ну да, как-то так

они фоточки присылают чего там открылось

он раз в n-ое время проверяет сайты на работоспособность типо яндекса и в случае если сайт не доступен то вылезает ошибка

мне как то наслали коллекцию хентая.

у нас нет заглушки на хттпс, ревизор не ругается, все ок

у нас был такоей подключен через роутер с глючным днс и они нас заколебали что у них ошибки сыпятся

если ничего не открылось, то все нормально.

в смысле - не показывается заглушка на закрытый хттпс

https://habrahabr.ru/post/267851/ вот тут как-то интересно, надо повникать

т.е не обязательно там должна заглушка быть. если что-то спорное - человек смотрит. я так это понимаю.

карбон редуктор похоже в след версии это выкатит

т.е в отчетах в кабинете было что всякие ошибки php открываются, или 404 уже. инспектор по такому не звонит

как-то отсекают

по адрес-листам на микротике кто-нибудь блочил?

аксесс листы сейчас по URL работают

по адрес-листам на микротике кто-нибудь блочил?

адрес-листы имеется ввиду? мы так делаем но по IP

адрес-листы имеется ввиду? мы так делаем но по IP

да

по URL как-то страшновато

не понятно как оно будет резолвить

Так, а в реестре и по URL и по IP сайты есть?

это только на маленьком канале можно. на большом сдохнет оно

а сааб вам потом скажет что плохо настроили.

это только на маленьком канале можно. на большом сдохнет оно

Ну вот я тоже так думаю

от двух гигов плохо станет, наверно

от двух гигов плохо станет, наверно

да не

да не

Надо протестить, лишь бы BGP не сдохла

Доброго дня. коллеги, у кого нибудь есть под рукой табличка с произодительностю Cisco 28xx/29xx/44xx при разных типах нагрузки?

Так, а в реестре и по URL и по IP сайты есть?

в реестре есть записи, ктр надо блочить по ип, причем весь трафик , их уже 760 штук

в реестре есть записи, ктр надо блочить по ип, причем весь трафик , их уже 760 штук

спс

в реестре есть записи, ктр надо блочить по ип, причем весь трафик , их уже 760 штук

Вот я всё хотел узнать - а где указано что надо ВЕСЬ ТРАФИК блочить к ним? В рекомендациях от РКН?

Вот я всё хотел узнать - а где указано что надо ВЕСЬ ТРАФИК блочить к ним? В рекомендациях от РКН?

ага, в них

Скользко очень - "рекомендуется"

ну так на то эт и рекомендации )

а вот кто как блочит domain wildcard?

карбон редуктор, а как он это делает хз

на своих dns'ах их заблочить не проблема

с ним понятно. а вот чтобы не сливать весь трафик в него?

чой-та совсем ничего разумного не придумывается. ;(

интересно, как РКН расценивает блокировку на нашем DNS, если мы не блокируем альтернативные?

если верить той же самой "рекомендации", то плохо расценивает

Где то читал, что рекомендуют DNS-спуфинг использовать

что крайне странно- если уж рекомендуют мудрить с днс, то почему не рекомендуют блочить впн, прокси и прочие фригейты?

какая-то полумера. Или "блочьте as is, а если обходят блокировки, то и ладно", или "старательно боритесь с любыми попытками обхода и мыслепреступлениями"

про рекомендации спуфинга - это где написано было?

http://eais.rkn.gov.ru/docs/Recomendation.pdf

про спуфинг ни слова.

сказано про фильтрацию...

не сказано как...

нинадо спуфить, абоненты обидяться (

и вообще чего это вы в днс трафик вмешиваетесь )

ну вот да. корпораты некоторые точно свои DNS с левыми зонами используют.

а как иначе? завернуть DNS запросы на сервак, который будет по payload фильтровать?

стрёмно...

какой вообще смысл в этой возне с ДНС?

надо сразу идти по пути нормального дпи

кхм...

начинать с колхоза на nDPI

Абонентам бы не на нас обижаться, а на тех бармалеев, что всю эту хрень придумали и старательно внедряют

со своим что хотите делайте, а чужой днс это уже нарушение связности

если денег нет

DPI?

конечно

начинать с колхоза на nDPI

Бгг

надо сразу идти по пути нормального дпи

а как нормальный дпи пофильтрует https?

RST

по доменам - пофильтрует

проблема в нормальном DPI на пару Тбит/с.

да, анализирует домен

Взлетит, если денег на pfring не жалко

так в чем дело? Ну не ставьте в разрыв

ну то есть, не в самом DPI, а в деньгах, конечно...

сваливайте в зеркало и шлите RST

если гигабиты жевать надо

RST куда слать? сливать весь трафик в зеркало?!

RST, очевидно, слать клиентам

сливать DNS - не вопрос. но весь трафик - это жёстко

unreal

а в чем жесть?

у меня в одной коробке 5 карточек по 20x10Г портов на каждой. как это слить?

и куда?

да, таких коробок не одна.

ой всё

ndpi уже достаточно работоспосбен? Когда в последний раз глядел обсуждение, там как-то ворохом непонятного было

и денег нет на арбор какойнить?

или чотам на такиз объёмах

и денег нет на арбор какойнить?

Ойвэй

чем арбор поможет?

ndpi уже достаточно работоспосбен? Когда в последний раз глядел обсуждение, там как-то ворохом непонятного было

хз, костылестроение то еще

Можно через призму, но это неудобно тоже

требует рук и напильника

Сливать в сторону можно не весь трафик, а, например, строго то, что в реестре + разрезовленное. Хотя, с учётом гуглоутубов- много будет, да

как разресолвить *.domain.com?

тьфу, блин...

дак вот. Схема с днс тем и привлекла, что напильник не нужен и от обостренного желания местного РКН помониторить в своё время очень спасло

схема с днс - это что?

блочить на своих днс?

ага