Работаю в терминирующем прове, AS, за нами только клиенты, субпровов нет. Аплинки -- Мегафон и ВестКолл по тырнетам, Мегафон и Билайн по телефонке (E1). Сегодня (в воскресенье, да) переключали схему коммутации на аплинков. Пришлось оторвать "Ревизора" (да-да, и терминирующим провам его впарили). Хорошо, что заранее официально известили всех, что будут перерывы в предоставлении услуг. SLA выбрали на полгода вперёд.
Перед этим у нас 14.05-го физически упал бордер (отказ HDD), поднялись на резерве, что-то пошло не так, слетел фильтр на шлюзе, нам подломили Астериску на более чем 300 тыр.
СОРМа нет, мы терминирующий оператор, нам не обязательно, весь СОРМ на аплинках по E1, благо, номера A и B отдаются. А тырнетики мы обязаны фильтровать сами. Фильтруем. Решение софтовое: на фряшном бордере ipfw заворачивает трафик TCP:80 через Сквид, остальное идёт как идёт. Сегодня (в воскресенье) как раз перестроили эту схему до полностью рабочей, включили в неё резервный бордер. Физическая коммутация -- два патч-корда передёрнули. Логика -- две перезагрузки (прокси-сквида и бордера с поправленными конфигами).
А вообще, с моей кочки жрения, это боротьба с ветряками. Путей обхода масса. И, кстати, протокол HTTPS (TCP:443) от фильтрации свободен, как разбирать пакеты без оригинальных сертификатов -- пока ещё не знает никто. Ставить Cray для онлайн-разборки SSL-пакетов не по карману даже довольно крупным провам.
Уже нет, строго по IP не блокируют. Облака имеют один/список IP на входе. Если в облаке заведётся "паршивая овца", всё облако идёт найух, с чем, ясеневый пень, владельцы облачных сервисов категорически несогласны.
Сейчас есть запреты по IP и запреты по URL. Разруливаются разными механизмами.
Было дело, Cloudflare, где нынче проживает наш обожаемый Vott.ru, чисто по IP заехал в блэклист. Насчёт масштабов скандала не знаю, но отголоски слышал -- дошло и до "верхов". В конечном итоге, Cloudflare попустило, но РКН засвирипел на тему блокировки URL. У нашей конторы уже два предписания, с листингом за 11 тысяч имён. Как раз сегодня, в воскресенье, когда менее всего клиентов в онлайне, разруливали именно этот вопрос.
Не хватает. Падла-падла-подлови-ка на этом livejournal.com :)
> По DPI. За несколько лет в ответ на спрос возникла куча предложений. Не хочешь разоряться на полноценный DPI - есть рабочие софтовые решения.
Есть. Одно из них внедрено у нас: отсечка по IP, отсечка по NS, анализ URL. Бесплатно.
Бордер: FreeBSD 9+. Фильтр (прокси на Squid'е): Ubuntu Server 14+.
Вотт буквально в обед сегодня-сейчас посоучаствовал в создании такой конфигурации. Пинай меня ногами.
> техподдержка ТТК мне мозги трахала "перезагрузите роутер", "настройте соединение" и т.п. стандартный бред
У меня ответ простой: «Вы говорите с начальником информационно-технического отдела промышленного провайдера, и не надо мне тут втирать!». Благо, сам сидел на "второй линии" техпода, ITIL знаю :)
PS: Кстати, в Питере я ещё кому-либо нужен, кроме моего текущего работодрателя? Готов сменить место работы, чё-т тут как-то уныло стало...
> самое веселое, что в открытый доступ выкинули список протухших (разделегированных) заблокированных доменов из реестра - и они все уже разобраны, т.е. шоу будет продолжаться
Веселуха продолжается, РКН уже потирает потные ручонки :)
Я, по мере возможности, буду информировать о ситуации в общем. Частности, увы, ДСП, не для распространения. Никто из провайдеров не станет стучать на РКН -- самим же потом боком выйдет.
Вотт как навострю лыжи на выход -- оторвусь по полной, сдам всех :)
Сейчас, сейчас
Перед этим у нас 14.05-го физически упал бордер (отказ HDD), поднялись на резерве, что-то пошло не так, слетел фильтр на шлюзе, нам подломили Астериску на более чем 300 тыр.
СОРМа нет, мы терминирующий оператор, нам не обязательно, весь СОРМ на аплинках по E1, благо, номера A и B отдаются. А тырнетики мы обязаны фильтровать сами. Фильтруем. Решение софтовое: на фряшном бордере ipfw заворачивает трафик TCP:80 через Сквид, остальное идёт как идёт. Сегодня (в воскресенье) как раз перестроили эту схему до полностью рабочей, включили в неё резервный бордер. Физическая коммутация -- два патч-корда передёрнули. Логика -- две перезагрузки (прокси-сквида и бордера с поправленными конфигами).
А вообще, с моей кочки жрения, это боротьба с ветряками. Путей обхода масса. И, кстати, протокол HTTPS (TCP:443) от фильтрации свободен, как разбирать пакеты без оригинальных сертификатов -- пока ещё не знает никто. Ставить Cray для онлайн-разборки SSL-пакетов не по карману даже довольно крупным провам.