KsenZ Posted November 23, 2016 · Report post Подходящей темы не нашел, видать не верные вопросы задаю поисковику (ткните носом, если есть такая тема). Вопрос в следующем: Есть ли верное, и оригинальное решение, как из доменов и URL, которые имеются в выгрузке, сгенерировать список для Cisco SCE? Т.е. чтобы получалось следующее: *domain.com *domain.com/?url Я делаю примерно так: mysql -e "SELECT domain FROM domain" | sed -e 's/^www.//' | sed -e 's/^/*/' > sce_zapret_all.csv mysql -e "SELECT url FROM url" | sed -e 's/[^/]*\/\/\([^@]*@\)\?\([^:/]*\).*/\2/' | sed -e 's/^www.//' | sed -e 's/^/*/' >> sce_zapret_all.csv но тут есть пару проблем: 1. idn домены. Т.е. домен президент.рф Cisco не понимает. Нужно переводить idn в punycode 2. Не так давно, после всех этих sed'ов, в списке появилась просто "*", и как результат Cisco начала блокировать ВСЁ. Все это я обошел топорным способом: cat sce_zapret_all.csv | grep -v "рф" | grep -vx '^\*$' | uniq > sce_zapret.csv Как реализовать генерацию списка для SCE, более правильно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ancient Posted November 23, 2016 · Report post Более правильная реализация не с точки зрения законов, а с точки зрения РКН - это если вы напишите скрипт который будет сам список проверять т.е. и резолв делать и всё прочее и проверять редиректы и только потом всё это передавать на SCE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted November 23, 2016 · Report post Почти год назад тоже озаботился данным вопросом. Потом забил ... так и не нашёл способа нормализовать url для SCE2000. Кстати, там есть ограничение на длину строки url, а при переводе в idn и обработке "русских" ссылок, получается больше этого ограничения. Получается, что на 100% выполнить требования РКН на SCE нельзя. Да и вообще, говорят, скоро заставят всех отечественное оборудование для этих целей покупать. Но я всёравно присоединяюсь к вопросу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 23, 2016 · Report post не с точки зрения законов, а с точки зрения РКН В данный момент, меня это не сильно интересует. Меня интересует, привести домены и URL из выгрузки, к удобоваримому виду для SCE Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 23, 2016 · Report post Кстати, там есть ограничение на длину строки url, а при переводе в idn и обработке "русских" ссылок, получается больше этого ограничения. Ну это не большая проблема, в качестве исключения можно ограничивать полностью домен а не URL. Либо делать проверку на длину, и если больше, то обрезать до домена. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted November 23, 2016 · Report post Кстати, там есть ограничение на длину строки url, а при переводе в idn и обработке "русских" ссылок, получается больше этого ограничения. Ну это не большая проблема, в качестве исключения можно ограничивать полностью домен а не URL. Либо делать проверку на длину, и если больше, то обрезать до домена. Интересно, а можно ли обрезать по длине и в конец звёздочку впендюрить ? Будет так работать ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 23, 2016 · Report post Да и вообще, говорят, скоро заставят всех отечественное оборудование для этих целей покупать. А HTTPS это оборудование будет блокировать? Оффтоп: Сейчас, это проблема, и при желании могут придраться "Почему вы не блокируете https://super-torrent.net.ru?" И некому не докажешь, что шифрованный трафик оборудование не блокирует... Хотя если и "отечественное" оборудование не будет блокировать https, то тут хоть можно будет себя обезопасить, типа "Ваше оборудование, сертифицированное для этих целей, не блокирует. Поэтому все вопросы к производителю". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 23, 2016 · Report post Интересно, а можно ли обрезать по длине и в конец звёздочку впендюрить ? Будет так работать ? Насколько я понимаю по доке, то можно так *domain.com/media* , т.е. будут блокироваться все URL для домена domain.com попадающие под маску /media* http://www.cisco.com/c/en/us/td/docs/cable/serv_exch/serv_control/broadband_app/rel37x/blacklist/URL_DB_QSG2.html#wp41497 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted November 23, 2016 · Report post Да и вообще, говорят, скоро заставят всех отечественное оборудование для этих целей покупать. А HTTPS это оборудование будет блокировать? Оффтоп: Сейчас, это проблема, и при желании могут придраться "Почему вы не блокируете https://super-torrent.net.ru?" И некому не докажешь, что шифрованный трафик оборудование не блокирует... Хотя если и "отечественное" оборудование не будет блокировать https, то тут хоть можно будет себя обезопасить, типа "Ваше оборудование, сертифицированное для этих целей, не блокирует. Поэтому все вопросы к производителю". Рекомендации РКН вроде бы были такие: если не можете блокировать https, то блокируйте весь ойпи и порт 443, чтои было незамедлительно сделано :-). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 23, 2016 · Report post то блокируйте весь ойпи и порт 443 Тогда весь yuotube был бы заблокирован, а это не вариант, клиенты "съедят" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted November 23, 2016 · Report post то блокируйте весь ойпи и порт 443 Тогда весь yuotube был бы заблокирован, а это не вариант, клиенты "съедят" Пока ни разу не съели. Так же ещё ни разу (когда проверял) ссылки на йутуп из запретинфо не вела на указанный там ойпи, всегда в какое-то то ли гугл-кеш, то ли какой-то другой йутуп. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 24, 2016 · Report post Так же ещё ни разу (когда проверял) ссылки на йутуп из запретинфо не вела на указанный там ойпи, всегда в какое-то то ли гугл-кеш, то ли какой-то другой йутуп. Дело в том, что у youtube очень много IP адресов, и когда ты блокируешь один его IP, то ссылка просто начинает открываться с другого IP. А если заблокировать все IP, то съедят, т.к. yuotube не будет открываться вообще, только через всякие VPN и прокси. =youtube&commit=Search"]Пруф, по поводу того, что у youtube очень много IP, не одна тысяча IPv4 и столько же IPv6, плюс автономки Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted November 24, 2016 · Report post Так же ещё ни разу (когда проверял) ссылки на йутуп из запретинфо не вела на указанный там ойпи, всегда в какое-то то ли гугл-кеш, то ли какой-то другой йутуп. Дело в том, что у youtube очень много IP адресов, и когда ты блокируешь один его IP, то ссылка просто начинает открываться с другого IP. А если заблокировать все IP, то съедят, т.к. yuotube не будет открываться вообще, только через всякие VPN и прокси. =youtube&commit=Search"]Пруф, по поводу того, что у youtube очень много IP, не одна тысяча IPv4 и столько же IPv6, плюс автономки эм ? а как ютуб узнает, что его залочили ? )) бгг Я всего из 2 пулов айпи адреса наблюдал, в которые с оператора х резолвится домен ютуб. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 24, 2016 (edited) · Report post эм ? а как ютуб узнает, что его залочили ? )) бгг Он не знает что его залочили. Чисто по моим наблюдениям, происходит примерно так: запрос на yuotube.com, резолвится адрес 64.15.125.123, который заблокирован, соответственно страница не открывается. Обновляешь страницу, и уже резовится адрес 208.117.255.123, который не заблокирован, и youtube.com открывается. Наблюдал лично на своем компьютере. По какому принципу резолвятся разные IP, я не копал. Думаю Round robin, и AS... Так же не стоит забывать про ДНС кеш, если в кеше сидит адрес 64.15.125.123, то после сброса кеша, вполне может зарезолвится и попасть в кеш другой адрес. И не ясно, какие адреса сидят в кеше у клиентов, поэтому блокировке нескольких IP youtube, они попросту не замечают. Edited November 24, 2016 by KsenZ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted November 24, 2016 · Report post ;; QUESTION SECTION: ;youtube.com. IN A ;; ANSWER SECTION: youtube.com. 97 IN A 173.194.44.78 youtube.com. 97 IN A 173.194.44.70 youtube.com. 97 IN A 173.194.44.67 youtube.com. 97 IN A 173.194.44.65 youtube.com. 97 IN A 173.194.44.73 youtube.com. 97 IN A 173.194.44.66 youtube.com. 97 IN A 173.194.44.64 youtube.com. 97 IN A 173.194.44.71 youtube.com. 97 IN A 173.194.44.69 youtube.com. 97 IN A 173.194.44.68 youtube.com. 97 IN A 173.194.44.72 обычный ответ на youtube. В виндоднскэше лежит не один адрес. Имя записи. . . . . . : clients.l.google.com Тип записи. . . . . . : 1 Срок жизни. . . . . . : 41 Длина данных. . . . . : 4 Раздел. . . . . . . . : Ответ А-запись (узла) . . . : 173.194.44.66 Имя записи. . . . . . : clients.l.google.com Тип записи. . . . . . : 1 Срок жизни. . . . . . : 41 Длина данных. . . . . : 4 Раздел. . . . . . . . : Ответ А-запись (узла) . . . : 173.194.44.70 Имя записи. . . . . . : clients.l.google.com Тип записи. . . . . . : 1 Срок жизни. . . . . . : 41 Длина данных. . . . . : 4 Раздел. . . . . . . . : Ответ А-запись (узла) . . . : 173.194.44.68 Имя записи. . . . . . : clients.l.google.com Тип записи. . . . . . : 1 Срок жизни. . . . . . : 41 Длина данных. . . . . : 4 Раздел. . . . . . . . : Ответ А-запись (узла) . . . : 173.194.44.71 Не пишите тогда ерунды :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 24, 2016 (edited) · Report post zhenya` а в чем заключается ерунда? У меня, к примеру, резолвятся совершенно другие IP. На соседнем компьютере третьи. В чем ерунда то? Речь идет о блокировке, и если блокировать только адреса которые есть в выгрузке, то youtube как открывался, так и будет открываться. P.S. если вы про адреса, которые я написал выше, 64.15.125.123 и 208.117.255.123, то я взял их наугад, если так можно выразиться. Edited November 24, 2016 by KsenZ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted November 24, 2016 · Report post Да какая разница, что там открывается или нет и куда резовится ? Главное, чтобы проверялки РКН делали отчёт со статусом "ок". Но "ок" всёравно никогда не будет, хотя бы потому, что операторы блокируют по xml документу, который они получают самостоятельно, а провреялки проверяют по какому-то другому документу, который 100% будет получен в иное время и скорее всего будет отличаться. И вообще, мы отвлеклись от темы :-). Как нормализовать url ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted November 24, 2016 · Report post Как сказал один из сотрудников если у вас установлен программный ревизор вас не привлекут к ответственности т.к. он не сертифицированный. А если у вас аппаратное решение, то уже были случай привлечения оператора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted November 24, 2016 · Report post Что такое аппаратное решение? Tplink? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted November 24, 2016 · Report post Что такое аппаратное решение? Tplink? Да Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted November 24, 2016 · Report post Как сказал один из сотрудников если у вас установлен программный ревизор вас не привлекут к ответственности т.к. он не сертифицированный. А если у вас аппаратное решение, то уже были случай привлечения оператора. Уже ж всем эти тп-линки перепрошитые поставили... не суть. Почему это не работает? #!/usr/bin/perl use strict; use warnings; use Net::IDN::Encode ':all'; use URL::Encode ':all'; my $U = 'http://сптр-в-орске.рф/доставка-алкоголя-503752.htm'; #my $U = 'http://yandex.ru/доставка-алкоголя-503752.htm'; $U =~ /http\:\/\/(.+)\/(.+)$/; print "$1\n"; print "$2\n\n"; my $domain = domain_to_ascii($1); my $url = url_encode_utf8($2); print "$domain\n"; print "$url\n"; Выдаёт: сптр-в-орске.рф доставка-алкоголя-503752.htm disallowed character U+0081 at /usr/local/lib/perl/5.14.2/Net/IDN/Encode.pm line 46. Я уже пару часов ищу рабочий пуникодер на перле ... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted November 25, 2016 · Report post Подходящей темы не нашел, видать не верные вопросы задаю поисковику (ткните носом, если есть такая тема). Вопрос в следующем: Есть ли верное, и оригинальное решение, как из доменов и URL, которые имеются в выгрузке, сгенерировать список для Cisco SCE? Т.е. чтобы получалось следующее: *domain.com *domain.com/?url Я делаю примерно так: mysql -e "SELECT domain FROM domain" | sed -e 's/^www.//' | sed -e 's/^/*/' > sce_zapret_all.csv mysql -e "SELECT url FROM url" | sed -e 's/[^/]*\/\/\([^@]*@\)\?\([^:/]*\).*/\2/' | sed -e 's/^www.//' | sed -e 's/^/*/' >> sce_zapret_all.csv но тут есть пару проблем: 1. idn домены. Т.е. домен президент.рф Cisco не понимает. Нужно переводить idn в punycode 2. Не так давно, после всех этих sed'ов, в списке появилась просто "*", и как результат Cisco начала блокировать ВСЁ. Все это я обошел топорным способом: cat sce_zapret_all.csv | grep -v "рф" | grep -vx '^\*$' | uniq > sce_zapret.csv Как реализовать генерацию списка для SCE, более правильно? Скажите, вы уверены, что если в SCE загрузить ссылку вида "http://xn-----elcnyxdiedhf.xn--p1ai/%D0%B4%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BA%D0%B0-%D0%B0%D0%BB%D0%BA%D0%BE%D0%B3%D0%BE%D0%BB%D1%8F-503752.htm" (это http://сптр-в-орске.рф/доставка-алкоголя-503752.htm), то она заблокируется ? Т.е. вы это проверяли ? А то может я зря мучаюсь ?:-). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Antares Posted November 25, 2016 · Report post У меня на sce блокируется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
KsenZ Posted November 25, 2016 · Report post Скажите, вы уверены, что если в SCE загрузить ссылку вида Да, блокируется. У меня на sce блокируется И как вы генерируете список для SCE? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wtyd Posted November 25, 2016 · Report post Скажите, вы уверены, что если в SCE загрузить ссылку вида Да, блокируется. У меня на sce блокируется И как вы генерируете список для SCE? Мне осталось забороть ошибку "disallowed character U+0081 at /usr/local/lib/perl/5.14.2/Net/IDN/Encode.pm line 46. " (см. выше) и скорее всего будет всё работать. Помогите, кто в перле шарит ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...