drdaeman

Второй раз меняют уже, не могут решение суда записать :) Теперь URL'ы http'шные стали. Что странное - сервер на 443 порту замолчал (а вроде раньше отвечал, если мне не приснилось).

Не могу шейперы победить. Вот есть шейпинг как его делает ванильный accel-pppd 1.7. Просто, удобно, работает. Но не знала баба горя, купила баба порося. Потребовалось добавить правила, которые по-другому ограничивают определенную подсеть (скажем, 10.0.0.0/8). «Вниз», к клиенту, не проблема. Включил ppp_compat, в ip-up, видя поставленный htb qdisc, делаю: tc class add dev "$IFNAME" parent 1: classid 1:99 htb rate 100Mbit tc filter add dev "$IFNAME" parent 1:0 prio 0 protocol ip u32 match ip src 10.0.0.0/8 flowid 1:99 Аналогично в ip-change, на ip-down плевать, интерфейс сам пропадет и классы-фильтры с ним. В общем, собственно, пусть оно и некрасиво, но работает. А вот «вверх» не выходит каменный цветок. Поскольку фильтр flow уже имеет приоритет 1 (меньшее, что удается сунуть, при попытке filter add prio 0 в приоритете оказывается что-то непотребное типа 49152), то я «сдвинул» его на prio 1000. Добавил класс 1:1 для трафика на нужную подсеть и u32-фильтр. В итоге на ifb фильтры выглядят так: filter parent 1: protocol ip pref 16 u32 filter parent 1: protocol ip pref 16 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 16 u32 fh 800::800 order 2048 key ht 800 bkt 0 flowid 1:1 match 0a000000/ff000000 at 12 filter parent 1: protocol ip pref 1000 flow filter parent 1: protocol ip pref 1000 flow handle 0x1 map keys priority baseclass 1:1 Тут я явно чего-то не понимаю, потому что u32 как будто и не было и в класс 1:1 не попадает ни байтика. Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0). Помогите, пожалуйста.

Как можно заметить, расхлебывают заваренное, вообще-то, совсем не они.

Я просто оставлю это здесь. http://safe.cnews.ru/news/top/index.shtml?2012/12/10/512165

И? Вариантов ровно два. Один — нагнут, несмотря на «да у него же IP в реестре» провайдера, за то что блокировал неположенный ресурс. Второй — пострадавшего завернут с «провайдер действовал строго по закону.» А дальше? И так, вроде бы, всем понятно, что провайдеры сейчас с завязанными глазами блуждают где-то между молотом и наковальней. С одной стороны пользователи, с другой прокуратура, а РКН с Думой улыбаются и машут отчетами как реестр влегкую подебил сотни вредоносных сайтов.

А какие, кстати, санкции-то?

Только в законе такое крутое определение сетевого адреса, что туда подходит хоть IP, хоть доменное имя, хоть URL, хоть MAC, хоть черт лысый, лишь бы по этому черту адресовать можно было.

Ай, да ладно. На престарелой малвари оно действительно не хуже, но на свежаке работает примерно никак. http://www.av-test.org/en/tests/home-user/windows-7/sepoct-2012/

Китай, кстати нынче впереди планеты всей. Они дообкатали анализатор протоколов (давно еще было замечено, что после обычного подключения из Китая вдруг через минуту-другую прилетает еще один «странный» коннект, щупающий сервер) и выпустили его в продакшен. Теперь оперативно блокируются все популярные VPN'ы. (Tor, включая бриджи, если что, GFW уже давно победил.) http://www.reddit.com/r/China/comments/14dr8g/great_firewall_updated_is_learning_how_to/ И ничего. Такие дела. (Кстати, Мизулина как-то обещала новый законопроект, где будет положено забанить все проксики с VPNами, так что... ну вы поняли.)

Meanwhile, in Dubai. МСЭ приняла Y.2770 про DPI: http://hitech.vesti.ru/news/view/id/862 Хотя, по мне как, самое поганое в этом документе (точнее слитом корейском драфте: http://ru.scribd.com/doc/115591181/2012-1357-Y-2770) не то, что айяйяй можно читать и даже модифицировать пакетики (бида-бида, наконец-то, может, криптография займет положенное место), а то, что там проскочила (не новая, конечно, но) идея по-разному биллинговать разные виды траффика. Все помнят как пару лет назад Google в этихихних Америках бодался против этого самого с FCC? Тогда оно прокатило, а теперь вот такую сочную дулю им показали.

Meanwhile in Russia. Вот это (копия) попало в реестр: http://img.leprosorium.com/1634051

Это самое, а тут wiki нету? Ведь какая благодать была бы — чем сто раз одно и то же отвечать на переспросы, ткнуть ссылку статью «Работа с реестром запрещенных сайтов» и там все бы было. Аналогично и не для реестра, а для многих других вещей. Те же решения типичных задач, типовые примеры-конфиги оборудования и скрипты автоматизации (ну или ссылки на репозитории с ними) можно выкладывать. Я ведь только что приводил ссылку на пост. Скопирую даже оттуда:

Обязательно. ЭЦП для участия в торгах не имеет т.н. "квалифицированного сертификата", робот запрет-инфо не может проверить ее... мнэ... аутентичность. КриптоАРМ генерирует саму подпись (функция закрытого ключа и подписываемой последовательности байт), КриптоПро это только поддержка самого сертификата, подпись генерировать не умеет. Неправда Ваша. Покупать новую ЭЦП надо только если или старая выдана УЦ не из списка аккредитованных или если старый сертификат не «квалифицированная ЭЦП» — они разных уровней бывают (в любом случае, стоит потратить немного времени и попробовать со старым — вдруг пройдет). У нас ЭЦП получалась именно для гос.торгов, выдана авторизованным УЦ и прекрасно подходит для работы с реестром. У некоторых, правда, подписи для торгов не проходят, даже будучи выданными УЦ из списка из-за недоработок УЦ — тогда жалуются выдавшему УЦ, после заворотов «ну, купите новую» и требований «вообще-то вы обязаны были выдать как положено, давайте устраняйте свои дефекты бесплатно» делают что надо. Но если не принимает, еще не факт что УЦ виноват. Думаю, если УЦ аккредитован, запрос сформирован правильно, проверялка на «Госуслугах» дает зеленый свет, но подпись на реестре не проходит проверку, можно пробовать обратиться в РКН и спросить за какие грехи это так. У некоторых выданы другим УЦ — вот тогда не подходит, тогда надо покупать. КриптоАРМ покупать не нужно (хотя для ленивых можно запросить триал, один раз сделать подпись и пользоваться этим запросом всегда — пока это работает), достаточно КриптоПРО CSP (в нем есть утилита для генерации подписей) или OpenSSL, рецепты по использованию были в теме: Подпись с использованием КриптоПРО CSP (без КриптоАРМ): http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=772022 Использование OpenSSL, если сертификат экспортируем: http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=771668 Про использование OpenSSL с токенами (с переменным успехом) тут тоже было, но что-то с ходу не найти, а листать тему лень. Ищите и да обрящете.

Нет, ну меня другое радует. Сервер работает, провайдер работает, а из-за каких-то умников, с которыми у сторон и отношений нет никаких, связи, в итоге, нет.

Охохо, я сейчас вам веселое, если бы не слишком грустное, расскажу. Получаем сейчас жалобу от клиента, дескать, почему я иду на Webstagram, а у меня вместо теплых ламповых хипстерских фоточек появляется какой-то логотип Билайна и АТАТАТ? Смотрю в трейс. Пакет уходит через Раском → Голден → Корбина → бдыщщщ! Билайн вообразил что 108.162.207.20 в реестре (сайт реестра так не думает, но Билайн думает иначе) и зафильтровал транзит. Адрес CloudFlare'овский, видимо, там или сосач или форчонг побывали. Ок, маршрут на другой аплинк, вроде работает. «Но осадок остался.»

Да, но дело-то не в этом. Это больше к началу долгой и (не)интересной дискуссии цензура это или нет — когда суд обязывает провайдера к блокировке доступа к сторонним ресурсам.

Враньё. Не до конца. Целый один провайдер (Black Internet) блокирует. По решению суда. В общем, «есть один ньюанс.»

Отлично, заливаем реестр в peeep.us.

Там самое дорогое — хендшейк, вариант Диффи-Хельмана и RSA. AES на фоне этого — чепушинка, разбираться с ним — premature optimization. Ну, эту шушеру уже быстро сейчас позакрывают. Придет проверка, как написано — потребуют показать пограничный маршрутизатор. Маршрутизатор, а не всякую пионерию непонятную. Не смогут показать — вот лицензию на стол и пинок под задницу.

1/10. Там блоуфиш обычно, ибо OpenVPN (где по дефолту он) самое популярное решение. Да и чем такие-то видеокарты закупать, явно дешевле будет у китайцев закупить вагон ASIC'ов, заточенных под AES. IPsec'овые VPN'ы, где чаще AES (хотя может быть и BF), в основном корпоративные, интересу не представляют. А PPTP с MS-CHAPv2+MPPE опосля последнего CCC за шифрование можно не считать.

Это да, но я так понял, фича тут в том, что провайдер тут проводит акцию, «купи VPN (услугой прямо через родной биллинг) и ходи без проблем на географически недоступные ресурсы типа Луркмора, Либрусека и Гугла Хулы с Пандорой», т.е. иметь с продаж VPNов.

Тут не услуга нужна (тем более мимо кассы, это ж вообще АТАТАТ будет), а открытое биллинговое API (как у вконтакта того же, где сторонние приложения могут устраивать подписки-платежи за внутренние тугрики) и подключившаяся компания-«партнер» из цивилизованного мира. Но все равно отсодомируют, наверное.

А URL к IP отношения не имеет ведь. Так можно дойти до того, что любой хост может быть отдатчиком этого URL'а. Любой же может прописать в hosts, некое 192.0.43.10 foo.example.org. Да и в DNS всякий load-balancing случается. В общем, такими умозаключениями получится, что надо весь HTTP-трафик фильтровать на любые порты, которые встречаются в реестре (пока, к счастью, только 80).

Так, признавайтесь, кто этим наркоманам рассказал про пограничные маршрутизаторы да правила на них, и недорассказывал? Выучили фразу и аки попугай в каждый чих о блокировке ее лепят на наши головы, вместо того, чтобы нормальный критерий сформулировать. А если у людей BGP али OSPF'ом каким завернут трафик?

На video-one ходят страшные злые педофилы. Тыкаются и в запрещенный раздел «teen», да. А так, вроде бы, тихо.