Релиз Carbon Reductor 8.00.09 1175

Релиз Carbon Reductor 8.00.09 1175

Добрый день!

За последние пару месяцев разработчики хорошо потрудились и выложили крупное обновление в devel‑ветку. Обновление серверов пройдет автоматически.


Самое важное

Исправлена редкая ошибка, приводившая к зависаниям серверов (soft-lockup) и последующей перезагрузке. Всего было зафиксировано 4 случая за 3 месяца, они обошлись без последствий, благодаря использованию резервных серверов фильтрации.

Исправлены проблемы со стартом сервиса фильтрации при изменении параметров ipset, ранее приводило к запуску режима обслуживания и уведомлениям администраторов о возникшей проблеме.

Сервис bgp_blackhole теперь поддерживает работу с IP адресами подсетей.

Списки, реестр, выгрузки

Недавно мы обнаружили особенность работы АС «Ревизор» — он обновляет списки Роскомнадзора через час после того, как они обновятся в источнике. Carbon Reductor обновляет списки в течение нескольких минут после их изменения со стороны Роскомнадзора. Это привело к ситуации, когда АС «Ревизор» зафиксировал фиктивный пропуск по устаревшему списку — сайт, который ранее был заблокирован, разблокировали, но информация о нём в АС «Ревизор» обновилась позже, чем в Carbon Reductor. Теперь используются все списки за последние 24 часа (по умолчанию, но опционально) для исключения рассинхронизации с АС «Ревизор».

Добавлена возможность просматривать изменения выгруженных из реестра Роскомнадзора списков с помощью git в папке `/var/lib/reductor/rkn_history/lists/` (за исключением результатов резолвера и временных файлов от обработки списков).

Добавлена проверка отсутствия файлов запроса и подписи в утилите для выгрузки единого реестра с выводом ошибки понятным для администратора. В заблуждение попадали пользователи, переключившие выгрузку реестра с собственного сервера на выгрузку через Carbon Reductor с использованием запроса и подписи к серверу Роскомнадзора. Проверка работает как при запуске выгрузки, так и при автоматической диагностике сервера.

Добавлена возможность использования Крипто-Про для подписи запроса на сервере с Carbon Reductor 8.

Исправлено:

  • Список Минюста не отображался в веб-интерфейсе.
  • Работа белых списков IP адресов (https).
  • Просмотр информации о списках в веб-интерфейсе показывал информацию не обо всех списках.
  • Демон проверки единого реестра rknd отслеживал только срочные изменения, теперь отслеживает все (интервал проверки — раз в 5 минут).
  • Заполнение списка доменов ресурсов, использующих HSTS при выборе соответствующей опции в мастере настройки.

Интеграция с сетью провайдера

Добавлена поддержка интеграции Carbon Reductor с несколькими маршрутизаторами — система отправки команд (events.sh) теперь поддерживает список хук-файлов, в которых определяется порядок взаимодействия с каждым маршрутизатором.

Информация о сервере

  • В вывод информации о сервере добавлена оценка аппаратной части по шкале от 1 до 10 для того, чтобы Вы и техподдержка могли более полноценно контролировать актуальность Вашего сервера.
  • Вывод информации о сервере теперь показывает все установленные модели процессоров. Сделано для машин с несколькими разными процессорами.
  • Исправлен вывод информации о сервере: при использовании VLAN-интерфейсов для приема зеркала выводились неуместные ошибки ethtool.

Безопасность

Бывают случаи, когда локальная сеть не очень хорошо защищена, поэтому мы добавили пару вещей, которые дополнительно напомнят о безопасности Вашего сервера фильтрации:

  • Проверка смены пароля пользователя root в диагностике. Теперь отображается ошибка в случае использования стандартного пароля.
  • В мастере настройки предлагается использовать нестандартный порт для SSH. При использовании стандартного, диагностика будет выводить ошибку.

Режим обслуживания

Стабилизирована работа режима обслуживания, теперь он запускается при любом рестарте файрвола, даже если не требуется изменять ipset и модули фильтрации.

Прочее

Добавлено:

  • Возможность указать несколько IP-адресов АС «Ревизор» через пробел на случай необходимости проведения технического обслуживания сервера.
  • Добавлена возможность сбора дампа трафика от АС «Ревизор» с помощью инструкции с примерами. Помогает для отладки вновь установленного сервера.
  • Диагностика возможности зацикливания HTTPS-прокси, если HSTS-ресурс резолвится редуктором в его собственный IP адрес. Такое может происходить в случае, если осуществляется фильтрация с помощью DNS-сервера провайдера и при этом и страница заглушка и прокси-сервер находятся на одном сервере.

Исправлено:

  • Минорные ошибки в новом контейнере bgp_blackhole.
  • Вывод ошибок диагностики в веб-интерфейсе теперь показывает только текущие проблемы.
  • Запуск активации мог приводить к уходу сервиса reductor в режим обслуживания при неприменённых ручных изменениях в модулях фильтрации или конфигурации ipset.
  • Выводящиеся в веб-интерфейсе ссылки вели на документацию по Carbon Reductor 7.
  • Мастер настройки зеркала трафика мог не отображать некоторые сетевые устройства.
  • У некоторых вновь пришедших пользователей возникали проблемы с установкой с DVD-диска, теперь установка работает исправно.
  • Утилита cache_ctl не работала.
  • Примеры утилиты list_ctl содержали упоминания старого формата списков.
  • Проблема с правами на временные файлы nginx приводила к отображению веб-интерфейса без CSS.
  • Имена ipset в firewall теперь соответствуют спискам, которые в них загружаются.
  • Проверка наличия трафика теперь использует счётчики модулей фильтрации вместо запуска tcpdump, так же учитывается включены модули или нет.

Спасибо, что пользуетесь Carbon Reductor!

Критичные изменения от АС «Ревизор» для страницы-заглушки

Критичные изменения от АС «Ревизор» для страницы-заглушки

АС «Ревизор» изменил анализ ответа от страницы-заглушки и может неверно засчитывать пропуски.

Все серверы с Carbon Reductor обновлены автоматически.

Для полной уверенности, а также если у Вас используется своя страница-заглушка, Вам необходимо проверить руками запрос вида:
telnet IP_Адрес_заглушки 80
Escape character is '^]'.
GET /.

Примечание: точка после слеш обязательна для этой проверки.

Верный ответ должен быть код 200 и с выводом страницы-заглушки.

Если ответ 301 Moved Permanently — значит воспользуйтесь инструкцией:
http://docs.carbonsoft.ru/pages/viewpage.action?pageId=77791244


Спасибо, что пользуетесь продуктами Carbon Soft!

ООО «НТК»

ООО «НТК»

Есть ли какие-либо минусы в Carbon Reductor?

Ну первоначально, в момент установки, минусов было довольно много, но понятно, что продукт то новый для нас. После того, как отладили, ваша техподдержка говорит «да, передадим разработчику» и неясность перспективы. Вот этот момент немножко был неприятен. Сейчас уже не помню точно, актуальность слегка упала потому, что всё, вроде как, работает нормально, проблем нет. То, что мониторим с завидной регулярностью это понятно, деваться от этого некуда, но вроде всё работает нормально.

Что понравилось в продукте?

Понравился достаточно гибкий подход в плане ценника, разумно всё. Ну и в плане уделённого нам внимания, изначально помогали всё это дело поставить, настроить, подправить.

Ваше итоговое мнение о Carbon Reductor?

Ну штука хорошая вполне, вполне жизнеспособная, и раз мы деньги платим, значит всё делаете правильно.


Спасибо, что выбрали Carbon Soft!

ООО «ГК СТАРТ»

ООО «ГК СТАРТ»

Какие негативные черты видите в биллинге, над которыми можно поработать?

Ух ты как. Черты исключительно положительные, были какие-то там моменты, которые хотелось бы доработать, вот они недавно в вашем голосовании присутствовали, мы используем оборудование компании Mikrotik и одно из пожеланий было, чтобы access-листы добавлялись автоматически. Еще что-то было. Ну вот смотрите, как пожелание — платёжные системы: когда платёж проходит, например через яндекс кассу, после удачно проведённого платежа в личном кабинете абонента идёт редирект на страничку о статусе платежа (платёж проведён успешно или не успешно). Со Сбербанк эквайринг просто закрывается процесс оплаты и тебя выбрасывает на стартовую страницу личного кабинета, и абонент не понимает, оплатилось ли у него или нет, куча вопросов возникает со стороны абонентов, а на самом деле платёж прошел.

А вот вспомнил: что было бы вообще интересно, схема бонусов. Я понял, она появилась недавно, всё хорошо, валюты создаём, всё отлично, суть понятна, но в настоящий момент времени не знаю, как после последнего обновления, но в предыдущем так точно было, бонусы абонентам может начислять исключительно только менеджер. Вот было бы хорошо сделать как у более крупных провайдеров возможность абоненту из личного кабинета самостоятельно тратить бонусы на что он хочет. Всё, а так пожеланий больше, в принципе, нет, всё устраивает.

А какие плюсы видите?

Ну вы сами прекрасно знаете свои плюсы, поэтому они точно такие же. Ну, всё понятно, хорошая техподдержка, отзывчивая, с биллингом работать удобно, разберётся даже ребёнок, работает стабильно, всё устраивает. Ну и по цене тоже, достаточно адекватный ценник.

Ваша оценка по десятибалльной шкале?

10 и поставил бы.


Спасибо, что выбрали Carbon Soft!

Среди наших клиентов