[Urs_ak]

У Карбоновцев были какие-то траблы :

Цитата

 

Но 16 апреля с единичными проблемами столкнулись несколько интернет-провайдеров. Оборудование перестало справляться с нагрузкой после того как Роскомнадзором были добавлены крупные подсети. В результате неправильной интеграции с маршрутизаторами 2 млн IP-адресов стали добавляться по 1 штуке в правила фильтрации вместо подсетей, что привело к зависанию серверов.

 

С помощью системы мониторинга техническая поддержка Carbon Soft выявила тех интернет-провайдеров, у кого ещё могут возникнуть проблемы из-за ошибок в скриптах интеграции. 68-ми провайдерам было отправлено оповещение с просьбой обратить внимание на работу маршрутизаторов.

 

https://www.carbonsoft.ru/фильтрация-telegram/

[alibek]

С Карбоном изначально было ясно, что архитектура у них халтурная.

Правда то, что в СКАТ-е не предусмотрели работу с подсетями, для меня неприятным сюрпризом оказалось. Вроде бы технических сложностей особых тут нет.

Надеюсь, что они костыли с отдельным скриптом уберут и переработают движок.

 

17 минут назад, Urs_ak сказал:

В результате неправильной интеграции с маршрутизаторами 2 млн IP-адресов стали добавляться по 1 штуке в правила фильтрации вместо подсетей

Ага, а теперь давайте добавлять большими подсетями и думать, как метрики "перебить".

Смешные.

[NikAlexAn]

13 минут назад, alibek сказал:

Правда то, что в СКАТ-е не предусмотрели работу с подсетями, для меня неприятным сюрпризом оказалось. Вроде бы технических сложностей особых тут нет.

Надеюсь, что они костыли с отдельным скриптом уберут и переработают движок.

У нас ребята пробовали реализовать что то типа Скат.

Я их не смог убедить что подсети нужно в отдельную таблицу засовывать и они остановились только на трёх таблицах - URL, домены и IP адреса, а подсети сбрасывали в таблицу IP. Типа последовательный поиск в двух таблицах у них получался более накладным. 

[VolanD666]

Там даже не таблица, а дерево должно быть.

[alibek]

29 минут назад, NikAlexAn сказал:

Типа последовательный поиск в двух таблицах у них получался более накладным.

Отдельная таблица действительно не нужна, только таблица должна быть не IP, а NET.

Отдельные адреса сохраняются с маской /32.

При правильной организации (дерево) поиск достаточно эффективный.

[VolanD666]

ну по сути это mtree должно быть как в CEF, только т.к. нам не надо заголовки переписывать, а значит и adv таблица не нужна. изи

[NikAlexAn]

А ничё что в случае таблицы IP поиск на полное совпадение а в случае сетей ещё и маску проверять?