- C 02.02.2022. Автоматическое обновление через сервис Роскомнадзора
- Как настроить обновление на Carbon Reductor DPI X.
- Примечания
- Как скачать с Carbon Reductor DPI X вручную.
- Как использовать список в автоматизации?
- До 02.02.2022 перечень ресурсов уже был доступен для скачивания в Carbon Reductor DPI X
- Как использовать список социально значимых ресурсов
Соответствующий приказ (https://digital.gov.ru/uploaded/files/prikaz-148-gv.pdf) опубликован на сайте Минкомсвязи, по которому оператор обязуется:
- Содержать и обновлять соответствующий список ресурсов.
- Проверять доступность ресурсов из данного списка и в случае их блока выдавать уведомление.
C 02.02.2022. Автоматическое обновление через сервис Роскомнадзора
Как настроить обновление на Carbon Reductor DPI X.
- Настроить и включить выгрузку по логину-паролю. Для выгрузки по ЭЦП, запросу-подписи, с собственного сервера — выгрузка реестра социально-значимых ресурсов не работает.
- В настройках редуктора включить "menu -> Reductor DPI X -> Настройки выгрузок единого реестра -> Скачивать реестр социально значимых ресурсов"
Примечания
- Изменения в этом реестре будут проверяться и скачиваться при обычной выгрузке.
- Сбои выгрузки и разбора этого реестра игнорируются, основной приоритет — надёжность обновления реестра РКН, используемого для фильтрации.
- Списки в этом реестре не используются Carbon Reductor DPI X, они просто доступны для скачивания.
- На 11.02.2022 в этом реестре нет всего перечня ресурсов из приказа №148, только gosuslugi.ru и vk.com. Скорее всего это временно — на период отладки выгрузки и использования операторами связи.
Как скачать с Carbon Reductor DPI X вручную.
Списки доменов и IP адресов доступны в разделе веб-интерфейса: Reductor > Списки > Реестр социально значимых ресурсов.
Как использовать список в автоматизации?
Нужно указать IP адрес сервера, который будет иметь доступ к этим спискам в настройке: "menu -> Reductor -> Настройка Carbon Reductor -> Доступ к веб-интерфейсу" (через пробел, если их несколько, также поддерживаются подсети в формате 10.11.12.0/24).
Выполнить рестарт аппов
/etc/init.d/apps restart
URL списка с доменами:
http://[ip адрес reductor]:8083/lists/download_list/domain_exact_whitelist
URL списка с IP адресами:
http://[ip адрес reductor]:8083/lists/download_list/ip_block_whitelist
Формат
plain-text, 1 строка — 1 домен или IP, в зависимости от того какой список используется.
Обработка ошибок
Проверяйте код HTTP-статуса в ответе Carbon Reductor. 200 — всё хорошо, 40х, 50х — ответ нужно игнорировать и не обновлять список на стороне вашего сервера.
Пример для CURL
curl -fsSL http://reductor.ip:8083/lists/download_list/ip_block_whitelist -o ip_block_whitelist
- -f — обработка HTTP-ошибок
- -o — куда сохранять скачанный файл
- -L — следовать по редиректам
- -s — не выводить ничего лишнего
- -S — но показывать ошибки
До 02.02.2022 перечень ресурсов уже был доступен для скачивания в Carbon Reductor DPI X
Перечень ресурсов, опубликован вместе с Приказом Минкомсвязи России №148 по адресу https://digital.gov.ru/ru/documents/7146/.
Данный список поддерживается Carbon Reductor DPI X и скачать его в машинно-читаемом виде можно в веб-интерфейсе в разделе меню Reductor > Списки > Доступный интернет.
Для перехода по прямым ссылкам, предварительно необходимо авторизоваться в веб-интерфейсе или настроить доступ без авторизации:
 | В настройках редуктора " menu -> Reductor -> Настройка Carbon Reductor -> Доступ к веб-интерфейсу" указать IP/подсеть (можно указать несколько IP/подсетей через пробел) |
Plain-text (1 строка — 1 url без указания протокола)
http://[ip-адресРедуктора]:8083/api/acc_inet
В JSON-формате
http://[ip-адресРедуктора]:8083/api/acc_inet?json=1
Формат:
[ [ "Общественная палата Российской Федерации", "oprf.ru" ], ... ]
Как использовать список социально значимых ресурсов
Идеально
Не вдаваясь в детали — клиенты, попавшие в политику отрицательного баланса, должны иметь возможность после авторизации на госуслугах иметь доступ к ресурсам из этого списка. Для задуманной схемы работы этой системы потребуется:
- Создать профиль организации и oauth-приложение на сайте госуслуг.
- Поддержка со стороны биллинга - oauth приложение должно получить данные об авторизации клиента, после чего сопоставить его тем или иным образом с абонентом/учётной записью в биллинге и применить для неё дополнительную политику на BRAS.
- BRAS, на котором реализована доп. политика которая действует как исключение поверх обычной политики запрета доступа при отрицательном балансе).
При этом у абонента в отрицательном балансе должна быть доступна и работать служба DNS (чтобы определить IP-адрес страницы авторизации на госуслугах) и уже быть доступен портал госуслуг.
Упрощённо
 | Данного упрощённого варианта не достаточно для соответствия приказу № 148! |
Для того чтобы хоть с чего-то начать можно исключить этап авторизации на госуслугах и просто сделать социальные ресурсы доступными для всех, без контроля авторизации на госуслугах.
Т.е. создать на BRAS политику, которая разрешает доступ к списку этих ресурсов абонентам, находящимся в списке ограничения доступа из-за отрицательного баланса.
У многих операторов связи уже настроена схожая политика - для доступа абонентов, находящихся в отрицательном балансе к сервисам платёжных систем и банков. Таким образом можно просто объединить эти списки ресурсов.
Если вы уже используете в качестве единственного BRAS систему контроля доступа на Carbon Reductor DPI X
- Настройте "упрощённый" вариант, описанный выше по инструкции. Доступ к госуслугам при нахождении абонентов в отрицательном балансе необходим для последующих этапов реализации приказа №148.
- Переходите к настройке "идеального" варианта - т.е. регистрации oauth-приложения для авторизации через госуслуги, добавления его поддержки в биллинговую систему.
- После этого свяжитесь с службой технической поддержкой Carbon Reductor DPI X для настройки дополнительной политики и обновления текста страницы заглушки для абонентов, находящихся в отрицательном балансе.
Что просить от разработчиков биллинговой системы?
- Поддержку дополнительного списка абонентов и возможность его синхронизации с оборудованием.
- Для синхронизации нужно использовать тот же механизм, через который сейчас работает отправка абонентов в блокировку при попадении в отрицательный баланс
- Наполнение этого списка при авторизации абонентов, находящихся в отрицательном балансе через авторизацию в приложении госуслуг.
- Удаление абонента из этого списка при выходе из отрицательного баланса.