|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (27)
просмотр истории страницы| {toc} |
| Carbon Reductor - готовое решение для фильтрации трафика с поддержкой фильтрации URL / доменов / IP, успешно проходящее проверку РосКомНадзором и таким образом помогающее исполнить ФЗ №149 и Постановление Правительства Российской Федерации от 26 октября 2012 г. № 1101 ([PDF|http://zapret-info.gov.ru/docs/1101.pdf]) интернет-провайдерам любого размера. |
| h1. Чем является Carbon Reductor |
| |
| h1. Описание функциональных характеристик ПО |
| Carbon Reductor готовое решение для фильтрации трафика с поддержкой фильтрации URL, успешно проходящее проверку РосКомНадзором и таким образом помогающее исполнить ФЗ №149 и Постановление Правительства Российской Федерации от 26 октября 2012 г. № 1101 ([PDF|http://zapret-info.gov.ru/docs/1101.pdf]) интернет-провайдерам любого размера. |
| |
| * Автоматическое обновление списков РосКомНадзора (используя файл с ключом, USB-токен, пару XML запрос-подпись либо по HTTP/HTTPS со своего сервера) и минюста. * Поддержка фильтрации IPv4 и IPv6 трафика * Поддержка многих проблемных URL за счёт предварительной обработки. * Проверка до 900 000 пакетов сетевого трафика на ядро процессора в секунду (до 50гбит на сервер). Подробнее о производительности можно прочитать в [этой статье.|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380312] * Фильтрация HTTP, DNS и HTTPS трафика (собственные разработки). Поддерживается использование нескольких списков. * Возможность вертикального масштабирования. * Возможность использования собственных списков - белых, чёрных, абонентских, URL, IP. * Возможно блокирование конкретных страниц или субдоменов. * Блокирование HTTP-ресурсов не связано с IP адресом ресурса и в результате не произойдёт случайной блокировки всего хостинга. * Блокирование HTTPS-ресурсов происходит по домену с помощью двух механизмов фильтрации - по DNS и SNI. * Блокировка по IP только в крайнем случае (ipset). * Возможность интеграции с маршрутизаторами для блокировки IP адресов целиком (анонсирование по OSPF/BGP). * Возможность интеграции с DNS-серверами провайдера. * В комплекте предоставляется бесплатная система проверки фильтрации, способная служить резервным сервером выгрузки - Carbon Reductor Satellite. * Фильтрация производится несколькими правилами iptables (не более 20-30), так что нагрузка на сервер - незначительна. * Платформа для Carbon Reductor - CentOS 6 бесплатна и знакома многим системным администратором, что облегчает поддержку и использование. * Абоненты могут свободно использовать сторонние DNS-сервера, ограничения срабатывают только на заблокированные домены. * Поддержка обработки трафика дублируемого как с маршрутизаторов (L3), так и с коммутаторов (L2). * Быстрые разбор и обработка "корявых" URL/доменов/IP из реестра Роскомнадзора - в среднем, после скачивания обработка занимает около 5 секунд. * Имеется модуль автоматической самодиагностики, выявляющий на сервере проблемы настройки и эксплуатации и сообщающий об этом системным администраторам по почте. * Для приобретших подписку есть возможность использования облачного сервера мониторинга, автоматически создающего заявки о возникших проблемах (в том числе и выход сервера из строя) для технической поддержки. * Возможность указать собственные страницы заглушки. * Возможность интеграции с Carbon Billing 5 для редиректов negbal/blocked/noauth-абонентов. * Просмотр статистических данных по экспулатации в веб-интерфейсе в виде графиков, отчётов итд. * Возможность автоматического выяснения текущего IP адреса ресурса с помощью DNS-запросов (DNS-резолвер). * Почти все системы имеют [возможность расширения и доработок под себя|reductor5:Использование хуков]. * Возможность конфигурации с помощью консольного меню. |
| Он состоит из следующих частей: |
| |
| h1. Как установить Carbon Reductor |
| * Модуль фильтрации HTTP трафика для iptables (собственная разработка). Поддерживается использование нескольких списков. * Модуль редиректа пользователей на страницу заглушку для iptables (собственная разработка). Поддерживается использование нескольких правил, редиректящих на разные страницы. * Система выгрузок единого реестра запрещённой информации (python + gost ssl, все зависимости в virtualenv внутри пакета). * Система конфигурации ядра Linux и файрвола. Не совместима со стандартным файрволом в CentOS. * Модуль резолва HTTPS ресурсов (предоставляет умное кэширование, python + qdns + tinydb). * Модуль обработки списков - предоставляемые адреса порой бывают неидеальны и URL предоставленные в них могут представляться по разному в разных системах. * Система автоматической диагностики и отправки уведомлений. Проверяется более 20 различных параметров, влияющих на работу Carbon Reductor. Расширяема. * Веб-интерфейс (графики, просмотр и редактирование собственных списков, отчёты, диагностика и многое другое). * Консольное меню для настройки * Утилиты для управления |
| |
| h2. Как приобрести |
| Все эти части работают как в демо-режиме так и после приобретения лицензии. |
| |
| Установка производится с помощью скрипта установки, ссылку на него и инструкцию по запуску можно получить на [этой странице|http://www.carbonsoft.ru/products/carbon-reductor-5/carbon-reductor-download/]. |
| h1. Схема внедрения |
| |
| Для приобретения лицензии Carbon Reductor вам необходимо связаться с нашим отделом продаж, контакты указаны в нижней части страницы скачивания. |
| Поддерживается обработка зеркала трафика с L2 и L3. Более подробно в этом [разделе документации.|Зеркалирование трафика] |
| |
| h2. {color:#ff0000}Что нельзя делать{color} |
| |
| h1. Возможности |
| |
| * *Установка совместно с другими продуктами*. Поскольку Carbon Reductor полностью контролирует файрвол - он не совместим с другими нашими (и не только) продуктами и устанавливается только на отдельный сервер. Не пытайтесь установить его на сервера с CentOS где уже установлены какие-либо важные системы - биллинги, маршрутизаторы итд. * *Использование внутри контейнера*. Модули xt_reductor и ipt_FORBIDDEN не работают в контейнерах openVZ и LXC, поскольку в них ограничена подгрузка модулей. * *Использование внутри Xen.* К сожалению при использовании данной системы виртуализации иногда с передаваемыми внутрь виртуальной машины пакетами возникают странные эффекты, не позволяющие обрабатывать трафик. * *Использование неподходящего дистрибутива.* ** Подходящие платформы - CentOS 6.7, 6.8 (x86_64). ** Неподходящие - Debian (он хороший, мы его тоже любим, но мы решили сконцентрироваться на отличном уровне фильтрации, а не на поддержке нескольких целевых платформ), CentOS 5.x, 7.х, любые другие Linux (возможно исключением является RHEL6, но на нём не тестировалось). ** Немного устаревшие - CentOS 6.6 и ниже довольно устарели, можете установить и их, но перед установкой Carbon Reductor выполнить yum update и перезагрузиться. * *Использование кастомных ядер*. Модули собраны для ядра 2.6.32 x86_64 el6. Использование других может привести к проблемам со стартом итд. ** Рекомендуемое к использованию на текущий момент ядро: 2.6.32-573.12.1. ** Известны проблемы с работой фильтрации IPv6 на ядре: 2.6.32-358.el6 ** Обновить ядро можно командами: yum \-y install kernel && reboot * *Использование в virtualbox на продакшне.* Данная платформа виртуализации очень хороша чтобы попробовать что-то на собственном десктопе/ноутбуке, посмотреть веб-интерфейс итд, но не более. Подходящие системы виртуализации для продакшна - VMWare ESXi и KVM. * *Использование полной версии CentOS 6.* После установки потребуется делать множество лишних телодвижений (чревато от неработающего консольного меню до потери настроек сети при перезагрузке). Не рекомендуется устанавливать графическое окружение на сервер, так как оно тянет за собой много всего, лезущего в сеть (может подтянуться в качестве зависимости для teamviewer, например). Используйте [*только minimal-редакцию*.|http://mirror.yandex.ru/centos/6.8/isos/x86_64/CentOS-6.8-x86_64-minimal.iso] * *Устанавливать и использовать Carbon Reductor в различных облачных решениях.* Одно из самых важных требований к системе для Carbon Reductor - возможность обрабатывать пакеты практически в реальном времени и взаимодействовать почти напрямую с железом (сетёвки, процессор, итд). Использование дополнительных прослоек приносит *гигантское падение качества блокировок*, они хороши когда у вас есть большие длительные вычислительные задачи, которые можно раскидать на несколько потоков/машин, а не миллиарды микроскопических задачек, которые должны выполняться моментально. |
| * Автоматическое обновление списков РосКомНадзора * Поддержка фильтрации IPv6 * Поддержка многих проблемных URL за счёт предварительно обработки. * Проверка до 900 000 пакетов сетевого трафика на ядро процессора в секунду (до 50гбит на сервер). Подробнее о производительности можно прочитать в [этой статье.|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380312] * Возможность использования собственных списков - белых, чёрных, абонентских, url, ip. * Возможно блокирование конкретных страниц или субдоменов. * Блокирование HTTP-ресурсов не связано с IP адресом ресурса и в результате не произойдёт случайной блокировки всего хостинга. * Фильтрация производится несколькими правилами iptables (около 10-15), так что нагрузка на сервер - незначительна. * Платформа для Carbon Reductor - CentOS бесплатна и знакома многим системным администратором, что облегчает поддержку и использование. * Модуль не влияет на доступность и работу DNS-серверов, используемых абонентами. * Поддержка обработки трафика дублируемого как с маршрутизаторов, так и с коммутаторов |
| |
| h2. Подготовка |
| h1. Как приобрести |
| |
| Возможно поможет видео-инструкция \- [установка Carbon Reductor 5.1.1 в virtualbox + vagrant|http://www.youtube.com/watch?v=Bl2iqc-6fTE] |
| Установка производится с помощью скрипта установки, ссылку на него и инструкцию по запуску можно получить на [этой странице|http://www.carbonsoft.ru/products/carbon-reductor-5/carbon-reductor-download/]. |
| |
| Для приобретения лицензии Carbon Reductor вам необходимо связаться с нашим отделом продаж, контакты указаны в нижней части страницы скачивания. |
| |
| # Прочитайте [системные требования|reductor5:Системные требования] перед выбором/сборкой машины для установки. # Скачайте дистрибутив CentOS 6.7 с [одного из официальных зеркал|http://www.centos.org/modules/tinycontent/index.php?id=30] или [с нашего зеркала|http://download5.carbonsoft.ru/carbon_reductor/centos/CentOS-6.7-x86_64-minimal.iso] (CentOS-6.7-x86_64-minimal.iso). # Обзаведитесь доступом в портал технической поддержки [на странице|http://www.carbonsoft.ru/products/carbon-reductor-5/carbon-reductor-download/] продукта. # После скачивания запишите скачанный ISO-образ на диск (хватит CD) или USB, вставьте в сервер, на который планируется установка и загрузитесь с него. # [Настройте сеть для выхода в интернет.|reductor5:Настройка сети для выхода в интернет] # [Настройте правильное время в системе|reductor5:Настройка правильного времени в системе] # Получите [экспортированный сертификат|https://www.evernote.com/shard/s259/sh/044ac867-6172-4e5c-ad26-689db7f452cf/624e6c8e8b964249fcf78bcc7e73bae5] в формате .pfx, для экспорта потребуется установленный на Windows машине КриптоПРО. Обратите внимание, что с помощью дефолтного certmgr извлекаются неподходящие сертификаты. |
| h1. Установка и первичная настройка |
| |
| h2. Установка В случае возникновения проблем в ходе установки вы можете свободно обращаться в техническую поддержку. Скачайте скрипт установки Carbon Reductor и запустите его (если беспокоитесь о том, что там что-то страшное, откройте ссылку браузером - там буквально 3 команды, устанавливающие 2 пакета) {code} sudo -s curl "http://download5.carbonsoft.ru/reductor/reductor_install" | bash {code} h2. Настройка h3. Основная настройка с помощью мастера Запустите мастер настройки командой: {code} /usr/local/Reductor/bin/setup_master.sh {code} Будет запущен мастер настройки Carbon Reductor. В его рамках нужно будет: * зарегистрировать и активировать Carbon Reductor; * настроить систему обновления списков; * выбрать опции фильтрации https; * настроить сеть для приёма зеркала трафика. Отвечаем на все вопросы (при необходимости введённые данные можно позже поменять с помощью команды menu) h3. Добавление сертификата По статье [Выгрузки реестра|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380297] h2. Проверка настроек h3. Проверка запуска Выполняем: {code} service reductor restart {code} Снова заходим в меню и смотрим в правый верхний угол, если есть строка: {quote} Carbon Reductor (master) 5xxxxx: Активирован, код регистрации: xxx-xxx-xxx-xxx-xxx {quote} Если сервер не активирован и при service reductor restart не выводится инструкции по тому как это исправить, свяжитесь в с технической поддержкой. h3. Проверка выгрузок Выполняем: {code} service reductor update {code} и наблюдаем за выводом. Должно завершаться успешно, либо выдать ошибку/инструкцию по исправлению. h3. Проверка захвата трафика Возможно настройки сканирования трафика придётся подкорректировать, некоторые конфигурации с VLAN приводят к петлям в сети. Обязательно [прочитайте статью.|reductor5:Сеть] h3. Остальные проверки После этого выполните (дважды, т.к. диагностика старается исправлять некоторые проблемы): {code} service reductor check {code} Все пункты должны быть OK. *Внимание:* для загрузки списков и работы редуктора необходимо чтоб адрес docs.carbonsoft.ru был доступен с сервера по протоколу ICMP (должны проходить пинги) h1. Эксплуатация Carbon Reductor h2. Документация Актуальная документация находится по адресу http://docs.carbonsoft.ru/display/reductor5 h2. Техническая поддержка Получить помощь при интеграции и в случае возникающих во время эксплуатации проблем можно в хелпдеске по адресу http://helpdesk.carbonsoft.ru h2. Что остаётся на стороне персонала компании * Мониторинг за работоспособностью сервера и своевременная замена аппаратных составляющих сервера, где работает Carbon Reductor * Отслеживание уведомлений от хелпдеска и самого Carbon Reductor * Изменение настроек зеркалирования трафика при изменении структуры сети, при необходимости * Периодическое обновление ЭЦП для выгрузки единого реестра запрещённой информации * Содействие персоналу технической поддержки CarbonSoft при решении проблем. |
| Подробнее об установке и настройке можно прочитать [в этой статье|reductor5:Установка]. |