Добрый день.
Мы работаем над реализацией фильтрации в соответствии с Реестром запрещенных сайтов Роскомнадзор и
нас интересует ваше мнение и опыт по ряду вопросов:
- Какая схема выгрузки и применения реестра больше соответсвует Вашим потребностям:
- маршрутизатор самостоятельно по расписанию выгружает данные Реестра и применяет их для фильтрации трафика
- внешний сервер выгружает данные реестра и распространяет их среди устройств, выполняющих функции фильтрации
- Если используется сервер, то:
- какое программное обеспечение используется для выгрузки Реестра и для распространения данных - собственная
разработка, что-то из open source, коммерческий продукт, прочее?
- в каком виде сервер распространяет данные реестра между сетевыми фильтрами?
- какой протокол используется для распространения данных?
- есть ли и используется ли обратная связь от маршрутизаторов для контроля применения ими фильтров?
- Требуется ли одновременно с распространением данных реестра РКН распространять тем же способом другие аналогичные данные,
например, собственные параметры фильтрации?
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Реестр запрещенных сайтов Роскомнадзор
Реестр запрещенных сайтов Роскомнадзор
"Константин Веснинский / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru"
Re: Реестр запрещенных сайтов Роскомнадзор
Добрый день!
Используем unix машину для выгрузки реестра, грузим скриптами.
Траффик на ip адреса запрещенных ресурсов заворачивается на ту же машину для проверки url'а и блокируется, если url в реестре.
IP адреса ресурсов по сети анонсирует bgp спикер. Как-то так.
Было бы здорово потестить ваше решение, но я так понимаю что оно только на стадии проектирования?
Используем unix машину для выгрузки реестра, грузим скриптами.
Траффик на ip адреса запрещенных ресурсов заворачивается на ту же машину для проверки url'а и блокируется, если url в реестре.
IP адреса ресурсов по сети анонсирует bgp спикер. Как-то так.
Было бы здорово потестить ваше решение, но я так понимаю что оно только на стадии проектирования?
Re: Реестр запрещенных сайтов Роскомнадзор
Мое мнение такое:
1. Скрипт на сервере производит выгрузку (делов то, запрос подписать openssl да ответную xml распарсить)
Результат работы скрипта - актуальные данные в базе postgresql.
2. В базу могут быть добавлены собственные правила, которые не затираются реестром. (правила могут как запрещать конкретные сайты, так и запрещать применение определенных ip или доменов из реестра)
3. Скрипт генерирует данные для загрузки в устройства (они могут быть совершенно разных вендоров)
4. Обратная связь в виде перечитывания конфига и сверке с базой. + аналог "агента ревизора" который проверяет реестр и ругается в систему мониторинга.
Как это работает у меня:
1. Загружается реестр, парсится, складывается в базу данных.
2. Подготавливается Diff правил.
3. В зависимости от устройства и его особенностей генерируется список правил (iptables/ipset/ndpi)
4. Производится загрузка в устройства.
5. Производится подсчет кол-ва правил на устройстве и сверка с базой
6. Запускается проверка своим "агентом ревизор"
- о всех проблемах уходят сообщения в zabbix.
Общение базы и клиента(устройства фильтрации) осуществляется по udp, клент-серверная часть на перле.
1. Скрипт на сервере производит выгрузку (делов то, запрос подписать openssl да ответную xml распарсить)
Результат работы скрипта - актуальные данные в базе postgresql.
2. В базу могут быть добавлены собственные правила, которые не затираются реестром. (правила могут как запрещать конкретные сайты, так и запрещать применение определенных ip или доменов из реестра)
3. Скрипт генерирует данные для загрузки в устройства (они могут быть совершенно разных вендоров)
4. Обратная связь в виде перечитывания конфига и сверке с базой. + аналог "агента ревизора" который проверяет реестр и ругается в систему мониторинга.
Как это работает у меня:
1. Загружается реестр, парсится, складывается в базу данных.
2. Подготавливается Diff правил.
3. В зависимости от устройства и его особенностей генерируется список правил (iptables/ipset/ndpi)
4. Производится загрузка в устройства.
5. Производится подсчет кол-ва правил на устройстве и сверка с базой
6. Запускается проверка своим "агентом ревизор"
- о всех проблемах уходят сообщения в zabbix.
Общение базы и клиента(устройства фильтрации) осуществляется по udp, клент-серверная часть на перле.
Re: Реестр запрещенных сайтов Роскомнадзор
anton1o писал(а):Было бы здорово потестить ваше решение, но я так понимаю что оно только на стадии проектирования?
Есть наработки, но в целом сейчас на стадии проектирования.
"Константин Веснинский / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru"
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 53 гостя