Таможенный форум Альта-Софт

Здравствуйте, просьба создать в этой ветке тему с подобным названием и закрепить ее в шапке.
Из-за смены IP с 5-го числа наша организация не могла отправлять ГТД.
Получилось следующее: изменился IP адрес сервера svd.alta.ru, данный адрес не был внесен в настройки нашего брендмауэра.
Просьба заранее оповещать об изменениях адресов сервера.

p.s. Я не занимаюсь именно ЭД, я занимаюсь только связью, если данные вещи рассылаются по почте уже конечным пользователям, то у администраторов не всегда есть возможность прочитать эту почту. В основном информацию черпаем с сайта и форума.
Заранее благодарен.

TDMVS писал(а):Здравствуйте, просьба создать в этой ветке тему с подобным названием и закрепить ее в шапке.
Из-за смены IP с 5-го числа наша организация не могла отправлять ГТД.
Получилось следующее: изменился IP адрес сервера svd.alta.ru, данный адрес не был внесен в настройки нашего брендмауэра.
Просьба заранее оповещать об изменениях адресов сервера.

p.s. Я не занимаюсь именно ЭД, я занимаюсь только связью, если данные вещи рассылаются по почте уже конечным пользователям, то у администраторов не всегда есть возможность прочитать эту почту. В основном информацию черпаем с сайта и форума.
Заранее благодарен.

А вы не пробывали настраивать брендмауэр по каноническим именам ? Мы вот даже не заметили если такое было. Все таки адреса берутся с ДНС сервера.

Koteneff писал(а):

TDMVS писал(а):Здравствуйте, просьба создать в этой ветке тему с подобным названием и закрепить ее в шапке.
Из-за смены IP с 5-го числа наша организация не могла отправлять ГТД.
Получилось следующее: изменился IP адрес сервера svd.alta.ru, данный адрес не был внесен в настройки нашего брендмауэра.
Просьба заранее оповещать об изменениях адресов сервера.

p.s. Я не занимаюсь именно ЭД, я занимаюсь только связью, если данные вещи рассылаются по почте уже конечным пользователям, то у администраторов не всегда есть возможность прочитать эту почту. В основном информацию черпаем с сайта и форума.
Заранее благодарен.

А вы не пробывали настраивать брендмауэр по каноническим именам ? Мы вот даже не заметили если такое было. Все таки адреса берутся с ДНС сервера.

К сожалению наш апаратный брендмауэр не позволяет нарезать права по каноническим именам, тупо есть группа называемая AltaServ в которую включаются IP адреса. И соответственно разрешения для клиента конектится только по адресам этой группы.

действительно проблема. тогда лучше просить организовать рассылку на е-мейл. такие вещи как смена ip загодя готовятся. как админ админу. с уважением.

Koteneff писал(а):действительно проблема. тогда лучше просить организовать рассылку на е-мейл. такие вещи как смена ip загодя готовятся. как админ админу. с уважением.

e-mail как вариант, но я думаю более реально и не трудозатратно это отображать подобные вещи или в новостях или тут на форуме(а лучше и там и там).
Первым делом обновил само ПО, затем зашел сюда, посмотреть возможно что то в настройках изменилось, ни чего не нашел, затем стал звонить в Альту. Ответ в службе поддержки Альты немного поразил: Проблемы у вас, до нас от вас ни чего не доходит, про IP ни слова, то что сменился IP случайно понял когда решил пингануть svd.alta.ru и сравнил IP с теми которые были в моей группе. По сути решение проблемы - дело 2-х минут, но растянулось все почти на день. И виноватыми остались Админы!

TDMVS писал(а):

Koteneff писал(а):действительно проблема. тогда лучше просить организовать рассылку на е-мейл. такие вещи как смена ip загодя готовятся. как админ админу. с уважением.

e-mail как вариант, но я думаю более реально и не трудозатратно это отображать подобные вещи или в новостях или тут на форуме(а лучше и там и там).
Первым делом обновил само ПО, затем зашел сюда, посмотреть возможно что то в настройках изменилось, ни чего не нашел, затем стал звонить в Альту. Ответ в службе поддержки Альты немного поразил: Проблемы у вас, до нас от вас ни чего не доходит, про IP ни слова, то что сменился IP случайно понял когда решил пингануть svd.alta.ru и сравнил IP с теми которые были в моей группе. По сути решение проблемы - дело 2-х минут, но растянулось все почти на день. И виноватыми остались Админы!

ну откуда в техподдержки об этом знать ? Там свои админы в общем на работоспособность смена айпишника никак не влияет. У нас к примеру - любой нестандартный случай - виноваты админы. Меня когда на работу нанимали - так и предупредили - будь готов всегда быть виновным. Не хочу сказать, что начальство шло целенаправленно на приобретение "козла отпущения", но на нас списывать любые проблемы всегда проще.

Система разграничения нагрузки на канал может регулярно менять ip по своему усмотрению. Поэтому я с трудом себе представляю каким образом это можно будет постить на форуме или рассылать по e-mail.

Ranger_Z писал(а):Система разграничения нагрузки на канал может регулярно менять ip по своему усмотрению. Поэтому я с трудом себе представляю каким образом это можно будет постить на форуме или рассылать по e-mail.

А.... тогда понятно все. Я думаю надо коллеге обозначить все свои реквизиты, что бы он их занес в маршрутизатор.

Ranger_Z писал(а):Система разграничения нагрузки на канал может регулярно менять ip по своему усмотрению. Поэтому я с трудом себе представляю каким образом это можно будет постить на форуме или рассылать по e-mail.

Тогда какой выход? Когда настраивал связь для ЭД, просил прислать адреса серверов и порты по которым идет передача данных, про сервера промолчали. Я по регламенту инф. безапасности на нашем предприятии не имею права открыть им полный доступ в нет по 80 и 443 портам, железка выступающая в качестве брендмауэра не может разрешать канонические адреса, только АйПи. Можно каким нибудь образом получить список возможных АйПи, чтобы я создал группу?
Либо же мне снова ждать когда упадет канал, отслеживать адрес и вносить его в список?

TDMVS писал(а):

Ranger_Z писал(а):Система разграничения нагрузки на канал может регулярно менять ip по своему усмотрению. Поэтому я с трудом себе представляю каким образом это можно будет постить на форуме или рассылать по e-mail.

Тогда какой выход? Когда настраивал связь для ЭД, просил прислать адреса серверов и порты по которым идет передача данных, про сервера промолчали. Я по регламенту инф. безапасности на нашем предприятии не имею права открыть им полный доступ в нет по 80 и 443 портам, железка выступающая в качестве брендмауэра не может разрешать канонические адреса, только АйПи. Можно каким нибудь образом получить список возможных АйПи, чтобы я создал группу?
Либо же мне снова ждать когда упадет канал, отслеживать адрес и вносить его в список?

К сожалению, адреса действительно могут меняться. Желательно настроить на железе правило пропускать весь сетевой трафик на домены по маске *.svd.alta.ru по порту 443 (https).

Возможно, с помощью какого-то скрипта, который бы проверял куда ссылается вышеуказанных хост и дописывал это в правило.

Смена IP адреса при условии работы софта по доменному имени является стандартной технической операцией информировании о которой конечный пользователь не проводится, тем более мы всегда поддерживаем работу по старому адресу на протяжении нескольких дней, чтобы провайдерские и корпоративные ДНС сервера гарантированно успели обновиться.

Для крупных проектов, часто используется целый ряд записей, например "nslookup -type=A mail.ru" выдает сразу 5 адресов, которые могут завтра измениться, что не коим образом не скажется на работе сервера.

Рассылать же подобные уведомления мы не можем, т.к. для подавляющего большинства пользователей услуги это информация не будет значимой, а, наоборот, может смутить менее искушенных в технических вопросах клиентов.

Надеюсь на Ваше понимание, что необходимость наращивание мощности и надежности работы системы в т.ч. за счет ввода в строй дублирующих серверов требует некоторых изменений.

При всем моем глубоком уважение, Стас, это не выход для коллеги.
Если у вас несколько каналов (возможно разных провайдеров) ему будет интересно знать статические ли на них ip адреса и их список. У него же не софтверный брендмауэр. А "железный", а там не всегда бывает гибкий интерфейс и настройки (по своему опыту администрирования знаю).

Ну в таком случае прошу описание данной проблемы внести в FAQ как ответ на вопрос о причине внезапного отказа системы отправлять документы.
Ведь закон №152 от 27.07.06 все в большей и большей мере реализуется на просторах нашей необъятной родины, в котором определено что ЛВС организации должна быть защищена. А вот способы реализации данной защиты каждый вибирает самостоятельно.

Koteneff писал(а):При всем моем глубоком уважение, Стас, это не выход для коллеги.
Если у вас несколько каналов (возможно разных провайдеров) ему будет интересно знать статические ли на них ip адреса и их список.

Koteneff, для обслуживания наших клиентов и решения связанных с этим технических задач мы используем географически распределенную систему серверов на которых задействовано более десятка различных по размеру блоков статических интернет адресов, значительная часть которых может быть задействована (как в плановом, так и в оперативном режиме) для решения тех или иных задач.

Публикация исчерпывающей информации по используемому адресному пространству не совместима с политикой информационной безопасности, а публикация текущий ситуации бессмысленна, т.к. ввести команды "nslookup svd.alta.ru" и "nslookup cert.svd.alta.ru" намного проще и быстрее, чем искать где-то подобную информацию.

Koteneff писал(а):А "железный", а там не всегда бывает гибкий интерфейс и настройки (по своему опыту администрирования знаю).

В данном случае, могу сказать только очевидное: при выборе подобного оборудования следует выбирать системы с необходимым минимальным уровнем гибкости конфигурации или возможностью "прикручивания" внешних скриптов или модулей динамически обновляющих данную конфигурация.

TDMVS писал(а):Ну в таком случае прошу описание данной проблемы внести в FAQ как ответ на вопрос о причине внезапного отказа системы отправлять документы.
Ведь закон №152 от 27.07.06 все в большей и большей мере реализуется на просторах нашей необъятной родины, в котором определено что ЛВС организации должна быть защищена. А вот способы реализации данной защиты каждый вибирает самостоятельно.

Текущая практика не позволяет отнести данный вопрос к FAQ, т.к. подобная ситуация применима менее, чем к одному проценту пользователей, услуги. Но, думаю, этот вопрос вполне может быть отражен в технической документации.

Stanislav писал(а):
В данном случае, могу сказать только очевидное: при выборе подобного оборудования следует выбирать системы с необходимым минимальным уровнем гибкости конфигурации или возможностью "прикручивания" внешних скриптов или модулей динамически обновляющих данную конфигурация.

Ну на это есть тоже довольно весомый аргумент: Лучший бреднмауэр это 2 милиметра воздушного "зазора" между кабелями. И чем "железка" железнее, тем безопасность больше.

TDMVS писал(а):Ну на это есть тоже довольно весомый аргумент: Лучший бреднмауэр это 2 милиметра воздушного "зазора" между кабелями. И чем "железка" железнее, тем безопасность больше.

Ну так то оно так, но когда таковая безопасность не дает возможность полноценно работать в рамках общепринятых стандартов (в т.ч. принятых в области сетевых технологий, как то dns имена) это уже не хорошо. ИМХО, всегда нужно искать "золотую середину" между "все разрешено" и "воздушным зазором", благо на рынке подобных устройств выбор достаточно велик по всем классам решений.

К сведения всех, кто отслеживает IP: ближайшее время для повышения качества сервиса в его работе будут задействованы адреса 83.222.15.192 и 83.222.15.193

Обязательно пропишите их, без них может не работать.