у меня так на микротик днс всё в тчении года заруливалось

а оно им надо?

и норм

если Вы его честно проксируете, то пострадают только любители корпоративных сложных DNS

у меня так на микротик днс всё в тчении года заруливалось

если дст 53 порт, то днат ли на локальный порт?

у кого есть свои серверы со свяо амтсофовера

именно про редирект всего 53 к себе

Не надо так делать

Не надо так делать

да нормально, чо

заодно валидацию делать, если DNSSEC указан

Ну может у него лишние 30-40 тыс на штрафы или бюджет на DPI )

да DPI не DPI, в https заглядывать без MITM никто не сможет

а обработку голого HTTP я за DPI не считаю

чтож тогда DPI? :)

чтож тогда DPI? :)

а зачем анализировать? заверни на кальмара, дай ему список блокировки

да DPI не DPI, в https заглядывать без MITM никто не сможет

А чо там с http/2 ?

а зачем анализировать? заверни на кальмара, дай ему список блокировки

Отдельная тема парсинг урл для кальмара. Кодировка ошибки кириллица...

А чо там с http/2 ?

а какая разница? он жеж не заставляет TLS

Отдельная тема парсинг урл для кальмара. Кодировка ошибки кириллица...

RFC на это есть

а какая разница? он жеж не заставляет TLS

Весь http2 сейчас с tls

Does HTTP/2 require encryption? No. After extensive discussion, the Working Group did not have consensus to require the use of encryption (e.g., TLS) for the new protocol. However, some implementations have stated that they will only support HTTP/2 when it is used over an encrypted connection, and currently no browser supports HTTP/2 unencrypted.

де-факто, http2 не заставляет

RFC на это есть

Клали на него реестрописатели

но если кто-то хочет, окей

"some implementations" - это все существующие )

Клали на него реестрописатели

а прямые руки на что?

"some implementations" - это все существующие )

нидырит

интересно почитать доводы рабочей группы

я к чему, что раз допускает, то почему нет? но если шифрованый, то фак ноуп

но если кто-то хочет, окей

А что у нас из имплементаций без tls?

А что у нас из имплементаций без tls?

да хрен его знает, у меня эта зверюга в проде живет оч. недавно. даже не смотрел.

но без TLS работала с рядом клиентов

отсюда делаю вывод — оно без TLS бывает

другое дело, кому оно надо

а прямые руки на что?

Там сюрпризы не предсказуемы

но кто-то до сих пор шлет HTTP/1.0, что поделать

отсюда делаю вывод — оно без TLS бывает

Ну, 2% трафика - это тоже "бывает"

Там сюрпризы не предсказуемы

я знаю, типа знаков мягкого переноса из ворда, когда копируют из решения суда

Сейчас еще quic поднимает голову

народ, а кто на коммутаторах SNR зеркалит? Как зазеркалить только tcp ?

Сейчас еще quic поднимает голову

ябсказал, что уже поднял :)

ябсказал, что уже поднял :)

То пока гугл. Я про сторонние сервисы

То пока гугл. Я про сторонние сервисы

в целом, особой радости не вижу от него

смотрел гуглопрезентацию, там для гугла важное

остальным, как мне кажется, и так нормально

на вопрос “ты хочешь еще одну спецификацию или хер с ним, терпим RTT != 0” я бы ответил второе

в целом, особой радости не вижу от него

Фейловер сессии между каналами

multipath TCP

я к тому, что в каждом случае есть свои фишки

multipath TCP

О, это вообще огонь. Как такое разбирать при наличии двух активных каналов?

О, это вообще огонь. Как такое разбирать при наличии двух активных каналов?

DPI резко высасывает, да

пушо сессию не собрать даже при пяти копиях трафика

Ну то есть РКН каг бэ в рекомендации енто допускает..

Фильтрации а не заворачивания на свои :)

Ну пральн, заипошу весь трафик и скажу "юзайте мои" - все даже проще :)

Т.е. это организационная мера по обеспечению фильтрации в целях соблюдения законодательства. Воть

ну надо некоторые запросы пропускать, некоторые нет

PowerDNS отлично это умеет :)

dst host = mydns — accept dst port = 53 — drop O_o

неееее

надо весь 53 порт к себе

дальше PowerDNS смотрит, что это за запрос. плохой — отвечает адресом заглушки. хороший — пропускает для проксирования Unbound

И для чего PowerDNS? unbound тоже разберётся

Unbound неудобно адреса давать

конфиг пухнет

база MySQL для PowerDNS удобнее

Unbound будет память жрать тоннами, пушо конфиг большой

держать в голове надо много

А HTTP/2 везде включать с HSTS надо, тут и TLS1.3 уже почти вышел

Вон openssl новый рвёт старый ваще)

я бы пока был осторожен с HTTP/2

его реализации покамест были достаточно бажные

сейчас, наверное, лучше

я про безопасность

про Мак устарело :)

Отлично. С точки зрения внесения в списки в судах

Ты же ушел из телекома, откуда такое счастье? )

Ну оно там было.)

Господа, никто не сталкивался с тем, что на DES 1210 на порту растет счетчик FWD Disc Pkts ?

что это за ошибки?

поди STP related

Сомнительно

Ну может у него лишние 30-40 тыс на штрафы или бюджет на DPI )

Добрый день. Почему не возмете себе ZapretService? Дешево.

поделитесь плз докой с техникой безопасности для ИТ компаний

выдать программистам чтобы для обучения и потом в журнале подпись потребовать

Добрый день. Почему не возмете себе ZapretService? Дешево.

Когда денег нет совсем, даже жешево не интересно :-/

денег нет, но вы держитесь

Когда денег нет совсем, даже жешево не интересно :-/

а сорм на чо брать ? )

Я избегаю пользования сервисами с абонентской платой. Купить решение - другое дело.

А сорм... Ну сорм закладывается в бюджет и с высокой степенью вероятности не влезет ?

Точнее не так: приоритет на сормирование у аплинков, своего избежать

Причем, если сормирование не добавит платы за инет.

Вот некоторые согласны, и это интересно.

нат есть? )

ты наверное все же про аутсорминг.

а не сорм у аплинка)

но да, удачи :) у нас один универ уже лишился лицензии по такой схеме