Bigmazy Опубликовано 25 ноября, 2013 · Жалоба 1. DPI вылетает, если уходящий порт вдруг по какой-то причине упал (кабель переподключили), автоматически в этом случае не перезапустился. Отрабатывает детектор аварийной ситуации. Его можно отключить, на ваше усмотрение, напишите письмо нам если требуется, предоставим информацию. Да, брал у VAS вместе с сервером. Нужна диагностика так как до обновления ядра и драйверов все работало без замечаний. Вам было отправлено письмо, что нужно нам предоставить для ее проведения. "Мяч на вашей стороне." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 25 ноября, 2013 · Жалоба Посмотрел перечень карт по вашей ссылке и незаметил ни одной карты с медными 1GB портами где есть bypass (желательно проверенный) и чип intel 82575 82576 82580 82599 рекомендованный вами. Модель с 2GE не подскажите ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 25 ноября, 2013 · Жалоба незаметил ни одной карты с медными 1GB портами где есть bypass Вот тут их целый выводок: http://silicom-usa.com/Gigabit_Ethernet_Bypass_Networking_Server_Adapters С 2-мя портами народ брал PEG2BPi6, проблем не было У 3logic они вроде бы на складе есть http://3logic.ru/?A=5&SI=1&I=38650 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 25 ноября, 2013 · Жалоба С 2-мя портами народ брал PEG2BPi6, проблем не было У 3logic они вроде бы на складе есть http://3logic.ru/?A=5&SI=1&I=38650 Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomTLT Опубликовано 27 ноября, 2013 · Жалоба Облачный сервис для фильтрации по реестрам Роскомнадзора - http://cyberfilter.ru Для подключения не нужны никакие затраты на покупку оборудования. Достаточно всего лишь настроить туннель + BGP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 ноября, 2013 · Жалоба Облачный сервис для фильтрации по реестрам Роскомнадзора - http://cyberfilter.ru Для подключения не нужны никакие затраты на покупку оборудования. Достаточно всего лишь настроить туннель + BGP. Лажа какая-то, за 5 тысяч в месяц. Какой-то ИП, какой-то одностраничный сайт без технических подробностей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomTLT Опубликовано 27 ноября, 2013 · Жалоба Лажа какая-то, за 5 тысяч в месяц. Какой-то ИП, какой-то одностраничный сайт без технических подробностей. 1. 3500 минимальный тарифный план. 2. Чем ИП отличается от ООО с уставным капиталом в 10 тыс. руб ? 3. Не понятна схема работы ? Задавайте вопросы, отвечу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 ноября, 2013 · Жалоба Задавайте вопросы, отвечу. 1. Как блокируется доступ по IP-адресу? На сайте про это вообще ни слова. По BGP приходят маршруты с высоким приоритетом? 2. Насколько я понял, нужно будет использовать DNS-сервер облака. Если при этом у абонента прописан DNS 8.8.8.8, то блокировка работать не будет. Так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 27 ноября, 2013 (изменено) · Жалоба 1. Как блокируется доступ по IP-адресу? На сайте про это вообще ни слова. По BGP приходят маршруты с высоким приоритетом? да вроде все прозрачно там.. по бгп прилетают /32 тех ресурсов, что в реестре, а дальше уже DPI их средствами. вполне себе вариант для тех кто не хочет сам заморачиваться. Изменено 27 ноября, 2013 пользователем bos9 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomTLT Опубликовано 27 ноября, 2013 · Жалоба 1. Как блокируется доступ по IP-адресу? На сайте про это вообще ни слова. По BGP приходят маршруты с высоким приоритетом? 2. Насколько я понял, нужно будет использовать DNS-сервер облака. Если при этом у абонента прописан DNS 8.8.8.8, то блокировка работать не будет. Так? 1. Прилетают маршруты /32 сайтов из реестров. Приоритет (local preference) вы устанавливаете у себя (если хотите). Со стороны сервиса устанавливается только bgp community по принадлежности к тому или иному реестру. 2. Прописывание сторонних DNS абоненту не поможет, т.к. трафик на IP адреса ресурсов из реестров завернется в туннель и уйдет в сервис. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 ноября, 2013 · Жалоба 2. То есть трафик на гугл и прочие CDN будет идти через туннель? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomTLT Опубликовано 27 ноября, 2013 · Жалоба 2. То есть трафик на гугл и прочие CDN будет идти через туннель? Если это сайт расположенный на "сайтах google" (кажется так этот сервис у гугла называется), то - да, трафик для этого хоста завернется в туннель. На другом конце туннеля, он будет обработан и будет отфильтрован только этот сайт/URL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 ноября, 2013 · Жалоба Значит и youtube завернется в туннель, если вдруг в реестре ролик заблокируют? Как сервис определяет IP-адреса тех ресурсов, которые блокируются по имени? Периодическими DNS-запросами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomTLT Опубликовано 27 ноября, 2013 · Жалоба Значит и youtube завернется в туннель, если вдруг в реестре ролик заблокируют? Как сервис определяет IP-адреса тех ресурсов, которые блокируются по имени? Периодическими DNS-запросами? Если заблокируют ролик на ютубе, то морда ютуба завернется на фильтр. Отфильтруется один ролик. Все прожуется, т.к. контент у гугла находится на совершенно других серверах. IP определяются периодическими DNS-запросами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 ноября, 2013 · Жалоба У ютуба и фронтенд порядочный трафик дает. Я об этом и говорю, трафик на облачные и виртуальные сервисы будет заворачиваться в туннель. YouTube, Сайты Google, Службы Google для домена, LJ, VK, фейсбуки — все пойдет через туннель. По поводу периодических DNS-запросов — я так и думал. Это кривое решение. Для вашего сервера DNS вернет один IP, для абонента вернет другой. И фильтр не сработает. Я уж не говорю о Google Cache. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 ноября, 2013 · Жалоба Да, и как фильтруется трафик, проходящий через прокси/анонимайзеры/VPN? Например в браузере Opera с включенным режимом Turbo? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomTLT Опубликовано 28 ноября, 2013 · Жалоба У ютуба и фронтенд порядочный трафик дает. Я об этом и говорю, трафик на облачные и виртуальные сервисы будет заворачиваться в туннель. YouTube, Сайты Google, Службы Google для домена, LJ, VK, фейсбуки — все пойдет через туннель. По поводу периодических DNS-запросов — я так и думал. Это кривое решение. Для вашего сервера DNS вернет один IP, для абонента вернет другой. И фильтр не сработает. Я уж не говорю о Google Cache. 1. Трафик гугла (от автономной системы гугла) всего 3% от общего трафика. Это по статистике одного из весьма не маленьких провайдеров. 2. Что касается трафика, то по опыту могу сказать - реестр РКН + решения местных судов (вот уж кто все без разбора пытается блокировать) - это примерно 1/1000 от общего трафика провайдера. Да, именно так - с 30 гигабит, 30 мегабит на фильтрацию. 3. По запросам DNS - разумеется все предусмотрено. Для этого используется дублирующий механизм DNS RPZ - абонент все равно попадет на фильтр. Можно использовать только DNS RPZ, но тогда выпадут абоненты которые используют собственный DNS или какой-нибудь 8.8.8.8. Но опять же, оператор может завернуть все DNS запросы на свой сервер. Было бы желание. 4. VPN/аномайзеры/Opera+Turbo разумеется никак не фильтруется. Так же как и в других решениях. У нас нет задачи построить китайский фаревол. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 ноября, 2013 · Жалоба 1-2. У разных провайдеров разная статистика. Суммарно подобный трафик может занимать большой объем. И гнать его весь в туннель? 3. Не сработает. Например на облачном сервисе в Тольяти для youtube.com был возвращен IP-адрес 173.194.32.137. А для абонента в Новосибирске был возвращен IP-адрес 195.122.16.50. В результате трафик этого абонента в туннель не завернется и отфильтрован не будет. 4. И это еще один проблемный момент. Допустим зашифрованный VPN перехватывать никто не заставляет. Но HTTP-прокси или SOCKS-прокси должны перехватываться. И в других решениях они перехватываются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 28 ноября, 2013 · Жалоба 1. Трафик гугла (от автономной системы гугла) всего 3% от общего трафика. Это по статистике одного из весьма не маленьких провайдеров. а зачем трафик ОТ гугла тоже идет через вашу систему? или вы проксируете запросы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomTLT Опубликовано 28 ноября, 2013 · Жалоба 1-2. У разных провайдеров разная статистика. Суммарно подобный трафик может занимать большой объем. И гнать его весь в туннель? 3. Не сработает. Например на облачном сервисе в Тольяти для youtube.com был возвращен IP-адрес 173.194.32.137. А для абонента в Новосибирске был возвращен IP-адрес 195.122.16.50. В результате трафик этого абонента в туннель не завернется и отфильтрован не будет. 4. И это еще один проблемный момент. Допустим зашифрованный VPN перехватывать никто не заставляет. Но HTTP-прокси или SOCKS-прокси должны перехватываться. И в других решениях они перехватываются. 1-2. Интересы пользователей везде практически одинаковые. Альтернативы - блокировать все без разбора по IP, покупать DPI, строить свой велосипед. В любом случае выбор за вами. 3. http://en.wikipedia.org/wiki/Response_policy_zone. Будет возвращен адрес фильтра. 4. Использование HTTP-прокси, SOCKS-прокси, VPN и т.д. - это использование пользователем СПЕЦИАЛЬНЫХ мер, для обхода фильтрации, которую вы, как оператор, организовали для соблюдения норм законадательства. По сути это тоже самое, что использовать монтировку/отмычку для вскрытия замка на вашей двери. 1. Трафик гугла (от автономной системы гугла) всего 3% от общего трафика. Это по статистике одного из весьма не маленьких провайдеров. а зачем трафик ОТ гугла тоже идет через вашу систему? или вы проксируете запросы? Проксируем, чтобы вывести сообщение о блокировке ресурса. Алтернатива - слать RST, т.е. обрывать соединение. Это на наш взгляд не корректно по отношению к пользователю и к техподдержке оператора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 ноября, 2013 · Жалоба 3. Только при условии, что пользователь будет направлять DNS-запрос на ваш DNS-сервер. И кстати, этот способ несовместим с GCC (если у оператора он используется). 4. Неверно. HTTP-прокси это не специальная мера, а часть стандарта протокола HTTP. И возможность использования HTTP-прокси есть во всех браузерах, а в некоторых — браузеры для телефонов, Opera, Яндекс Браузер, Интернет (браузер от Mail.Ru) — так использование прокси-сервера вообще изначально включено. Про отмычку можно будет прокуратуре рассказывать, только они этого не оценят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomTLT Опубликовано 28 ноября, 2013 (изменено) · Жалоба 3. Только при условии, что пользователь будет направлять DNS-запрос на ваш DNS-сервер. И кстати, этот способ несовместим с GCC (если у оператора он используется). 4. Неверно. HTTP-прокси это не специальная мера, а часть стандарта протокола HTTP. И возможность использования HTTP-прокси есть во всех браузерах, а в некоторых — браузеры для телефонов, Opera, Яндекс Браузер, Интернет (браузер от Mail.Ru) — так использование прокси-сервера вообще изначально включено. Про отмычку можно будет прокуратуре рассказывать, только они этого не оценят. 3. Не на наш, а на DNS оператора связи, который забирает у нас сформированную RPZ зону. Что такое GCC - если честно, не знаю. 4. Чтобы использовать прокси, нужно знать его IP и он должен быть открытым. Если оператор связи использует прокси (такие еще есть ?), то он сообщает его абоненту и такой прокси не является проблемой. Если абонент сам нашел прокси в инете и начал его использовать для обхода ограничений, то в чем виноват оператор связи ? Чем это отличается от использования абонентом стороннего VPN ? Если у вас настолько невменяемая прокуратура - запретите использование прокси совсем. Хитрый абонент по любому обойдет хоть DPI, хоть не DPI. Можно сделать банальный туннель через SSH и вряд ли вы его как либо заблокируете. У любого решения есть плюсы и минусы. Любое решение можно обойти так или иначе. У нас ведь не китайский фаревол. В конце концов какая цель у вашего бизнеса - усложнить жизнь абонентам или выполняя требования законодательства зарабатывать деньги ? Изменено 28 ноября, 2013 пользователем PhantomTLT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 ноября, 2013 · Жалоба 3. Не на наш, а на DNS оператора связи, который забирает у нас сформированную RPZ зону. Что такое GCC - если честно, не знаю. Суть в том, что если абонент использует сторонний DNS, то значит фильтр его может пропустить. GCC — Google Global Cache. 4. Чтобы использовать прокси, нужно знать его IP и он должен быть открытым. Для использования прокси-сервера в тех браузерах, которые я перечислял, абоненту не нужно знать ничего, оно уже включено. Так что это не хитрый абонент, который через зашифрованный туннель получает доступ к запрещенному ресурсу, а обычный пользователь, который использует Оперу или Яндекс Браузер. А прокуратура при проведении проверки разбираться не будет, а запротоколирует, что в ходе проверки был зафиксирован факт доступности запрещенного ресурса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 28 ноября, 2013 · Жалоба alibek Приведи пример системы которая блокирует все известные методы обхода. Если таких систем нет, то прокуратура в таком случае всегда найдет метод доступа к запрещённому ресурсу, следовательно любая существующая сейчас система это лажа. И причем тут DNS, вроде бы оператор обязан блокировать ресурс находящийся на IP адресе, указном в реестре, для того он там и публикуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 ноября, 2013 · Жалоба Приведи пример системы которая блокирует все известные методы обхода. А причем тут все возможные методы? Речь идет о чистом HTTP (напрямую или через прокси-сервер). И причем тут DNS, вроде бы оператор обязан блокировать ресурс находящийся на IP адресе Неверно. Оператор обязан блокировать то, что указано в реестре. Указан IP-адрес — значит должен блокировать IP-адрес. Указано доменное имя или URL — значит обязан блокировать сайт или страницу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...