[man781]

формирую свои списки руками (ибо не РФ).

По url (http) - вроде нормально, а по ip через раз.

В чем прикол?

[snvoronkov]

Для РБ, вроде, тоже списки формируют. По крайней мере DimaM статистику с ваших AS ок пару раз приводил. Спросите его в личку или в саппорте проблему поднимите. Может, делаете что-то не так.

[man781]

список по рб есть - рулитсяв конфиге выбор списка одной цифрой - трудно ошибиться )

Но список странный.....(совсем не то что я получаю официально)

Вопрос все равно немного не о том...а о нюансе блокировки из кастомного списка по IP...

[DimaM]

список рб починил

оказывается у вас теперь и прокси фильтруют!

[man781]

огромное спасибо!

 

P.S. Список, конечно, составляется органами некошерно, приходится поступать так:

1. ради проверки додумывать и добавлять www (ибо в реестре бывает и без www, и оба варианта - а браузер сам дописывает www - и проскакиваем фильтрацию)

2. Список IP - включаю только во время проверки (ибо понятно почему. ибо я заметил, что попав однажды в списк - потом никто не проверяет актуальность, что чревато....)

3. Приходится проверять вручную, какие сайты по https работают, и добавлять в соответвующий список (в реестре, почему-то только http)

 

P.S. Всё это возможно пока - ибо список очень маленький и редко обновляется....

[ilia_2s]

Так если в списке без "www", получается что с "www" блочить незаконно, это же другой домен. Должно быть решение на оба домена или на IP, или на отдельную страницу (domain.com/page) как в РФ.

[man781]

1. Похоже, логика блокировка по списку IP в СКАТ завязана на https трафик?

Т.е. есть два списка - в одном есть урлы, днс и ип - в разных комбинациях - это для http и https (c точки зрения белорусских органов).

А второй список - одни ip - имеется ввиду дропать трафик любой (не только https) - это они имеют ввиду список прокси и прочих анонимайзеров.

Я так понимаю - мне нужно тупо этот список самому загонять в файрвол на СКАТ или лучше ACL на брасе или бордере.....?

Или вы как-то подстроите алгоритм для беларуси, если в конфиге fastdpi - federal_black_list = 3

?

 

2. По поводу www, ilia_2s, это вы хотите, чтобы я проверяющим про законы рассказывал? Или про особенности технологий? Они не проникнуться этим ))) Есть буква закона, есть дух закона - а есть реальность и несовершенство мира )

Нужен результат - сайт у проверяющего просто не должен открываться )))

 

3. вот еще простой пример - в списке есть такая позиция

 

<resource id="62">

<ip>-</ip>

<dns>revbel.org</dns>

<url>-</url>

<dateoff>2016-09-13</dateoff>

<info>

 

реально ресурс все равно открывается.

Потому что он https.

А в список он попал в секцию dns (я понимаю логику органов), но с точки зрения СКАТ - надо было писать в секцию URL https://revbel.org ?, чтобы СКАТ нормально отработал и/или еще дополнительно для https в список должна быть заполнена секция IP ?

Или только IP ? Или как?

 

Как быть, что делать?

(пока я реально тупо в нашем кеширующем днс сервере подменяю запись А - предполагая, что 95% абонов юзают по дефолту днс сервер провайдера....

 

Опять же - это пока список очень маленький....

Но хотелось бы, чтобы все работало "само" (всетаки продукт (скат) стоит денег ...: )

[DimaM]

Включите federal_black_list = 3, там эти нюансы уже учтены.

[man781]

включил.

Все равно открылся revbel.org

Начал разбираться - этот сайт работает по ipv6 !

Ребята, когда вы допилите в СКАТе ipv6 ?!

 

P.S. Проверил через нашего национального мегачемпиона (БелТелеКом) - все блочится (молодцы :)

(почти молодцы - если заюзать чужой днс и прокси - тупо опера турбо включить - всё открывается ))))))