Jump to content
Калькуляторы

DPI СКАТ поделитесь опытом

2 часа назад, iMPoSsibLe_iT сказал:

Коллеги,а кто-нить знает как с ними можно связаться дабы узнать подробности? 

@Bigmazy в личку напишите.

 

Если я правильно его с реальной личностью прокареллировал, то это нужный вам человек. :-)

Share this post


Link to post
Share on other sites

Тут вышли требования роскомпозора по блокировке, хотелось бы знать что думает про это СКАТ DPI?

Share this post


Link to post
Share on other sites

где можно найти более развернутую инструкцию как поднять НАТ на СКАТе? не имел дела с развертыванием НАТа фактически на бридже.

Share this post


Link to post
Share on other sites

Если по простому:

1) L3 включение СКАТ (т.е. между абонентами и скат есть L3-устройство ( маршрутизатор) )

абоненты-...-роутер1-СКАТ-роутер2(бордер)-интернет

на роутере2 для NAT пула IP адресов (белых) прописываете маршрут на роутер1 и на этом все

роутер1 ничего про эти белые адреса не знает, так как он имеет дело уже с серыми адресами, который получаются после прохода через скат

аналогично роутер2(бордер) ничего не знает про серые адреса 

2) L2 включение СКАТ (терминация PPPoE/VLAN/QinQ производится на СКАТ , между абонентскими CPE и СКАТ только свичи)

абоненты-СКАТ-...бордер-итернет

в этом случае у СКАТ есть IP (пусть и виртуальный) - весь входящий из инета трафик маршрутизируем на этот IP

Share this post


Link to post
Share on other sites
23 часа назад, iMPoSsibLe_iT сказал:

Коллеги,а кто-нить знает как с ними можно связаться дабы узнать подробности? 

Зашёл на их сайт vasexperts.ru.   Там указан номер (звонил по коду 812). Позвонил, попытался позадавать вопросы(в частности о стоимости поддержки),а мне девушка говорит что представляет компанию ИТ-Град и СКАТ DPI они не занимаются.  

 

Честно признаться я слегка под впечатлением.

1 и 2 уровень ТП (3й уровень ВАС Экспертс) и звонки принимает КЦ ИТ-ГРАД, новых сотрудников набрали, не достаточно обучили, бывает.
Будем разбираться.
На сайте есть форма ее заполните Вам перезвонят, или в личку мне напишите телефон свяжутся.

 

11 часов назад, VolanD666 сказал:

Тут вышли требования роскомпозора по блокировке, хотелось бы знать что думает про это СКАТ DPI?

есть там один вопрос, по которому ждем ответа от Роскомнадзора. Если что то конкретное спросите ответим.

Share this post


Link to post
Share on other sites

Да как бы вопрос один, что делать операторам- владельцам СКАТ? Нужно будет какое-то обновление или какой алгоритм?

Share this post


Link to post
Share on other sites
9 часов назад, VolanD666 сказал:

Да как бы вопрос один, что делать операторам- владельцам СКАТ? Нужно будет какое-то обновление или какой алгоритм?

Как то вставлять на страничку с zapret'ом  хэш, полученный от РЧЦ.. 

Share this post


Link to post
Share on other sites

 Если то, что я тут по ссылкам почитал, то получается полный бред в формировании странички о бликировки. С одной стороны - она должна быть статичным html, с другой стороны должна содержать причину попадания в запретинфо, со 112к элементов в выгрузке :( Есть вариант подсунуть туда гиперссылку прямо на запретинфо, с подсунутым url, а капчу уж юзер вводит. У меня кстати на страничке блокировки все ссылки на проверки приведены, т.е. кому чешется - могут сами разбираться и не разобраться :(  Но мня, у меня скат в одном месте, забор реестра в другом, а веб-сервер вообще в третьем...

Share this post


Link to post
Share on other sites
В 23.03.2018 в 19:23, satboy сказал:

Как то вставлять на страничку с zapret'ом  хэш, полученный от РЧЦ.. 

А если список получает СКАТ и используется страница СКАТа о запрете?

Share this post


Link to post
Share on other sites
В ‎23‎.‎03‎.‎2018 в 15:23, satboy сказал:

Как то вставлять на страничку с zapret'ом  хэш, полученный от РЧЦ.. 

А в чем тут проблема?

Это будет не хеш, а идентификатор. И он наверняка будет постоянным, может быть даже ИНН или номер лицензии.

Так что никаких проблем со страницей блокировки не будет.

Проблема будет в другом, это еще одно слабое место, которое будут использовать.

Например будут перенаправлять посетителей kremlin.ru на страницу заглушки, в которой будет прописан идентификатор оператора-конкурента.

Потом спохватятся и на странице заглушки нужно будет ЭЦП ставить, чтобы ее подделать нельзя было. И скорее всего той самой ЭЦП, с которой нужно работать через Крипто-Про на Windows.

Share this post


Link to post
Share on other sites

И кстати да, а если у меня блочит еще апстрип, как в этом случае быть. Ну т.е. он для подстраховки.

Share this post


Link to post
Share on other sites

Благодарю за разъяснение к настройке НАТа, буду прбовать.

 

Возник вопрос по блокировке контента от РКН, последние несколько дней много пробоев по длинному списку при проверке, общался с РКН, проблема в том что фактически страница то получается заблокированной, но перед тем как получить заглушку, ревизор все таки успевает получить заголовки оригинального сайта, за что и засчитывает нам пропуск... сейчас это около 300-400 страниц в сутки...

Share this post


Link to post
Share on other sites

Включать DPI нужно "в разрыв".

Остальные схемы могут давать пропуски.

Share this post


Link to post
Share on other sites

Тогда пишите в поддержку.

При правильном подключении пропусков не должно быть.

И получить заголовки оригинального сайта Ревизор никак не может, эти пакеты СКАТ дропает.

Они могут проскочить только при пассивной схеме, когда DPI включается в зеркало.

Share this post


Link to post
Share on other sites
В 22.03.2018 в 05:48, VolanD666 сказал:

Тут вышли требования роскомпозора по блокировке, хотелось бы знать что думает про это СКАТ DPI?

получали от них инфу, что направили запрос в РКН, мы тоже дополнительно , сами, отправляли запрос по идентификации блокировки

Share this post


Link to post
Share on other sites

 Простой вопрос, могу ли я в скат6энтри в локальные списки запихать нечто типа *:4786 для блокировки текущей атаки на каталисты ?

Share this post


Link to post
Share on other sites

можете, если укажете IP адрес каталисты

 

Share this post


Link to post
Share on other sites
Цитата

Уважаемый оператор, выпущено дополнение по блокировке подсетей
http://vasexperts.ru/wiki/doku.php?id=dpi:dpi_options:base_functionality:opt_filtration:asnfilter_script:start
Применимо только для установки в разрыв.
 
Рекомендуем перед настройкой сделать бэкап в директории /etc
aslocal.bin
asnum.dscp
--
С уважением, служба поддержки клиентов «ИТ-ГРАД»
Тел: 8-800-700-44-68, +7 (812) 313-88-11
Сайт: https://servicedesk.it-grad.ru

 

Уточните - это обязательно дополнение?

Share this post


Link to post
Share on other sites
10 минут назад, saaremaa сказал:

Уточните - это обязательно дополнение?

В вики зайдите. Это альтернатива дропу пакетов на бордере. Если не намерены выполнять блокировку добуквенно (банить здоровенными блоками по IP), то не ставьте. Однако, будете получать пропуски.

Share this post


Link to post
Share on other sites

Подождите, стоит скат, он должен блокировать реестр. О какой блокировке на бордере идет речь?

Share this post


Link to post
Share on other sites
8 минут назад, VolanD666 сказал:

Подождите, стоит скат, он должен блокировать реестр. О какой блокировке на бордере идет речь?

Он не блокирует подсети по айпи. Совсем. Вот для этого и сделана эта тулза. Кстати, работает как доктор прописал после небольшой доработки напильником:

 

Сделал запуск раз в пять минут вместо минуты и в заголовке крон файла поменял "2>&1 >/dev/null" на ">/dev/null 2>&1". А то задолбал ежеминутными письмами из-за curl. :-)

 

Да, а если кто в скрипте еще и табуляций наставит, то тот будет большой молодец! :-)

Share this post


Link to post
Share on other sites
10 часов назад, snvoronkov сказал:

Он не блокирует подсети по айпи. Совсем. Вот для этого и сделана эта тулза. Кстати, работает как доктор прописал после небольшой доработки напильником:

И выключил...

 

Сегодня в ночь РосКомПозор знатно отлажался. Пачка софтовых репозитариев отпала на серверах.

 

Получаем: Тулза удобная, спасибо. Но подзаконку выполнить уже не представляется возможным без потери функционала не только развлекательных/неуникальных сервисов, но и критичных для функционирования даже самой сети, в связи с полнейшей неадекватностью оператора реестра.

Share this post


Link to post
Share on other sites
1 час назад, snvoronkov сказал:

И выключил...

 

Сегодня в ночь РосКомПозор знатно отлажался. Пачка софтовых репозитариев отпала на серверах.

 

Получаем: Тулза удобная, спасибо. Но подзаконку выполнить уже не представляется возможным без потери функционала не только развлекательных/неуникальных сервисов, но и критичных для функционирования даже самой сети, в связи с полнейшей неадекватностью оператора реестра.

А зачем у вас сервера то через фильтр ходят?

 

Или вы в смысле что клиенты страдают?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now