1. «Ограничение доступа к информации, распространяемой посредством сети „Интернет“, сайтам в сети „Интернет“ и информационным ресурсам (далее — ограничение доступа) операторами связи рекомендуется осуществлять на основании выгрузки.
— почему „Интернет“ с большой буквы и в кавычках?
— ключевое слово „рекомендуется“. Я представляю себе ответ моего мелкого подмосковного оператора, если я предложу им больше не заморачиваться опросом DNS, что позволит не блокировать ресурсы, которые совсем не виноваты, что их IP адреса внесли в A-записи запрещенных сайтов.
2. Выгрузка осуществляется раз в час, но оператор может применять его не реже каждых 12 часов. Это что, послабление? Что, „Ревизор“ не зафиксирует нарушение? Или он переспросит через 12 часов? Верится с трудом.
3. Рекомендуется блокировать DPI-ем, но его использование не обязательно. Зато, если нет DPI, то блокировка делается строго по выгрузке. Означает ли это, что „Ревизор“ для операторов, у которых нет DPI не осуществляет резолвинг через DNS? Сомневаюсь…
4. Что означает загадочная фраза „Если указатель страницы сайта в сети “Интернет» содержит сетевой протокол, поддеживающий шифрование, допускается ограничение доступа ко всему доменному имени, в том числе и путем фильтрации запросов ко всем DNS-серверам"? Нужно DPI-ить все DNS запросы ко всем DNS серверам и блокировать (перенаправлять) ответ по конкретному ресурсу? Или тут что-то еще?
5. Дальше для операторов, у которых нет DPI вообще рекомендуется заблокировать все внешние DNS-сервера. Под «раздачу» попадут в том числе и Яндекс.DNS (у меня они выдаются на устройства в детской комнате)? А как же DNSSEC? С ним тоже прощаемся?
Это тоже позиция… В данном конкретном случае, в рамках одной конференции они не смогли договориться между собой о единой позиции по действительно спорным вопросам. Не приходится говорить о том, что на ряд вопросов можно было бы дать конкретные предложения, как с их точки зрения правильнее поступить. Вместо этого — «это нарушение», «за это накажем», «наша система Ревизор самая честная и очень быстрая», а «это будете отстаивать в суде», «единых правил игры нет и делать не будем».
Действительно реверс не прописан. Пока нет понимания как это делать. Все адреса даже одного /64 префикса прописать не просто, а вообще все абонентские адреса внести в зону видится пока утопично. Тут нужно искать решение с масками (пулами) или писать свой софт. Только необходимость этого не очевидна.
Услуга на картах Москвы и соседних с Москвой областей уже будет работать в Северо-Западе и на Юге. В остальных регионах (кроме Дальнего Востока) поддержку IPv4v6 для этих SIM карт планируем включить на следующей неделе. Возможность подключения на местные карты планируем сделать уже совсем скоро.
Тест IPv6 показывает 9/10 из за отсутствия реверс DNS.
Покажите, пожалуйста, скриншот теста.
Есть у меня ещё вопрос, а умеет ли «сеть» посылать какие-либо сигналы клиенту если для него есть входящий трафик, для того чтобы клиентский телефон включился и получил его
Если для абонентского устройства, которое находится в сети и имеет IP адрес, получен IP трафик то со стороны сети инициируется процедура paging. Если устройство отвечает на paging, то трафик доставляется.
Если запустить ping6 на адрес телефона то пока его кнопкой не включишь он пинговаться не начинает.
Я это потестирую на Samsung-е и посмотрю на трассировки с оборудования.
А я правильно понимаю, что если я купил годовую подписку на 13-ку, то ключ от 12-ки (не подписочный) я могу использовать на другом компе? Сейчас у меня на нем стоит купленная 10-ка? Или такой лайфхак не сработает?
Прикольно, появилась возможность архивировать VM. Может, конечно, в предыдущей версии не замечал… Раньше переносил неиспользуемые VM целиком на внешний диск или на NAS.
Какой смысл в этом ковырянии на домашней виртуалке? Еще как-то могу понять, если есть задача что-то конкретное куда-то прикрутить и не хочется сразу это делать на продакте…
А так, просто ковыряться — это все равно, что теоретически изучать езду на велосипеде по учебнику…
Я же правильно понял, что уже сейчас на High Sierra можно будет обратно включить SIP (System Integrity Protection), который пришлось выключить потому, что после 3-ей или 4-ой беты он перестал запускаться?
Проблемы нет. Просто, приложение должно работать чисто по своему API и делать только то, что положено. WEB версия должна будет тянуть кучу картинок и кнопочек, а если плохая связь, то это будет дольше. Плюс нужно будет вводить SMS код с другого устройства и в магазине «на кассе» это делать не удобно.
Запрос в сторону моих коллег, замимающимся общением с поставщиками абонентского оборудования, я сделал год назад. Очень надеюсь, что все современные модемы/роутеры будут поддерживать IPv6. Будем надеяться, что этот паровоз уже не остановить. Справедливости ради, скажу, что сам на Мас-е использую не наш брэндированный Connect manager, а оригинальный Mobile Partner. Правда получить на старом модеме Huawei мне пока не удалось.
Мкротик не простая «пластмастка». Она реально потрясает своим функционалом.
Далеко не каждый, кто хоть как-то обременен знаниями в области сетевых технологий, сделает простейшую «лабу» по его настройке.
Лично я столкнулся с:
1. Периодически переставали коннектиться l2tp клиенты с ipsec-ом. Заходишь в консоль или web, ребутаешь и какое-то время можно прицепиться удаленно по l2tp. Оказалось, что мешает связка UpNP в микротике и работающая с iCloud Time Capsule от Apple. Выключил UpNP и все заработало.
2. В один момент я его «потерял» и возвращал к завадским. Не знаю как, но я оказался одним из DDOS-еров с использованием DNS. Оказалось, что у него открылся DNS UDP/53 с внешнего интерфейса и на меня летели пакеты с «левого» IP (с адреса жертвы). В итоге, с меня шел поток примерно в 3Мбит/с в сторону жертвы.
3. Решил побороться с мультикастом в сети. Для этого купил switch от того же МТ. Настройка trunk/vlan заняла 3-и вечера. Повторюсь, что я не на столько зелен, чтобы столько времени на это убивать, но это уже было дело чести.
4. Миграция с 750gr2 на 750gr3 тоже оказалась не проста. Простой backup/restore не прошел. Почему-то на новой коробке все интерфейсы оказались перепутаны и многие команды/правила (особенно FW) залились криво (один из интерыейсов остался с дефолтным именем). В итоге, вливал партиями по категориям с полной выверкой всех параметров. На это тоже ушло 2-а вечера.
5. В последней пршивке после захода в графики (аналог mrtg) перестает работать web-морда. Почему не работает я пока не разобрался. Просто ребутаю коробку из ssh терминалки или питанием. Я даже пошил rc версией, но это тоде не помогло. Откат был с перезаливкой софта в рекавери мод и восстановлением из backup.
6. Еще обнаружил, что даже если на winbox (или как там называется эта приблуда) установить сеть откуда можно в нее стучаться, то ее порт (номер не помню) все равно отвечает с WAN интерфейса. Зайти, правда, не дает.
Несмотря на это, я все равно не вижу альтернативы для домашнего или малоофисного применения. Этот «пластик» не дает мозгам заржаветь.
Документ реально странный…
Вот то, что меня смущает:
1. «Ограничение доступа к информации, распространяемой посредством сети „Интернет“, сайтам в сети „Интернет“ и информационным ресурсам (далее — ограничение доступа) операторами связи рекомендуется осуществлять на основании выгрузки.
— почему „Интернет“ с большой буквы и в кавычках?
— ключевое слово „рекомендуется“. Я представляю себе ответ моего мелкого подмосковного оператора, если я предложу им больше не заморачиваться опросом DNS, что позволит не блокировать ресурсы, которые совсем не виноваты, что их IP адреса внесли в A-записи запрещенных сайтов.
2. Выгрузка осуществляется раз в час, но оператор может применять его не реже каждых 12 часов. Это что, послабление? Что, „Ревизор“ не зафиксирует нарушение? Или он переспросит через 12 часов? Верится с трудом.
3. Рекомендуется блокировать DPI-ем, но его использование не обязательно. Зато, если нет DPI, то блокировка делается строго по выгрузке. Означает ли это, что „Ревизор“ для операторов, у которых нет DPI не осуществляет резолвинг через DNS? Сомневаюсь…
4. Что означает загадочная фраза „Если указатель страницы сайта в сети “Интернет» содержит сетевой протокол, поддеживающий шифрование, допускается ограничение доступа ко всему доменному имени, в том числе и путем фильтрации запросов ко всем DNS-серверам"? Нужно DPI-ить все DNS запросы ко всем DNS серверам и блокировать (перенаправлять) ответ по конкретному ресурсу? Или тут что-то еще?
5. Дальше для операторов, у которых нет DPI вообще рекомендуется заблокировать все внешние DNS-сервера. Под «раздачу» попадут в том числе и Яндекс.DNS (у меня они выдаются на устройства в детской комнате)? А как же DNSSEC? С ним тоже прощаемся?
Если для абонентского устройства, которое находится в сети и имеет IP адрес, получен IP трафик то со стороны сети инициируется процедура paging. Если устройство отвечает на paging, то трафик доставляется.
Я это потестирую на Samsung-е и посмотрю на трассировки с оборудования.
Качаю обновление.
А так, просто ковыряться — это все равно, что теоретически изучать езду на велосипеде по учебнику…
MT RB750Gr3 (без wifi) стоит 3500—3700 рубликов. С AC-шным WiFi чуть более 7500. Функционала хватает с лихвой…
Далеко не каждый, кто хоть как-то обременен знаниями в области сетевых технологий, сделает простейшую «лабу» по его настройке.
Лично я столкнулся с:
1. Периодически переставали коннектиться l2tp клиенты с ipsec-ом. Заходишь в консоль или web, ребутаешь и какое-то время можно прицепиться удаленно по l2tp. Оказалось, что мешает связка UpNP в микротике и работающая с iCloud Time Capsule от Apple. Выключил UpNP и все заработало.
2. В один момент я его «потерял» и возвращал к завадским. Не знаю как, но я оказался одним из DDOS-еров с использованием DNS. Оказалось, что у него открылся DNS UDP/53 с внешнего интерфейса и на меня летели пакеты с «левого» IP (с адреса жертвы). В итоге, с меня шел поток примерно в 3Мбит/с в сторону жертвы.
3. Решил побороться с мультикастом в сети. Для этого купил switch от того же МТ. Настройка trunk/vlan заняла 3-и вечера. Повторюсь, что я не на столько зелен, чтобы столько времени на это убивать, но это уже было дело чести.
4. Миграция с 750gr2 на 750gr3 тоже оказалась не проста. Простой backup/restore не прошел. Почему-то на новой коробке все интерфейсы оказались перепутаны и многие команды/правила (особенно FW) залились криво (один из интерыейсов остался с дефолтным именем). В итоге, вливал партиями по категориям с полной выверкой всех параметров. На это тоже ушло 2-а вечера.
5. В последней пршивке после захода в графики (аналог mrtg) перестает работать web-морда. Почему не работает я пока не разобрался. Просто ребутаю коробку из ssh терминалки или питанием. Я даже пошил rc версией, но это тоде не помогло. Откат был с перезаливкой софта в рекавери мод и восстановлением из backup.
6. Еще обнаружил, что даже если на winbox (или как там называется эта приблуда) установить сеть откуда можно в нее стучаться, то ее порт (номер не помню) все равно отвечает с WAN интерфейса. Зайти, правда, не дает.
Несмотря на это, я все равно не вижу альтернативы для домашнего или малоофисного применения. Этот «пластик» не дает мозгам заржаветь.
Я для себя выбрал вариант, который всегда везде (емли есть gunzip, конечно).
добавляем сюда jobs <%n> и kill %n (где n — номер задачи).