Настройки

Skip to end of metadata
Go to start of metadata

Обновление Carbon Reductor

Скачивать все обновления

При включенной опции обновление будет происходить приблизительно раз в 3-4 дня, в 7 утра по местному времени.

При наличии доступной новой версии запуск обновления происходит с вероятностью 30% (чтобы на случай случайно просочившихся в продукт критических ошибок имелось время удалить "плохую" версию, подготовить исправление и успеть помочь всем, кто пострадал от неудачного обновления).

Скачивать критические обновления

Проверяется наличие обязательной для срочного обновления версии (помечается нами при обнаружении и исправлении критических ошибок) раз в час (с случайно задержкой до 3 минут после проверки, чтобы не происходил "DDoS" наших серверов).

Выпускается обычно не чаще раза в 2-3 месяца.

Регистрация Carbon Reductor

Заполняется полностью автоматически при запуске. Может понадобиться, разве что нашей технической поддержке при отладке.

Администраторы

Список IP адресов

Перечислите через пробел список IP адресов администраторов, которым позволено подключаться к веб-интерфейсу Carbon Reductor.

Настройка алгоритма фильтрации

Блокировать https-ресурсы по IP

Использует IP адреса ресурсов из реестра (вне зависимости от протокола) для создания ipset для которого запрещён доступ к 443 порту.

Использовать nslookup для определения IP

Добавляет к полученному в пункте выше ipset результаты резолва доменов https-ресурсов из реестра.

Просмотреть результаты резолва можно командой

/usr/local/Reductor/bin/nice_json /usr/local/Reductor/cache/https.json

Перенаправление на страницу-заглушку

Использовать модуль редиректа http-запросов для перенаправления на страницу заглушку.

Если отключен - будет использоваться дефолтный ipt_REJECT.

URL страницы-заглушки

Укажите ссылку, например:

http://your.own.block.page/blocked.html

Добавлять домен в редирект

При переходе на указанную страницу блокировки к её адресу будет добавляться строка:

?domain=заблокированный.домен

Использовать список МинЮста

Если отключена - при обработке списков будет удаляться файл minjust.list, возможно добавленный ранее.

Автоматически обновлять список МинЮста.

Раз в час обновлять обработанный нами список экстремистских материалов.

Синхронизировать IP-адреса подсетями

Вместо ≈20000 IP адресов хостов на сервер будут отсылаться ≈1290 подсетей (на 26.06.2017), в результате снижается нагрузка на маршрутизаторы и ускоряется процесс синхронизации.

Требует незначительных изменений на стороне маршрутизатора (должен поддерживать приём команд с подсетями) и в хуке (функция получения списка IP может отсекать маску из ответа с сервера). Возможно потребуется ручное зануление ipset/списка ip перед синхронизацией после включения новой опции.

Обработка списков начиная с версии 7.6.0 подготавливает два списка для блокировки по IP: развёрнутый до IP хостов lists/load/ip_block.list и агрегированный по подсетям lists/load/ip_subnet_block.load

Влияет только на логику работы events.sh.

Включить NOTRACK для пакетов с зеркала

Экспериментальная опция. Добавляет NOTRACK правила для всего трафика входящего с интерфейсов зеркала в файрвол. Может очень сильно снизить нагрузку, к примеру:

До:

после:

Может привести к потере доступа в интернет сервера с Carbon Reductor (и соответственно отсутствию выгрузок единого реестра), а также проблемам с подключением к нему по SSH.

Предположительно это происходит только в ситуации если его собственные пакеты попадают к нему в зеркало.

Если решили вопрос с попаданием его собственных пакетов в зеркало и решили включить эту опцию - рекомендуется пронаблюдать за ним около недели.

Прочие настройки

Включить диагностику раз в час

Крайне не рекомендуется отключать эту опцию при использовании Carbon Reductor в продакшне.

Исправляет найденные ошибки по мере возможности и сигнализирует о них администраторам.

Слать отчёт об ошибках разработчикам

Отчёты о возникших ошибках будут дублироваться на наш email в том же виде, что и для администраторов.

Анализируются вручную только сообщения от клиентов с подпиской аутсорсинг (2500+) и сопровождение (10000+).

Остальные сообщения анализируются автоматически для обнаружения массовых проблем.

Слать отчёт об ошибках администратору

Опция помогает своевременно узнать о возникших на сервере проблемах и исправить их.

Отключать в случае большого числа писем об ошибках не рекомендуется, правильнее исправлять эти ошибки.

Наша техническая поддержка готова помочь с этим.

Дополнительные e-mail администраторов

Обычно в настройках выгрузки указывают email более-менее официальный для связей с Роскомнадзором.

Чтобы не засорять его спамом - укажите в этой опции через пробел адреса системных администраторов, которые должны следить за состоянием сервера Carbon Reductor.

Учитывайте - при указании хотя бы одного адреса в этой опции письма перестанут посылаться на основной email.

Если вам нужно чтобы они приходили и туда - просто продублируйте его в этой опции.

Не проверять настройки сети при старте

Отключает проверку наличия бриджа при старте. Нужна при использовании схемы с L3 mirror.

Не оптимизировать нагрузку на подсистему роутинга

По умолчанию Carbon Reductor ограничивает весь трафик кроме необходимого для работы и фильтрации в mangle PREROUTING.

В случае, если вы шлёте полный миррор (без указания протоколов / RxTx) весь этот трафик будет создавать бесполезную нагрузку на сервер.

В случае, если миррор довольно хорошо настроен, можно отключить.

Настройки выгрузки единого реестра

Включить автоматическое обновление списков

Нужно как для выгрузок с сервера роскомнадзора, так и при использовании собственного.

Название вашей компании, ИНН, ОГРН

Используется для регистрации/активации Carbon Reductor и формирования запроса на выгрузку единого реестра.

Почта для связи

Используется для регистрации/активации Carbon Reductor и формирования запроса на выгрузку единого реестра.

Также используется для отправки уведомлений о возникающих на Carbon Reductor проблемах, если не заданы email-адреса администраторов.

Установка сертификата с USB-токен

Запускает экспорт закрытого ключа, используемого для подписи запроса на выгрузку единого реестра (provider.pem) из .pfx контейнера.

Обновлять список со своего сервера, а не РКН

На случай, если вы выгружаете списки на своём сервере и не хотите этого менять (не доверяете закрытый ключ / выгружаете списки вручную итд).

URL с dump.xml на своём сервере

Используется для скачивания dump.xml wget'ом. Желательно использование HTTP.

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.