boco

наверное вместо этого можно было сделать "ip route x.x.x.x/x Null0", лишнее правило в фаерволе - не айс.

http://wiki.mikrotik.com/wiki/Manual:RouterOS_FAQ: I cannot surf some sites when I use PPPoE. Use /ip firewall mangle to change MSS (maximum segment size) 40 bytes less than your connection MTU. For example, if you have encrypted PPPoE link with MTU=1492, set the mangle rule as follows: / ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn action=change-mss tcp-mss=!0-1448 new-mss=1448 не оно?

засад там полно. =( для разбора этого списка придется применять искусственный интеллект. например: <content id="83" includeTime="2012-11-11T14:15:25"> <decision date="2012-11-04" number="2/1/16417" org="ФСКН"/> <url> <![CDATA[ http://lurkmore.to/Конопля/Способы_употребления ]]> </url> <ip>85.17.124.180</ip> </content> такой урл браузер преобразует в http://lurkmore.to/%D0%9A%D0%BE%D0%BD%D0%BE%D0%BF%D0%BB%D1%8F/%D0%A1%D0%BF%D0%BE%D1%81%D0%BE%D0%B1%D1%8B_%D1%83%D0%BF%D0%BE%D1%82%D1%80%D0%B5%D0%B1%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F <content id="84" includeTime="2012-11-11T14:17:38"> <decision date="2012-11-04" number="2/1/16419" org="ФСКН"/> <url> <![CDATA[ cannabisnature.com ]]> </url> <ip>94.75.214.20</ip> </content> это - не url, по идее, должно быть описано как <domain>...</domain> <content id="142" includeTime="2012-11-11T17:23:07"> <decision date="2012-11-05" number="2/2/16482" org="ФСКН"/> <url> <![CDATA[ http://lib.rus.ec/b/175947/read#t12 ]]> </url> <ip>94.102.50.103</ip> </content> а это вообще хит сезона - предлагается заблочить конкретный параграф на страничке... что интересно, все эти абсурдные элементы списка вносятся одним органом - ФСКН. секретарша у них там, что ли, реестр ведет? с таким подходом к набивке реестра у операторов никаких dpi не хватит, придется блокировать по ip.

если вместо клиентского пакетика заслать на сервер пакет с rst, то он, по идее, должен закрыть соединение безо всякого подтверждения клиенту.

прошу прощения, я тормоз. =) в ack же содержится sequence number...

по-моему, это невозможно, если в "dpi" попадает только исходящий от клиента трафик. Это как ? Незапрошенный контент сам приходит ? Это не почтовый спам, это запрос от клиента... что "как"? я не понял вопроса. я говорю о том, что давать клиенту редирект на страничку "а-та-та" при использовании полудуплексной схемы фильтрации (когда на фильтрующую железку попадает только трафик идущий от клиента к http-серверам) не получится, потому что фильтрующая железка не имеет доступа к sequence number удаленной стороны. http://ru.wikipedia.org/wiki/TCP_hijacking

по-моему, это невозможно, если в "dpi" попадает только исходящий от клиента трафик.

а если net.inet6.ip6.auto_linklocal=0 ?

это проблема вносящих. ипе из списка заблокирован? заблокирован. контент доступен? а нам то какая до этого печаль. То есть, Вы планируете блокировать сразу по IP? Или по IP только те ресурсы, которые раздаются CDN-ами?

Кстати. Об этом я тоже подумал. Выдаем каждому гражданину флешку с ЭЦП. Все компьютеры которые грузятся без такой флешки - в утиль. Профит! =) Есть же законы против коротковолновиков...

вот кстати. подумал. недавно. яндекс выпустил свой браузер. на самом деле он ничем от хрома не отличается. кроме... в браузер же совсем просто встроить нужный функционал. остается только запретить пользоваться всеми остальными браузерами. читал где-то в новостях, что парламентарии мечтают ограничить пользование проксями и анонимайзерами. думаю, им стоит ограничить пользование браузерами...

а это уже не наша проблема, блочим IPы из реестра, а что на них висит дело десятое Нет, ну это-то понятно. Я смотрю на процесс с точки зрения ведущего реестра. Скажем, если ресурс разместится в CDN, который подсовывает разные IP-ы для разных регионов, то у ведущего реестра возникнут сложности с определением списка IP-ов, которые надо заблокировать.

Даже с жесткой блокировкой по IP могут возникнуть некоторые проблемы. Скажем, пресловутый "кавказцентр" меняет IP-ы как перчатки.

Одна железка SR1630GP со стоковыми картами фильтрует порядка 270 kpps (20 Мбайт/сек) исходящего http-трафика. FreeBSD 8.x, два snort'а, никакого особого тюнинга, 363 правила. Больше 270 kpps лучше не нагружать (тупо начинаются дропы на интерфейсах), а ставить рядом вторую, третью, десятую. На R1304B производительность, наверное, будет чуть повыше за счет более "правильных" карт и более быстрой памяти. Цена вопроса - около штуки баксов. Это именно что с использованием самого обычного железа и софта (имеющейся инфраструктуры). Если писать что-то свое (например, с использованием netmap), то, наверное, можно и больше отфильтровать. К примеру, взять за основу http://info.iet.unipi.it/~luigi/dummynet/#8696

http://forum.nag.ru/forum/index.php?showtopic=38023&view=findpost&p=759024

почему не гибко? создаете трубы нужного размера и номера труб - аргументами в таблицы. очень гибко. размер трубы любой, индивидуально на абонента. про mask не слушайте. это для dynamic pipes, вам это не нужно.

Блокировать урлы, которые укажет прокурор. Насчет https - возможно, вы залогинены в акккаунт гугля. Для анонимусов никакого редиректа нет.

Блокировать :) Да, придется весь http гнать через DPI :(

Q: Can I talk about GGC with my customers and peers? Can I include references to GGC in my marketing collateral? A: In short, no. We'll ask your company to consider this agreement and associated activity to be commercially confidential while the Google Global Cache solution remains in beta.

нет, аргументы у ip-адресов будут разными. аргумент - номер пайпа. делается это для того, чтобы минимизировать число правил фаервола.

таблицы две - для in и out: ipfw add pipe tablearg all from table\(1\) to any in ipfw add pipe tablearg all from any to table\(2\) out

а он не пояснил, как объяснять широкой публике причину недоступности всех хостов, которые имеют несчастье размещаться на блокируемом ip? я имею в виду, что сейчас на вопрос "какого..." мы можем ткнуть в "федеральный список". а если такого списка не будет в общем доступе, то что отвечать возмущенным клиентам?

вы скипаете трафик с/на speedtest.net, но пробники-то не на speedtest.net находятся, а в самых разных точках. что касается атрибутов mpd, то все сделали верно.

redistribute connected route-map ... http://serjteam.wordpress.com/2010/02/01/ospf-nooby/ не знаю, работает ли distribute-list. у себя мы отказались от ospf в пользу bgp. там route-map вешаем на нейбора. примерно так: router bgp ASN neighbor UPLINK route-map TO-REFLECTOR out ! ip prefix-list VPNETS seq 10 deny 127.0.0.0/8 ip prefix-list VPNETS seq 15 deny 127.0.0.0/8 ge 9 ip prefix-list VPNETS seq 20 deny 10.0.0.0/8 ip prefix-list VPNETS seq 25 deny 10.0.0.0/8 ge 9 ip prefix-list VPNETS seq 40 permit 0.0.0.0/0 ge 1 ! route-map TO-REFLECTOR permit 10 match ip address prefix-list VPNETS ! route-map TO-REFLECTOR deny 20

я извиняюсь, а зачем вам там вообще динамическая маршрутизация в озвученных условиях? пропишите статикой маршрут на каждый /22 и все.