IlyaKirilkin
-
Публикации
32 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем IlyaKirilkin
-
-
Видимо был глюк оператора реестра:) С пробелами :) Сейчас всё работает. Несколько часов назад лостфильм был заблочен весь, сейчас - ровно. Что заблочено, то и заблочено... Вот только сознаются ли они о баге, о кривом операторе - не знаю.
В свежей выгрузке "<url>http://</url>" отсутвует, да. А вот "<url>http://www.lostfilm.tv</url>" никуда не делся
-
Навальный уже в реестре. Вместе с эхой москвы.
-
pfexec
Именно одмина? С котом и шредером?
Negator
Нат отсутствует как класс, так получилось. Нтп ранее сознательно не блокировался ни для кого, теперь для stb сделано исключение.
-
DVM-Avgoor
Сам сегодня наблюдал, как stb самозабвенно херачили по 100 мегабит, результат их коллективного труда поверг в ужас.
Разумеется, случаи бывают разные. Нам вот было проще зарезать лишнее- и нагрузка на сети поутихла и деньги за аплинки сэкономились.
-
DVM-Avgoor
С кем провести беседы? С владельцами SOHO-мыльниц? С приставленными к чужими руками сконфигуренным серверам мальчиками? С владельцами прочего непонятного, типа stb? Как много бесед удастся провести? Сотню-две-три в день?
Резать к чёртовой матери, не дожидаясь перитонита. (с)
-
Ищется идентичное, там же.
-
DruGoe_DeLo
доступ до гуя организовать сможете?
-
Andrei
У нас так же. Потому суппорт и не тратит по пол-часа на объяснения. Хотите роутер - платите деньги, приедем, поставим, настроим. Сами накосячили- платите деньги, приедем, настроим.
-
Andrei
Мальчик бесплатно настраивает клиентское оборудование?
-
DruGoe_DeLo
ага, это нормально. А то, что добавите через консоль- не увидите в гуе -) Почему- я так и не понял -(
Для продакшн-обновления, конечно, заливать надо через консоль.
-
Опубликовано · Изменено пользователем IlyaKirilkin · Жалоба на ответ
vurd
Как нехер. Пусть и не надолго, но вполне запросто. "Технические сбои" и ранее случались. Кстати, на такие случаи у меня список самых популярных сайтов есть, взял с liveinternet.ru и alexa.com . При формировании фильтр-списка сверяемся с топ-листом, и если что то от туда, то в фильтр не попадает. Не очень хочется, что бы в 5 утра вместо вконтактика вдруг появилась заглушка.
-
vurd
Мешает то, что недоступными окажутся http://zhazha.chan.ru, http://pelmeni.chan.ru, http://www.chan.ru. А http://chan.ru/ будет вполне себе функционировать.
Про wayway прочитал, понял и перепроверил. Внесение "site.ru/" в фильтр даст вот такую запись:
982. site.ru:/:*:* 80
И, в соответствии с мануалом ( http://www.cisco.com/en/US/docs/cable/serv_exch/serv_control/broadband_app/rel37x/blacklist/URL_DB_QSG2.html#wp41524 ) будет резать GET / . А GET /index.php будет отлично проходить.
-
vurd
"Правильно" все равно не получится. Звёздочку нельзя, нарывался на такое: *chan.ru закроете, и всякие animechan.ru уедут вместе с ним. В связи с этим www. и пришлось добавлять . Если в фильтре есть wayaway.biz, то остальные странички так и так зафильтруются, так что запись с wayaway.biz/index.php попросту лишняя.
-
vurd
а как именно не так, как должны?
domain так то и не надо считывать, если только средствами сце огораживаетесь. А для неё всё достаточно просто- берёте урлы, отрезаете: http(s):// , слеши в конце и www. в начале. Потом дублируете записи, но с присовокуплённым www. и порядок. Для пущего эффекту- ищите ситуации, когда в списке есть несколько полных урлов и домен (именно в секции url), например какой нить legalrc.biz. В таких случаях полные урлы можно не вносить, а закрывать сразу домен.
-
vurd
Вы сразу доменами закрываете?
-
В общем я столкнулся с такой проблемой.
Чтобы заблокировать все страницы на домене, надо ему скормить vk.com/*
Если просто передать vk.com/, то он будет блокировать именно этот адрес, а например vk.com/index.html уже откроется.
vk.com
Без звёздочек и слешей. Остальное железяка сама допишет.
-
Sergey Gilfanov сейчас один, igetm.com
-
saaremaa
интереса ради воткнул себе этот днс. Порево кое-какое блочит, да. Но по выдаче гугла о способах самоубийства посмотрел всё, что могло бы пригодиться -) Супротив холуя мотивированного не поможет.
-
st_re
догадываются уже, выше писал.
Забивальщики данных из Мосгорсуда топик читают?
http://nnm-club.me/forum/viewtopiс.php?t=660616
Эй, вы не гос. заказ от посторонних глаз прячете, не надо русскую букву с тут писать!
-
AlexanderBr
дейсвтительно, рекомендация такая есть. В ответ можно порекомендовать рекомендателям:
1) разрезолвить gramrc.com из реестра
2) создать и распространить по системе маршрутизации сети доступа оператора связи специальный маршрут для сетевого адреса, определенного на предыдущем шаге
:)
Моё мнение- что в реестре указали, то и блочить. Или пусть выпустят рекомендацию как не угробить сеть такими вот резолвами.
-
alexeypp
столь массово блочат по ip, подозреваю, из-за простоты и дешевизны реализации.
Если абонент прописал левый днс, вписал в hosts нужную запись, поставил tor, прицепился впном к серверу в Зимбабве, продал душу дьяволу или предпринял любые другие действия для обхода того, что вы даёте ему дефолтом- это самые настоящие активные действия абонента, которые побеждать, вроде как, нас никто и не принуждает, главным образом в виду абсолютной бесполезности (поди запрети впн :) ).
Подводные камни, кроме полной недоступности сайта, вроде и не наблюдаются.
-
Опубликовано · Изменено пользователем IlyaKirilkin · Жалоба на ответ
а если заблокированный ресурс сменил адрес (что мы и видим на практике) ?
любая "проверка" тут же выявит НЕблокировку (и не объяснишь ведь "проверяльщикам", что блочишь строго тот ip, что указан в дампе), с соответствующими последствиями...
В конкретно нашем случае (dpi в наличии), для http всё просто- как урл написали, так и режем и низкий уровень не интересен. Для хттпс ситуация более печальная: разнюхать, что там такое, дпи не может, через это ко всему домену хттпс приходится резать. А так A-запись у домена вполне может поменяться, что никак не освобождает нас от обязательства зарезать домен, нужно жестко биндить доменное имя к известному ip-адресу, благо он (адрес) любезно предоставляется.
отсюда получается, что раз за "излишнее рвение" наказания не будет - то "лучше перебдеть, чем недобдеть" ?
да, задача "не пустить вот сюда", а средства достижения не принципиальны, хоть аплинки из бордера выдёргивай.
AlexanderBr
вы резолвите полученные из реестра адреса? А зачем? Там и 127.0.0.1 встречается.
з.ы. Спасибо, Костя! :)
-
Вашего клиента что-то обязует использовать только ваши DNS?
dhcp выдаёт клиенту наши днс.
отсюда возникает логичный вопрос: если за НЕблокировку провайдера ожидают "законные плюшки от РКН/РСН", то что ожидает его же за "случайную блокироку соседнего ресурса" ?
Есть мнение, ничего не ожидает. Для выполнения требования законодательства по блокировке неугодного ресурса, единственным решением в конкретном случае было заблокировать вот так. В реестре же есть ip-адрес, по которому можно закрывать.
-
Товарищи операторы, может вы не будете заниматься самодеятельностью и будете блокировать в точности то, что в списке содержится, без расширенных
толкований "так же доступна по..".
Мы то решительно и всецело за. Да только не хочется нарваться на рьяного проверяющего, который будет твёрдо уверен, что это одна и та же сраничка.
lcgc
Мерси за ссылку. Мы сейчас и так дублируем записи (с www. и без), что, конечно, тоже спорно и не слишком хочется.
Остается открытым вопрос с https. Исходя из разъяснений, выданных надзором, блокировать можно любым из перечисленных способов. Правильно ли я понимаю, что для достижения их хотелки (недоступность такой-то страницы / сайта) мы обязанны использовать хоть все методы сразу (постраничная блокировка, днс, ip-адрес)? Или прокатит закрыть одним из сособов (заведомо неэффективно) и отмазываться "меры приняты, а оно вот так, увы"?
Пока придумалось такое извращение- для записей с https заводить в своём днсе зону, в качестве A-записи указывать тот ip, что указан в реестре и резать доступ к этому айпи по 443 порту. Изврат преследует такую цель- если у неугодного сайта и было много ип-адресов (пример - 2chru.net), то клиент о них и знать не будет, соответственно, будет ломиться на запрещённый адрес и указанная в реестре страничка доступна не будет. Извините за сумбур.
Если программист не повесится, завтра допилим и смогу поделиться.
Ассоциация альтернативных операторов связи
в У нага
Опубликовано · Жалоба на ответ
я за