|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (16)
просмотр истории страницы... |
| При включенной опции обновление будет происходить приблизительно раз в 3-4 дня, в 7 утра по местному времени. |
| При наличии доступной новой версии запуск обновления происходит с вероятностью 30% (чтобы на случай случайно просочившихся в продукт критических ошибок имелось время удалить "плохую" версию, подготовить исправление и успеть помочь всем, кто пострадал от неудачного обновления). |
| h2. Скачивать критические обновления |
| Проверяется наличие обязательной для срочного обновления версии (помечается нами при обнаружении и исправлении критических ошибок) раз в час. |
| Проверяется наличие обязательной для срочного обновления версии (помечается нами при обнаружении и исправлении критических ошибок) раз в час (с случайно задержкой до 3 минут после проверки, чтобы не происходил "DDoS" наших серверов). |
| |
| Выпускается обычно не чаще раза в 3-4 месяца. |
| |
| Выпускается обычно не чаще раза в 2-3 месяца. |
| h1. Регистрация Carbon Reductor |
... |
| h1. Настройка алгоритма фильтрации |
| |
| h2. Блокировать https-ресурсы по IP |
| Использует IP адреса ресурсов из реестра (вне зависимости от протокола) для создания ipset для которого запрещён доступ к 443 порту. |
| h2. Использовать nslookup для определения IP |
| Добавляет к полученному в пункте выше ipset результаты резолва доменов https-ресурсов из реестра. Просмотреть результаты резолва можно командой {code} /usr/local/Reductor/bin/nice_json /usr/local/Reductor/cache/https.json {code} |
| h2. Перенаправление на страницу-заглушку |
| Использовать модуль редиректа http-запросов для перенаправления на страницу заглушку. Если отключен - будет использоваться дефолтный ipt_REJECT. |
| h2. URL страницы-заглушки |
| Укажите ссылку, например: {code} http://your.own.block.page/blocked.html {code} |
| h2. Добавлять домен в редирект |
| h2. Блокировать домены целиком |
| При переходе на указанную страницу блокировки к её адресу будет добавляться строка: |
| |
| {code} ?domain=заблокированный.домен {code} |
| h2. Использовать список МинЮста |
| Если отключена - при обработке списков будет удаляться файл minjust.list, возможно добавленный ранее. |
| h2. Автоматически обновлять список МинЮста. |
| Раз в час обновлять обработанный нами список экстремистских материалов. h2. Синхронизировать IP-адреса подсетями Вместо ≈20000 IP адресов хостов на сервер будут отсылаться ≈1290 подсетей (на 26.06.2017), в результате снижается нагрузка на маршрутизаторы и ускоряется процесс синхронизации. Требует незначительных изменений на стороне маршрутизатора (должен поддерживать приём команд с подсетями) и в хуке (функция получения списка IP может отсекать маску из ответа с сервера). Возможно потребуется ручное зануление ipset/списка ip перед синхронизацией после включения новой опции. Обработка списков начиная с версии 7.6.0 подготавливает два списка для блокировки по IP: развёрнутый до IP хостов lists/load/ip_block.list и агрегированный по подсетям lists/load/ip_subnet_block.load Влияет только на логику работы events.sh. |
| h2. Включить NOTRACK для пакетов с зеркала |
| *Экспериментальная опция*. Добавляет NOTRACK правила для всего трафика входящего с интерфейсов зеркала в файрвол. Может очень сильно снизить нагрузку, к примеру: До: !Снимок экрана 2016-01-28 в 16.47.41.png|border=1! после: !Снимок экрана 2016-01-28 в 16.47.48.png|border=1! Может привести к потере доступа в интернет сервера с Carbon Reductor (и соответственно отсутствию выгрузок единого реестра), а также проблемам с подключением к нему по SSH. Предположительно это происходит только в ситуации если его собственные пакеты попадают к нему в зеркало. Если решили вопрос с попаданием его собственных пакетов в зеркало и решили включить эту опцию - рекомендуется пронаблюдать за ним около недели. h1. Прочие настройки h2. Включить диагностику раз в час Крайне не рекомендуется отключать эту опцию при использовании Carbon Reductor в продакшне. Исправляет найденные ошибки по мере возможности и сигнализирует о них администраторам. h2. Слать отчёт об ошибках разработчикам Отчёты о возникших ошибках будут дублироваться на наш email в том же виде, что и для администраторов. Анализируются вручную только сообщения от клиентов с подпиской аутсорсинг (2500+) и сопровождение (10000+). Остальные сообщения анализируются автоматически для обнаружения массовых проблем. h2. Слать отчёт об ошибках администратору Опция помогает своевременно узнать о возникших на сервере проблемах и исправить их. Отключать в случае большого числа писем об ошибках не рекомендуется, правильнее исправлять эти ошибки. Наша техническая поддержка готова помочь с этим. h2. Дополнительные e-mail администраторов Обычно в настройках выгрузки указывают email более-менее официальный для связей с Роскомнадзором. Чтобы не засорять его спамом - укажите в этой опции через пробел адреса системных администраторов, которые должны следить за состоянием сервера Carbon Reductor. Учитывайте - при указании хотя бы одного адреса в этой опции письма перестанут посылаться на основной email. Если вам нужно чтобы они приходили и туда - просто продублируйте его в этой опции. h2. Не проверять настройки сети при старте Отключает проверку наличия бриджа при старте. Нужна при использовании схемы с L3 mirror. h2. Не оптимизировать нагрузку на подсистему роутинга По умолчанию Carbon Reductor ограничивает весь трафик кроме необходимого для работы и фильтрации в mangle PREROUTING. В случае, если вы шлёте полный миррор (без указания протоколов / RxTx) весь этот трафик будет создавать бесполезную нагрузку на сервер. В случае, если миррор довольно хорошо настроен, можно отключить. h1. Настройки выгрузки единого реестра h2. Включить автоматическое обновление списков Нужно как для выгрузок с сервера роскомнадзора, так и при использовании собственного. h2. Название вашей компании, ИНН, ОГРН Используется для регистрации/активации Carbon Reductor и формирования запроса на выгрузку единого реестра. h2. Почта для связи Используется для регистрации/активации Carbon Reductor и формирования запроса на выгрузку единого реестра. Также используется для отправки уведомлений о возникающих на Carbon Reductor проблемах, если не заданы email-адреса администраторов. h2. Установка сертификата с USB-токен Запускает экспорт закрытого ключа, используемого для подписи запроса на выгрузку единого реестра (provider.pem) из .pfx контейнера. h2. Обновлять список со своего сервера, а не РКН На случай, если вы выгружаете списки на своём сервере и не хотите этого менять (не доверяете закрытый ключ / выгружаете списки вручную итд). h2. URL с dump.xml на своём сервере Используется для скачивания dump.xml wget'ом. Желательно использование HTTP. |