[zlolotus]

Сегодня использовали коробочку от ркн, для проверки реестра.

 

В итоге она выявила около 500 https ссылок доступных, они у пользователей не открываются, но ип доступен.

 

Как мне сказали, они проверяют по доступности ип.

 

Подскажите, что делать в данной ситуации?

 

P.S

 

Используем СКАТ-20 Entry

[infery]

Подскажите, что делать в данной ситуации?

Проверять со снятой галкой "проверка доступности IP-адресов". Мы так и делаем, все нормально. Им нужно сказать только, чтоб вы фильтруете по URL.

[YuryD]

А вот ссылку, что входит в техподдерку scat6entry - не подкинете ? Деньги малые, но хотелось бы подробнее.

Могу ли я запросить аудит текушего ската, с рекомендациями о необходимых действиях(железо, ОС)? Могу ли я запросить обновление системы скат вашими спецами?

[DimaM]

Могу ли я запросить аудит текушего ската, с рекомендациями о необходимых действиях(железо, ОС)? Могу ли я запросить обновление системы скат вашими спецами?

 

Да, конечно. Трудно сказать, что не входит, так как еще никому ни в чем не отказывали :)

[YuryD]

Могу ли я запросить аудит текушего ската, с рекомендациями о необходимых действиях(железо, ОС)? Могу ли я запросить обновление системы скат вашими спецами?

 

Да, конечно. Трудно сказать, что не входит, так как еще никому ни в чем не отказывали :)

Не хочу навязываться :) Но - наверное влезу, через ЛК это возможно? Год назад, при покупке - всё было здорово, мне - понравилось. Привёз коробку, накатал ОС, дал контроль - и всё заколосилось само. С тех пор - лажу в этот серый ящик крайне редко - мечта сисадмина :)

Еще бы индульгенцию выдали. Я неоднократно об этом спрашивал.

[DimaM]

через ЛК это возможно?

 

ЛК это ServiceDesk?

[YuryD]

через ЛК это возможно?

 

ЛК это ServiceDesk?

 

Ну да. Просто не вижу пока необходимости низкоприоритетными задачами вас грузить.

[DimaM]

Ну да. Просто не вижу пока необходимости низкоприоритетными задачами вас грузить

 

Эх, все бы так :)

А так, да, через SD можно заказать.

[YuryD]

А вот что с этим делать? - письмо РКН, хотя на эти ресурсы выдается заглушка....

 

Управление Роскомнадзора по ... области просит Вас принять меры по ограничению доступа и недопущению переадресации на другие адреса следующих сайтов:

 

http://www.bobfilm.net

http://www.dream-film.net

http://www.kinokubik.com

http://www.kinozal.tv

http://www.kinobolt.ru

http://www.rutor.org

http://www.seedoff.net

http://www.torrentor.net

http://www.tushkan.net

http://www.tvserial-online.net

http://www.wood-film.ru

http://www.kinovo.tv

http://www.rutracker.org

http://www.bigcinema.tv

[alibek]

Что в письме написано, то и делать.

Ограничить доступ и недопустить переадресацию.

У меня СКАТ эти адреса блокирует.

[YuryD]

Что в письме написано, то и делать.

Ограничить доступ и недопустить переадресацию.

У меня СКАТ эти адреса блокирует.

Научите, как запретить переадресацию, сделанную на чужом сервере. У меня сейчас тоже, но в процессе тестирования этих url у меня вылезла переадресация, затем - пропала, и пошла норм блокировка.

[alibek]

Если используется СКАТ, то переадресация вылезти не может.

СКАТ перенаправит клиента на заглушку раньше, чем ему ответит веб-сервер.

[YuryD]

Если используется СКАТ, то переадресация вылезти не может.

СКАТ перенаправит клиента на заглушку раньше, чем ему ответит веб-сервер.

Если бы я сегодня, своими глазами не видел в огнелисе, при открытии rutracker.org страничку ww1... Запротоколировать не успел, пошел по списку из письма - везде пошла штатная заглушка от ската. Или эти урлы в реестр внесли оперативненько. На момент получения письма их там не было, что и ркновец подтвердил, и попросил заблочить.

[Inp]

Когда будет выйдет новая версия с индивидуальными списками?

На данный вопрос в тикетнице нет ответа более 5 дней

[NX_BIT]

Добрый День!

Имеем в fastdpi_slave_0.log следующую ошибку

 

[WARNING ][000015509651579876] L2TP : invalid size packet_3 : size=317/8, offset=8, size_l2tp=14953

[WARNING ][000016430457618448] L2TP : invalid size packet_3 : size=77/8, offset=8, size_l2tp=14953

[WARNING ][000017259537501712] L2TP : invalid size packet_3 : size=309/8, offset=8, size_l2tp=14953

[WARNING ][000017314868823288] L2TP : invalid size packet_3 : size=317/8, offset=8, size_l2tp=14953

[WARNING ][000023509808180696] L2TP : invalid size packet_3 : size=35/2429, offset=2429, size_l2tp=256

 

Понятно что проблема в размере пакета, но в следствии чего она возникает? в не корректном поднятии сессии или не возможности согласовать размер пакета?

[DimaM]

Имеем в fastdpi_slave_0.log следующую ошибку

 

Судя по приведенным данным в лог затесались отладочные сообщения, которые в данном случае говорят не об ошибке,

а о фрагментации пакетов в туннеле L2TP. Уберем их в патче, а пока можете их игнорировать.

 

Когда будет выйдет новая версия

 

Версия вышла, но документация задерживается на пару дней.

[NX_BIT]

Имеем в fastdpi_slave_0.log следующую ошибку

 

Судя по приведенным данным в лог затесались отладочные сообщения, которые в данном случае говорят не об ошибке,

а о фрагментации пакетов в туннеле L2TP. Уберем их в патче, а пока можете их игнорировать.

 

Когда будет выйдет новая версия за суть проблемы.

 

Версия вышла, но документация задерживается на пару дней.

 

Хотелось бы разобраться, просто есть абоненты использующие VipNet, который на нашей сети отказывается работать, хз по каким причинам.

Думал хоть тут удастся зацепиться.

[DimaM]

Думал хоть тут удастся зацепиться.

 

В dpi есть возможность записи трафика в pcap файл (выбрав что записывать по имени протокола или по IP адресу/CIDR,

можно даже всю линию записать если скорость диска позволяет).

Расковыривание потом этих записей в Wireshark нередко помогало нашим клиентам разобраться

с самыми загадочными проблемами :)

[NX_BIT]

DimaM

Не могли бы Вы подсказать как запустить снифер, полистал ман, не нашел.

[DimaM]

полистал ман, не нашел

 

Хинт: вверху любой страницы есть поиск, если там набрать, например, "запись в PCAP", то найдете

Документация по этой функциональности в разделе Опции|Lawful Interception (начиная с главной страницы)

 

Пример. Запишем трафик по IP:

 

1) в /etc/dpi/fastdpi.conf добавим строчку

ajb_save_ip=192.168.0.1

в которой указываем интересующий нас IP

2) делаем service fastdpi reload

и эта настройка подхватится без перезагрузки

3) выжидаем какое-то время, комментируем или удаляем эту строчку в конфиге, и опять выполняем service fastdpi reload

4) забираем записанные pcap файлы из каталога /var/dump/dpi

 

Главное (!) не забудьте выключить запись, а то весь диск заполнится.

[saaremaa]

А Скат может отдать при блокировке по списку РКН не страницу-заглушку а код HTTP 451?

[DimaM]

А Скат может отдать при блокировке по списку РКН не страницу-заглушку а код HTTP 451

 

Если не указан редирект, то СКАТ отдает код 403

Пожалуй, добавим настройку чтобы отдавал жаждущим 451 :)

 

PS

Можете кстати сами провести эксперимент, как будут реагировать пользователи и браузеры на новый код :)

Выполните этот скрипт-патчер и положите получившийся файл fastdpi.ptc вместо оригинала /usr/sbin/fastdpi

hexdump -ve '1/1 "%.2X"' /usr/sbin/fastdpi|sed "s/485454502F312E312034303320466F7262696464656E/485454502F312E312034353120466F7262696464656E/g"|xxd -r -p > fastdpi.ptc
chmod +x fastdpi.ptc

в конфиге не забудьте закомментарить настройку black_list_redirect

Изменено 10 февраля, 2016 пользователем DimaM

[saaremaa]

Работает с версией fastdpi.x86_64 - 4.0-0 на предыдущей не заработало. Пришлось обновиться. Заголовки в приложении.

 

federal_black_list=1 включает автоматическую загрузку и применение реестра из облачного сервиса

(0 или false - отключает)

Возможные значения:

1 - российский список

2 - приватный список оператора

3 - белорусский список

А можно в будущем комбинировать опции 1+2, а то получается мы берем из Вашего облака списки, но проверялка РКН периодически ругается и хотелось бы иметь возможность блокировать в ручном режиме параллельно с Вашим списком из облака.

[DimaM]

А можно в будущем комбинировать опции 1+2

хотелось бы иметь возможность блокировать в ручном режиме параллельно с Вашим списком из облака.

 

Это вы не так поняли, что такое 2 - это приватный список, который загружается из нашего же облака (если у вас есть с нами договор на оказание услуги

подготовки для вас персонального списка по определенным правилам), а свой собственный список в дополнение к федеральному вы и так можете подгружать

см. в доке описание custom_url_black_list

[saaremaa]

Ок. Что делать если СКАТ-6 по спискам из облака пропускает сайты?