Перейти к содержимому
Калькуляторы

drdaeman

Пользователи
  • Публикации

    72
  • Зарегистрирован

  • Посещение

Все публикации пользователя drdaeman


  1. Опубликована Процедура блокировки некошерной инфо

    Второй раз меняют уже, не могут решение суда записать :) Теперь URL'ы http'шные стали. Что странное - сервер на 443 порту замолчал (а вроде раньше отвечал, если мне не приснилось).
  2. accel pptpd

    Не могу шейперы победить. Вот есть шейпинг как его делает ванильный accel-pppd 1.7. Просто, удобно, работает. Но не знала баба горя, купила баба порося. Потребовалось добавить правила, которые по-другому ограничивают определенную подсеть (скажем, 10.0.0.0/8). «Вниз», к клиенту, не проблема. Включил ppp_compat, в ip-up, видя поставленный htb qdisc, делаю: tc class add dev "$IFNAME" parent 1: classid 1:99 htb rate 100Mbit tc filter add dev "$IFNAME" parent 1:0 prio 0 protocol ip u32 match ip src 10.0.0.0/8 flowid 1:99 Аналогично в ip-change, на ip-down плевать, интерфейс сам пропадет и классы-фильтры с ним. В общем, собственно, пусть оно и некрасиво, но работает. А вот «вверх» не выходит каменный цветок. Поскольку фильтр flow уже имеет приоритет 1 (меньшее, что удается сунуть, при попытке filter add prio 0 в приоритете оказывается что-то непотребное типа 49152), то я «сдвинул» его на prio 1000. Добавил класс 1:1 для трафика на нужную подсеть и u32-фильтр. В итоге на ifb фильтры выглядят так: filter parent 1: protocol ip pref 16 u32 filter parent 1: protocol ip pref 16 u32 fh 800: ht divisor 1 filter parent 1: protocol ip pref 16 u32 fh 800::800 order 2048 key ht 800 bkt 0 flowid 1:1 match 0a000000/ff000000 at 12 filter parent 1: protocol ip pref 1000 flow filter parent 1: protocol ip pref 1000 flow handle 0x1 map keys priority baseclass 1:1 Тут я явно чего-то не понимаю, потому что u32 как будто и не было и в класс 1:1 не попадает ни байтика. Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0). Помогите, пожалуйста.
  3. Опубликована Процедура блокировки некошерной инфо

    Как можно заметить, расхлебывают заваренное, вообще-то, совсем не они.
  4. Опубликована Процедура блокировки некошерной инфо

    Я просто оставлю это здесь. http://safe.cnews.ru/news/top/index.shtml?2012/12/10/512165
  5. Опубликована Процедура блокировки некошерной инфо

    И? Вариантов ровно два. Один — нагнут, несмотря на «да у него же IP в реестре» провайдера, за то что блокировал неположенный ресурс. Второй — пострадавшего завернут с «провайдер действовал строго по закону.» А дальше? И так, вроде бы, всем понятно, что провайдеры сейчас с завязанными глазами блуждают где-то между молотом и наковальней. С одной стороны пользователи, с другой прокуратура, а РКН с Думой улыбаются и машут отчетами как реестр влегкую подебил сотни вредоносных сайтов.
  6. Опубликована Процедура блокировки некошерной инфо

    А какие, кстати, санкции-то?
  7. Опубликована Процедура блокировки некошерной инфо

    Только в законе такое крутое определение сетевого адреса, что туда подходит хоть IP, хоть доменное имя, хоть URL, хоть MAC, хоть черт лысый, лишь бы по этому черту адресовать можно было.
  8. Как Avast от интернетов отключал

    Ай, да ладно. На престарелой малвари оно действительно не хуже, но на свежаке работает примерно никак. http://www.av-test.org/en/tests/home-user/windows-7/sepoct-2012/
  9. Опубликована Процедура блокировки некошерной инфо

    Китай, кстати нынче впереди планеты всей. Они дообкатали анализатор протоколов (давно еще было замечено, что после обычного подключения из Китая вдруг через минуту-другую прилетает еще один «странный» коннект, щупающий сервер) и выпустили его в продакшен. Теперь оперативно блокируются все популярные VPN'ы. (Tor, включая бриджи, если что, GFW уже давно победил.) http://www.reddit.com/r/China/comments/14dr8g/great_firewall_updated_is_learning_how_to/ И ничего. Такие дела. (Кстати, Мизулина как-то обещала новый законопроект, где будет положено забанить все проксики с VPNами, так что... ну вы поняли.)
  10. Опубликована Процедура блокировки некошерной инфо

    Meanwhile, in Dubai. МСЭ приняла Y.2770 про DPI: http://hitech.vesti.ru/news/view/id/862 Хотя, по мне как, самое поганое в этом документе (точнее слитом корейском драфте: http://ru.scribd.com/doc/115591181/2012-1357-Y-2770) не то, что айяйяй можно читать и даже модифицировать пакетики (бида-бида, наконец-то, может, криптография займет положенное место), а то, что там проскочила (не новая, конечно, но) идея по-разному биллинговать разные виды траффика. Все помнят как пару лет назад Google в этихихних Америках бодался против этого самого с FCC? Тогда оно прокатило, а теперь вот такую сочную дулю им показали.
  11. Опубликована Процедура блокировки некошерной инфо

    Meanwhile in Russia. Вот это (копия) попало в реестр: http://img.leprosorium.com/1634051
  12. Опубликована Процедура блокировки некошерной инфо

    Это самое, а тут wiki нету? Ведь какая благодать была бы — чем сто раз одно и то же отвечать на переспросы, ткнуть ссылку статью «Работа с реестром запрещенных сайтов» и там все бы было. Аналогично и не для реестра, а для многих других вещей. Те же решения типичных задач, типовые примеры-конфиги оборудования и скрипты автоматизации (ну или ссылки на репозитории с ними) можно выкладывать. Я ведь только что приводил ссылку на пост. Скопирую даже оттуда:
  13. Опубликована Процедура блокировки некошерной инфо

    Обязательно. ЭЦП для участия в торгах не имеет т.н. "квалифицированного сертификата", робот запрет-инфо не может проверить ее... мнэ... аутентичность. КриптоАРМ генерирует саму подпись (функция закрытого ключа и подписываемой последовательности байт), КриптоПро это только поддержка самого сертификата, подпись генерировать не умеет. Неправда Ваша. Покупать новую ЭЦП надо только если или старая выдана УЦ не из списка аккредитованных или если старый сертификат не «квалифицированная ЭЦП» — они разных уровней бывают (в любом случае, стоит потратить немного времени и попробовать со старым — вдруг пройдет). У нас ЭЦП получалась именно для гос.торгов, выдана авторизованным УЦ и прекрасно подходит для работы с реестром. У некоторых, правда, подписи для торгов не проходят, даже будучи выданными УЦ из списка из-за недоработок УЦ — тогда жалуются выдавшему УЦ, после заворотов «ну, купите новую» и требований «вообще-то вы обязаны были выдать как положено, давайте устраняйте свои дефекты бесплатно» делают что надо. Но если не принимает, еще не факт что УЦ виноват. Думаю, если УЦ аккредитован, запрос сформирован правильно, проверялка на «Госуслугах» дает зеленый свет, но подпись на реестре не проходит проверку, можно пробовать обратиться в РКН и спросить за какие грехи это так. У некоторых выданы другим УЦ — вот тогда не подходит, тогда надо покупать. КриптоАРМ покупать не нужно (хотя для ленивых можно запросить триал, один раз сделать подпись и пользоваться этим запросом всегда — пока это работает), достаточно КриптоПРО CSP (в нем есть утилита для генерации подписей) или OpenSSL, рецепты по использованию были в теме: Подпись с использованием КриптоПРО CSP (без КриптоАРМ): http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=772022 Использование OpenSSL, если сертификат экспортируем: http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=771668 Про использование OpenSSL с токенами (с переменным успехом) тут тоже было, но что-то с ходу не найти, а листать тему лень. Ищите и да обрящете.
  14. Опубликована Процедура блокировки некошерной инфо

    Нет, ну меня другое радует. Сервер работает, провайдер работает, а из-за каких-то умников, с которыми у сторон и отношений нет никаких, связи, в итоге, нет.
  15. Опубликована Процедура блокировки некошерной инфо

    Охохо, я сейчас вам веселое, если бы не слишком грустное, расскажу. Получаем сейчас жалобу от клиента, дескать, почему я иду на Webstagram, а у меня вместо теплых ламповых хипстерских фоточек появляется какой-то логотип Билайна и АТАТАТ? Смотрю в трейс. Пакет уходит через Раском → Голден → Корбина → бдыщщщ! Билайн вообразил что 108.162.207.20 в реестре (сайт реестра так не думает, но Билайн думает иначе) и зафильтровал транзит. Адрес CloudFlare'овский, видимо, там или сосач или форчонг побывали. Ок, маршрут на другой аплинк, вроде работает. «Но осадок остался.»
  16. Опубликована Процедура блокировки некошерной инфо

    Да, но дело-то не в этом. Это больше к началу долгой и (не)интересной дискуссии цензура это или нет — когда суд обязывает провайдера к блокировке доступа к сторонним ресурсам.
  17. Опубликована Процедура блокировки некошерной инфо

    Враньё. Не до конца. Целый один провайдер (Black Internet) блокирует. По решению суда. В общем, «есть один ньюанс.»
  18. Опубликована Процедура блокировки некошерной инфо

    Отлично, заливаем реестр в peeep.us.
  19. Опубликована Процедура блокировки некошерной инфо

    Там самое дорогое — хендшейк, вариант Диффи-Хельмана и RSA. AES на фоне этого — чепушинка, разбираться с ним — premature optimization. Ну, эту шушеру уже быстро сейчас позакрывают. Придет проверка, как написано — потребуют показать пограничный маршрутизатор. Маршрутизатор, а не всякую пионерию непонятную. Не смогут показать — вот лицензию на стол и пинок под задницу.
  20. Опубликована Процедура блокировки некошерной инфо

    1/10. Там блоуфиш обычно, ибо OpenVPN (где по дефолту он) самое популярное решение. Да и чем такие-то видеокарты закупать, явно дешевле будет у китайцев закупить вагон ASIC'ов, заточенных под AES. IPsec'овые VPN'ы, где чаще AES (хотя может быть и BF), в основном корпоративные, интересу не представляют. А PPTP с MS-CHAPv2+MPPE опосля последнего CCC за шифрование можно не считать.
  21. Опубликована Процедура блокировки некошерной инфо

    Это да, но я так понял, фича тут в том, что провайдер тут проводит акцию, «купи VPN (услугой прямо через родной биллинг) и ходи без проблем на географически недоступные ресурсы типа Луркмора, Либрусека и Гугла Хулы с Пандорой», т.е. иметь с продаж VPNов.
  22. Опубликована Процедура блокировки некошерной инфо

    Тут не услуга нужна (тем более мимо кассы, это ж вообще АТАТАТ будет), а открытое биллинговое API (как у вконтакта того же, где сторонние приложения могут устраивать подписки-платежи за внутренние тугрики) и подключившаяся компания-«партнер» из цивилизованного мира. Но все равно отсодомируют, наверное.
  23. Опубликована Процедура блокировки некошерной инфо

    А URL к IP отношения не имеет ведь. Так можно дойти до того, что любой хост может быть отдатчиком этого URL'а. Любой же может прописать в hosts, некое 192.0.43.10 foo.example.org. Да и в DNS всякий load-balancing случается. В общем, такими умозаключениями получится, что надо весь HTTP-трафик фильтровать на любые порты, которые встречаются в реестре (пока, к счастью, только 80).
  24. Опубликована Процедура блокировки некошерной инфо

    Так, признавайтесь, кто этим наркоманам рассказал про пограничные маршрутизаторы да правила на них, и недорассказывал? Выучили фразу и аки попугай в каждый чих о блокировке ее лепят на наши головы, вместо того, чтобы нормальный критерий сформулировать. А если у людей BGP али OSPF'ом каким завернут трафик?
  25. Опубликована Процедура блокировки некошерной инфо

    На video-one ходят страшные злые педофилы. Тыкаются и в запрещенный раздел «teen», да. А так, вроде бы, тихо.