max_m

Кста для поржать Яндекс уже переехал новый домен https://yandex.fr/

добавьте время жизни - 5 минут и апдейт по скрипту 4 минуты. Микроту фиалетово на тот децкий скрипт. +1 По сути да .

Уточню пока не очистится адрес лист с этими записями поэтому я и указал что время жизни записи 23:59:00 а через минуту (1д или 24:00:00 от старта скрипта)по циклу в несется список по новой и опять на 23:59:00 и так по циклу. Если у НС записи появились новые ИП они появятся в списке.

Согласен это беда сами пока ломаем голову как правельно сделать, пока ТП отсылает на сайт к президенту

И еще нюанс add list=block address=www.kaspersky.ru в данной строке должно быть указано время жизни иначе получивши ИП он так и будет там висеть пока таблица не очистится .

Все kosteekЯ Вас понял что вы хотели описать, по Вашей структуре раз в сутки должно типо сбросить ДНС кеш и поновой перечитать и получить список новых ИП я так Вас понял? Но возникает вопрос, а кто будет инициализатором опроса, если у Ваших клиентов в Настройках ДНС прописан ИП не вашего ДНС ? Кто то как минимум должен запросить этот список ...

На самом деле я с Вами согласен так как нет четких указаний каким инструментом и каким образом все это блочить некоторые вон целые АS поблочили и теперь у них в сети половина страниц и сервисов тупо не открывается даже те которые не имеют отношение к санкционному списку.

Что бы не разводить холивар пропишите у себя на МТ то о чем Вы говорите, а на компе впишите к примеру днс гугла, а потом то о чем я описал выше. Сами поймете разницу.

Чет вы не поняли... И что это вам дало ? Ну ваш МТ не будет знать резольв к примеру vk.com и что это дало ? У клиента к примеру прописан ДНС гугла 8,8,8,8 и в каком месте вы заблочили абону доступ ? Данный скрипт написан именно мною для моих целей и задач и я прекрасно знаю о чем я пишу.

Можно еще проще /ip firewall address-list add address=www.kaspersky.ru list=rus_drop add address=kaspersky.ru list=rus_drop /ip firewall filter chain=forward action=drop dst-address-list=rus_drop out-interface=ether11 log=no log-prefix="" /system scheduler add name=rus_drop start-date=may/21/2017 start-time=00:10:00 interval=1d on-event="/ip dns cache flush" Вопрос, причем тут очистка днс кеша? В МТ с версии 3,6 чевото там при добавлении в адрес лист НС имени к примеру vk.com создадуться динамические правила на все ИП к которым привязан данный домен и в блок попадут все ИП из этого списка. То о чем говорите вы это блокировка по ДНС в том случае если ваши клиенты используют ваш ДНС развернутый на МТ ... Разницу понимаете ...

А можно подробнее 1 правило мы добавили доменные имена 2 блокируем 3 а тут я не понял откуда берется файл и что далее. Проще некуда на компе создаем файл rus_drop.rsc внутри файла необходимо первой строкой прописать /ip firewall address-list а далее список что блокируем вида add address=www.kaspersky.ru list=rus_drop timeout=23:59:00 Эти правила формируют адрес лист с временем жизни 23часа 59 минут затем этот файл переносим на МТ, а далее в фаерволе создаем правило 0 ;;; RUS_DROP chain=forward action=drop dst-address-list=rus_drop out-interface=ether11 ну и в конце раз в 24 часа запускаеться правило которое заносит в адрес лист список из файла rus_drop.rsc /system scheduler add name=rus_drop start-date=may/21/2017 start -time=00:10:00 interval=1d on-event="/import file-name=rus_drop.rsc"

Для МТ выглядит это так: rus_drop.rsc файл в котором список что блокируем вида /ip firewall address-list add address=www.kaspersky.ru list=rus_drop timeout=23:59:00 add address=kaspersky.ru list=rus_drop timeout=23:59:00 Далее в /ip firewall filter 0 ;;; RUS_DROP chain=forward action=drop dst-address-list=rus_drop out-interface=ether11 log=no log-prefix="" Далее в /system scheduler add name=rus_drop start-date=may/21/2017 start -time=00:10:00 interval=1d on-event="/import file-name=rus_drop.rsc" и все пашет как нужно ...

Еще нюанс в документе в котором перечислен список блокировки указаны конкретные ссылки (сервисы) что блокировать, а не все подряд.

Про это никто не подумал. На текущий момент нет никаких дополнительных разъяснительных юридических норм, которые бы описывали как это надо делать технически. К тому же есть Конституция и без внесения в неё правок, а также в ККУ, всё можно трактовать по-разному. Это очень скользкая дорожка. Впрочем, в Украине законы уже давно не имею никакой юридической силы (лишение гражданства вопреки Конституции? - легко; взять на службу иностранцев? - легко; и другие примеры). Действительно, заблокировать URL по IP/DNS не получится. Если контент нарушает законодательство - "позивач" должен обратиться к поставщику услуги, если у него есть представительство в Украине, и проинформировать его о нарушении украинского законодательства / уведомить о постановлении суда. После предоставления решения суда, Поставщик услуги должен ограничить доступ к конкретным материалам для пользователей из Украины. Как уже упоминалось ранее, основанием для ограничения доступа может быть только: 1) решение суда 2) ЗУ “Про телекомунікації” 3) "Правила надання та отримання телекомунікаційних послуг" Конституція України: Стаття 60. Ніхто не зобов'язаний виконувати явно злочинні розпорядження чи накази. За віддання і виконання явно злочинного розпорядження чи наказу настає юридична відповідальність. Как же плохо украинцы знают законодательство... для чего в пример Россия? Вы же вовсю кричите, что там жесткая цензура, нет свободы слова и так далее. Критикуете, но сами предлагаете делать то же самое. P.S. Списки подсетей для некоторых ресурсов, в формате для Mikrotik. Даже не представляю себе, какой будет попадос у провайдеров, когда надо будет добавить несколько сотен ресурсов, и как все это будет проседать. Местные провайдеры пока не спешать ничего блокировать. Вконтакте /ip firewall address-list add address=87.240.128.0/18 list=vkcom add address=93.186.224.0/20 list=vkcom add address=95.142.192.0/20 list=vkcom add address=95.213.0.0/17 list=vkcom add address=185.32.248.0/22 list=vkcom add address=95.213.0.0/18 list=vkcom add address=95.142.207.0/24 list=vkcom add address=95.142.206.0/24 list=vkcom add address=95.142.204.0/23 list=vkcom add address=95.142.203.0/24 list=vkcom add address=95.142.202.0/24 list=vkcom add address=95.142.201.0/24 list=vkcom add address=95.142.200.0/21 list=vkcom add address=95.142.192.0/21 list=vkcom add address=93.186.232.0/21 list=vkcom add address=93.186.224.0/21 list=vkcom add address=185.32.251.0/24 list=vkcom add address=185.32.250.0/24 list=vkcom add address=185.32.248.0/23 list=vkcom add address=185.29.130.0/24 list=vkcom Одноклассники /ip firewall address-list add address=5.61.16.0/21 list=okru add address=5.61.232.0/21 list=okru add address=79.137.157.0/24 list=okru add address=79.137.183.0/24 list=okru add address=94.100.176.0/20 list=okru add address=95.163.32.0/19 list=okru add address=128.140.168.0/21 list=okru add address=178.22.88.0/21 list=okru add address=178.237.16.0/20 list=okru add address=185.5.136.0/22 list=okru add address=185.6.247.0/24 list=okru add address=185.16.244.0/22 list=okru add address=188.93.56.0/21 list=okru add address=194.186.63.0/24 list=okru add address=195.211.20.0/22 list=okru add address=195.218.168.0/24 list=okru add address=195.218.190.0/23 list=okru add address=217.20.144.0/20 list=okru add address=217.69.128.0/20 list=okru add address=185.16.247.0/24 list=okru add address=185.16.246.0/24 list=okru Зачем вы так заморчились с адрес листом надо было так add address=vk.com list=vkcom add address=ok.ru list=okru и все !!! Раз в сутки обновление данного листа и все работает на ура и блочится конкретный ИП (группа) отвечающий за сайт, а не все подсети. Вот при такой блокировки как у Вас и получается что половина сервисов не работает даже те которые не относятся к блокировке.

У кого нибудь приходили рекомендации от наших СБУ и т.д. каким образом блокировать то что написал наш многоуважаемый президент? Благо дело стоит МТ ось там в адрес лист по заносил весь список перечисленный в указе но к примеру указано www.mail.ru, а mail.ru не указанно что из этого блочить это разные ИП ? Кому нибудь приходили пояснения ?

100% умеют даю гарантию... Заходим на Веб морду онушки и настраиваем без проблемс...

Странная у Вас проблема с РРРоЕ у нас лет 10 Нодени молотит и жрать не просит это хозяйство, у большенства клиентов роутеры поэтому раз настроил и забыл. Кстати за настройку роутера еще и денюшку заработаеш один профит... Ну я тебя конечно понимаю у некоторых клиентов аля старая бабушка или дедушка нет денег на роутер но эта проблема тоже решима очень просто сама ОНУ может авторизовать PPPoE и выступать проводным роутером... У нас для совсем тугих так пару ОНУ настраивали без проблем пашет... Не возьмусь говорить за все ОНУ но Стелсы, Фоксы и им подобное сто пудасово умеет.

Ну наконец то ... ТС спасибо ограмедное, а то содержать куча софта для мониторинга рисования и учета как то поднадоело... А тут все в одном.

Да не заморачивайся у нас такие раз в месяц один два проскакивают. ТП сначала предупреждает мол у Вас вирус почистите комп. Обычно все адекваты поэтому комп чистят и проблема уходит, но бывает и нюансы к примеру с видео регистраторами особо отличились "dahua" там какой то глюк в системе безопасности... Решалось просто клиенту рекомендовали поменять стандартные порты на что то не стандартное и проблема уходила. Так что как то так , а выключать не рекомендую по тому как потом с обратной стороны прилетит к примеру Ваш клиент сам того не зная DDos атаку устроит на фин сайт к примеру, к кому придут в первую очередь ? Или потом IP с спам баз вынимать целый геморрой. Поэтому клиенту поясняем что так мол и так либо чистим либо мы не можем предоставить Вам услугу.

Я Вам так скажу пока медь в колодцах присутствует лажа с вырезами будет постоянно. У нас та же фигня была пока всю медь с трассы не выняли. Сейчас по спокойнее стало меди нет один раз порезали посмотрели что ловить нечего и все утихло. Если есть возможность или 100% знаете что в трассе медь не рабочая, а кабло лежит вынимайте или обратитесь к владельцу меди что бы вынял и проблема сама по себе уйдет.

Почему ? У меня та же картина

Действительно, всего-то надо 2 свича купить по 1500$, такая ерунда копеечная. Не ну зачем так дорого разве такой не подойдет http://eltex.com.ua/product.php?sid=187&bid=38&pid=1100 ??? Всего 360$ ...

Я так понимаю ТС надо что то типа такого 1. http://shop.nag.ru/catalog/01897.Mediakonvertery/02401.25Gb/04832.SNR-CVT-3SFP 2. http://shop.nag.ru/catalog/01889.SFP-GBIC-XFP-SFP-X2-XENPAK-QSFP-CFP-moduli/06624.Moduli-SFP-25G/04682.SNR-SFP25-W35-10 но у нас такого в продаже я не видел. Может проще 10G построить

Ознакомьтесь http://ic-line.ua/ua-cwdm