Перейти к содержимому
Калькуляторы

Блокировка по ip через раз

формирую свои списки руками (ибо не РФ).

По url (http) - вроде нормально, а по ip через раз.

В чем прикол?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для РБ, вроде, тоже списки формируют. По крайней мере DimaM статистику с ваших AS ок пару раз приводил. Спросите его в личку или в саппорте проблему поднимите. Может, делаете что-то не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

список по рб есть - рулитсяв конфиге выбор списка одной цифрой - трудно ошибиться )

Но список странный.....(совсем не то что я получаю официально)

Вопрос все равно немного не о том...а о нюансе блокировки из кастомного списка по IP...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

список рб починил

оказывается у вас теперь и прокси фильтруют!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

огромное спасибо!

 

P.S. Список, конечно, составляется органами некошерно, приходится поступать так:

1. ради проверки додумывать и добавлять www (ибо в реестре бывает и без www, и оба варианта - а браузер сам дописывает www - и проскакиваем фильтрацию)

2. Список IP - включаю только во время проверки (ибо понятно почему. ибо я заметил, что попав однажды в списк - потом никто не проверяет актуальность, что чревато....)

3. Приходится проверять вручную, какие сайты по https работают, и добавлять в соответвующий список (в реестре, почему-то только http)

 

P.S. Всё это возможно пока - ибо список очень маленький и редко обновляется....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так если в списке без "www", получается что с "www" блочить незаконно, это же другой домен. Должно быть решение на оба домена или на IP, или на отдельную страницу (domain.com/page) как в РФ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Похоже, логика блокировка по списку IP в СКАТ завязана на https трафик?

Т.е. есть два списка - в одном есть урлы, днс и ип - в разных комбинациях - это для http и https (c точки зрения белорусских органов).

А второй список - одни ip - имеется ввиду дропать трафик любой (не только https) - это они имеют ввиду список прокси и прочих анонимайзеров.

Я так понимаю - мне нужно тупо этот список самому загонять в файрвол на СКАТ или лучше ACL на брасе или бордере.....?

Или вы как-то подстроите алгоритм для беларуси, если в конфиге fastdpi - federal_black_list = 3

?

 

2. По поводу www, ilia_2s, это вы хотите, чтобы я проверяющим про законы рассказывал? Или про особенности технологий? Они не проникнуться этим ))) Есть буква закона, есть дух закона - а есть реальность и несовершенство мира )

Нужен результат - сайт у проверяющего просто не должен открываться )))

 

3. вот еще простой пример - в списке есть такая позиция

 

<resource id="62">

<ip>-</ip>

<dns>revbel.org</dns>

<url>-</url>

<dateoff>2016-09-13</dateoff>

<info>

 

реально ресурс все равно открывается.

Потому что он https.

А в список он попал в секцию dns (я понимаю логику органов), но с точки зрения СКАТ - надо было писать в секцию URL https://revbel.org ?, чтобы СКАТ нормально отработал и/или еще дополнительно для https в список должна быть заполнена секция IP ?

Или только IP ? Или как?

 

Как быть, что делать?

(пока я реально тупо в нашем кеширующем днс сервере подменяю запись А - предполагая, что 95% абонов юзают по дефолту днс сервер провайдера....

 

Опять же - это пока список очень маленький....

Но хотелось бы, чтобы все работало "само" (всетаки продукт (скат) стоит денег ...: )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Включите federal_black_list = 3, там эти нюансы уже учтены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

включил.

Все равно открылся revbel.org

Начал разбираться - этот сайт работает по ipv6 !

Ребята, когда вы допилите в СКАТе ipv6 ?!

 

P.S. Проверил через нашего национального мегачемпиона (БелТелеКом) - все блочится (молодцы :)

(почти молодцы - если заюзать чужой днс и прокси - тупо опера турбо включить - всё открывается ))))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.