Блокировка веб ресурса   464 пользователя проголосовало

  1. 1. Для блокировка используем


Пожалуйста, войдите или зарегистрируйтесь для возможности голосования в этом опросе.

Здравствуйте, тема не нова, но все же. Для себя сформировал 3 основных варианта:

 

1. Блок по IP

2. DNS blackhole (ну это заводим зону с А 127.0.0.1)

3. DPI

 

3ий вариант точно не пройдет в силу масштаба предприятия.

2ой вариант пройдет, если прикрыть dns трафик наружу, ну как-то облачно и неуверенно.

 

Блокировка по IP - просто, быстро, надежно, НО!

Как происходит процедура (в моем случае): смотрим А запись, добавляем хост(ы) в табличку, форвардим все запросы на 80,443,8080 порты к хостам из таблички на нашу страничку с "Приветствием".

 

Но что мешает взять IP адреса популярных ресурсов, повесить как А запись на заблокированный домен,и угарать. Еще веселее, если идет блокировка всего трафика с IP.

 

Ждем 1го Ноября и реестра...

Изменено пользователем a-zazell

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для того, что будет прописано в реестре как IP - блокировка по IP. Полная, без всяких портов.

Для того, что будет прописано как URL - по DNS, псевдозоной.

Заблокируют "популярные ресурсы" - ССЗБ, страничка однозначно будет выводить на сайт с указанием источника блокировки.

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно комбинировать решения. Например IP+DNS+DPI, т.е. блокировать IP если явно указан IP, блокировать домен, если указан только домен и заворачивать на DPI трафик с тех IP, для которых указаны url, таким образом не придётся гнать весь трафик через DPI

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно комбинировать решения. Например IP+DNS+DPI, т.е. блокировать IP если явно указан IP, блокировать домен, если указан только домен и заворачивать на DPI трафик с тех IP, для которых указаны url, таким образом не придётся гнать весь трафик через DPI

 

Да, спасибо, в этом направлении думал. Поднять зоны на DNS, что отсечет значительную часть запросов. А если идет запрос на хост из списка, то направлять его на squid (ipfw fwd), со сквидом не работал, тонкостей не знаю, будем читать...

 

Update: Вот тут обсуждалось кстати

Изменено пользователем a-zazell

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Меня больше вот что интересует :)

"http://site1.ru/page1.html"

пример из

http://zapret-info.gov.ru/docs/description_for_operators_2012-10-26v1.2.pdf

 

<content id="1" includeTime="2012-01-01T01:01:01">

<decision date="2012-01-01" number="Решение №1" org="ФОИВ №1"/>

<url><![CDATA[http://site1.ru/page1.html]]></url>

<ip>1.1.1.1</ip>

</content>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос что у нас есть из программного DPI ?

напрмер под линукс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос что у нас есть из программного DPI ?

напрмер под линукс?

 

по сути, ничего серьёзного. есть простенький модуль string для iptables, который делает поиск подстроки в строке в пакете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

моя имха - нужен аппаратный контент фильтр с анализом начала tcp соединения и http сессий, все остальное пляски с бубном. Если закон пройдет, скорее всего можно ожидать появления обязательной железки типа сорм-а

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нужен аппаратный контент фильтр с анализом

Так есть жеж..... ;)

DPI моей мечты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по сути, ничего серьёзного. есть простенький модуль string для iptables, который делает поиск подстроки в строке в пакете.

А возможно ли кроме блокировки с использованием string для iptables, сделать еще и редирект на страницу с уведомлением, почему "данный ресурс недоступен"?

А то ТП будет грустно объяснять каждому из "интересующихся", почему "не работает Интернет" (а в 90% случаев вопрос будет поставлен именно так).

 

P.S. Попытался реализовать сиё с помощью DNAT в цепочке PREROUTING, но как оказалось, string match "domain.ru" в ней не работает. Не ругается, но и не работает.. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что то не нравится мне эта фишка с string для iptables....

На сколько быстро это работает?

У кого то есть практика использования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что то не нравится мне эта фишка с string для iptables....

На сколько быстро это работает?

У кого то есть практика использования?

Есть практика. Юзаю сиё для блокировки всяких "кавказов" (по прокуратурским постановлениям). В цепочке FORWARD работает.

Насчет насколько это быстро работает, сказать ничего не могу, не исследовал. При 800М на бордере с НАТ-ом проблем от этого не заметил.

Проблема в том, что в пользовательском браузере такая блокировка отображается как "недоступность" ресурса, что соотв. может вызвать "неадекватную реакцию" у юзеров..

Хотел вот прикрутить для редиректа на страницу с уведомлением, но как уже писал выше, не работает это в PREROUTING с DNAT-ом..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что то не нравится мне эта фишка с string для iptables....

На сколько быстро это работает?

У кого то есть практика использования?

Если запрос будет разбит на несколько пакетов большая вероятность пропустить то что нужно блокировать. Пока это не актуально, но кто знает какие плагины/локальные прокси народ себе понаставит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хотел вот прикрутить для редиректа на страницу с уведомлением,

А если просто на оффсайте страничку, со списком блокируемых Вами URL. А потом уж что то додумать.

Если запрос будет разбит на несколько пакетов большая вероятность пропустить то что нужно блокировать. Пока это не актуально, но кто знает какие плагины/локальные прокси народ себе понаставит.

В том то и дело, что пока. Больше на заглушку временную похоже.

Тут наверное поможет лишь глубокий DPI. Уровня, примерно как я приводил ссылку )

Изменено пользователем bomberman

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если просто на оффсайте страничку, со списком блокируемых Вами URL. А потом уж что то додумать.

Не вариант. Оффсайт посещают единицы, некоторые даже не знают о его существовании...

Больше на заглушку временную похоже.

Надеюсь, что так оно и будет.

Чиновники отчитаются об успешно проведённой операции под кодовым названием "Ветряные мельницы" , получат бабульки, отведенные на это дело и успокоятся до следующей "мусульманской кинЫ". ;)

Ну а сейчас хошь не хошь, надо как-то выкручиваться, особенно перед своими клиентами и постараться максимально свалить с себя ответственность за сей беспредел.

В глазах клиента всегда в первую очередь виноват провайдер последней мили..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если просто на оффсайте страничку, со списком блокируемых Вами URL. А потом уж что то додумать.

Не вариант. Оффсайт посещают единицы, некоторые даже не знают о его существовании...

 

Очень даже вариант... Отдельные группы граждан будут благодарны списку с сайтами определенной тематики. Искать ничего не надо. А уж как пробраться через Ваш фильтр они найдут. Главное список есть и в гугле со странными запросами палиться не надо :)

 

Этакие Yellow Pages...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если просто на оффсайте страничку, со списком блокируемых Вами URL. А потом уж что то додумать.

И сюда ссылку дайте, а то не все ещё с ЭЦП утрясли :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отдельные группы граждан будут благодарны списку с сайтами определенной тематики. Искать ничего не надо.

Ничего со временем это всё равно будет в сети. :)

А вообще, всё хорошо.... Какой закон, такое и решение )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В том то и дело, что пока. Больше на заглушку временную похоже.

Тут наверное поможет лишь глубокий DPI. Уровня, примерно как я приводил ссылку )

 

Реально поможет только полицейский за спиной каждого интернет-пользователя. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В black-list более 70 доменов, сделал заглушку на DNS (ну понятно что для самых "простых" пользователей). По счетчикам за день (трафик до 1Гбит/с):

 

<rule number> 331 32731 fwd <ip>,403 tcp from any to table(125) dst-port 80 out xmit wan

А это снаружи к нам

<rule number>  3   132 deny tcp from table(125) 80,443 to any in recv wan

 

Правила для наглядности слегка изменены (=

На очереди squid transparent, при таком кол-ве пакетов думаю справится. А в табличке 125 все ip адреса из А записей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В black-list более 70 доменов...

...А в табличке 125 все ip адреса из А записей.

Гм.. Так получается самая что ни есть банальная блокировка по IP.

Для чего тут black-list с доменами? Только для того, чтобы выцепить нужные IP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Гм.. Так получается самая что ни есть банальная блокировка по IP.

Для чего тут black-list с доменами? Только для того, чтобы выцепить нужные IP?

 

Это подготовка, идея такая

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хм. Кому-нибудь удалось корректно подружить tproxy и nginx(не в freebsd)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по сути, ничего серьёзного. есть простенький модуль string для iptables, который делает поиск подстроки в строке в пакете.

А возможно ли кроме блокировки с использованием string для iptables, сделать еще и редирект на страницу с уведомлением, почему "данный ресурс недоступен"?

А то ТП будет грустно объяснять каждому из "интересующихся", почему "не работает Интернет" (а в 90% случаев вопрос будет поставлен именно так).

 

P.S. Попытался реализовать сиё с помощью DNAT в цепочке PREROUTING, но как оказалось, string match "domain.ru" в ней не работает. Не ругается, но и не работает.. :(

 

1. это нельзя сделать силами только iptables и обычных веб-серверов по той причине, что сам HTTP-запрос делается уже после установления tcp-сессии. и если вы даже зарулите трафик на свой сервер, то он будет видеть просто какой-то трафик(у него не будет tcp-сессии)

 

2. поаккуратнее со string, если вы блокируется строчку "watch?v=XXX", то вы блокируете ещё и страничку, которая просто даёт ссылку(если искомая подстрока не будет в разных IP-пакетах)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Вы комментируете как гость. Если у вас есть аккаунт, пожалуйста, войдите
Ответить в этой теме...

×   Вы вставили контент с форматированием.   Удалить форматирование

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор