Элтекс

Добрый день.
Мы работаем над реализацией фильтрации в соответствии с Реестром запрещенных сайтов Роскомнадзор и
нас интересует ваше мнение и опыт по ряду вопросов:

- Какая схема выгрузки и применения реестра больше соответсвует Вашим потребностям:
- маршрутизатор самостоятельно по расписанию выгружает данные Реестра и применяет их для фильтрации трафика
- внешний сервер выгружает данные реестра и распространяет их среди устройств, выполняющих функции фильтрации
- Если используется сервер, то:
- какое программное обеспечение используется для выгрузки Реестра и для распространения данных - собственная
разработка, что-то из open source, коммерческий продукт, прочее?
- в каком виде сервер распространяет данные реестра между сетевыми фильтрами?
- какой протокол используется для распространения данных?
- есть ли и используется ли обратная связь от маршрутизаторов для контроля применения ими фильтров?
- Требуется ли одновременно с распространением данных реестра РКН распространять тем же способом другие аналогичные данные,
например, собственные параметры фильтрации?

Добрый день!
Используем unix машину для выгрузки реестра, грузим скриптами.
Траффик на ip адреса запрещенных ресурсов заворачивается на ту же машину для проверки url'а и блокируется, если url в реестре.
IP адреса ресурсов по сети анонсирует bgp спикер. Как-то так.

Было бы здорово потестить ваше решение, но я так понимаю что оно только на стадии проектирования?

Мое мнение такое:
1. Скрипт на сервере производит выгрузку (делов то, запрос подписать openssl да ответную xml распарсить)
Результат работы скрипта - актуальные данные в базе postgresql.
2. В базу могут быть добавлены собственные правила, которые не затираются реестром. (правила могут как запрещать конкретные сайты, так и запрещать применение определенных ip или доменов из реестра)
3. Скрипт генерирует данные для загрузки в устройства (они могут быть совершенно разных вендоров)
4. Обратная связь в виде перечитывания конфига и сверке с базой. + аналог "агента ревизора" который проверяет реестр и ругается в систему мониторинга.

Как это работает у меня:
1. Загружается реестр, парсится, складывается в базу данных.
2. Подготавливается Diff правил.
3. В зависимости от устройства и его особенностей генерируется список правил (iptables/ipset/ndpi)
4. Производится загрузка в устройства.
5. Производится подсчет кол-ва правил на устройстве и сверка с базой
6. Запускается проверка своим "агентом ревизор"
- о всех проблемах уходят сообщения в zabbix.

Общение базы и клиента(устройства фильтрации) осуществляется по udp, клент-серверная часть на перле.

anton1o писал(а):Было бы здорово потестить ваше решение, но я так понимаю что оно только на стадии проектирования?

Есть наработки, но в целом сейчас на стадии проектирования.