anad Posted March 26, 2012 Posted March 26, 2012 получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво. Может у кого - то есть опыт как это принято реализовывать. Вставить ник Quote
ingress Posted March 26, 2012 Posted March 26, 2012 на DNS заблокируйте, и соотвественно разрешите только свои DNS.(от дурака сработает) Вставить ник Quote
anad Posted March 26, 2012 Author Posted March 26, 2012 Думал о таком , посмотрел Flow, не прокатит точно ( у нас 50% корпоратив - у каждого третьего из них свой DNS или DNS смотрит куда - то в даль на центральный офис ) Вставить ник Quote
Grid Posted March 26, 2012 Posted March 26, 2012 ip route x.x.x.x 255.255.255.255 null0 Вставить ник Quote
alks Posted March 26, 2012 Posted March 26, 2012 ip route x.x.x.x 255.255.255.255 null0 + скрипт по крону на резолв сайтов и если произошла смена IP переписываем ip route Вставить ник Quote
vvvyg Posted March 26, 2012 Posted March 26, 2012 Дурацкий вопрос: часто на хостинге на одном ip висят десятки и сотни сайтов. Все по роуту в null, главное предписание выполнить? Вставить ник Quote
biox Posted March 26, 2012 Posted March 26, 2012 Это не ваша забота, а регистратора домена. Так можете и ответить на предписание. Короче не по адресу предписание пришло. Вставить ник Quote
tartila Posted March 26, 2012 Posted March 26, 2012 на DNS заблокируйте, и соотвественно разрешите только свои DNS.(от дурака сработает) Согласен с первым. Второе делать - имхо дибилизм. Клиент имеет право получать доступ к инфорации. :) Вставить ник Quote
anad Posted March 26, 2012 Author Posted March 26, 2012 Уф, так в том и дело, что сейчас сайты которые "низя смотреть" обрабатывается через Nbar, то есть проблем закрыть именно сайт, а то и страницу не возникает ( со страницей не все так просто, но...) соседи по сайта не страдают. Но разводить Nbar список на 10 страниц - не получится. Похоже что все просто чихают на предписания, как при этом работать и сколько откатывать надо - не понятно. C IP (хоть листом, хоть роутингом) минусов куча: 1. надо писать костыль который будет проверять, "а не поменялся ли IP адрес у этого сайта" + если сайт на шаред, то соседи по IP недоступны. По DNS - у вас что мало трафика на 8.8.8.8 или куда- то еще или компаний которые считают ( часто вполне справедливо ) что лучше иметь свой DNS с intranet зонами. biox, Ой не думаю - вас обязали, имея на руках решение судя " в интересах неопределенного круга лиц... " для другого провайдера правда, но для вас такое получат за неделю - две. Про то что пользователи "имеют право знать" те кто имеет право знать пакуют себя в VPN и делают что хотят. Вставить ник Quote
kaktak Posted March 26, 2012 Posted March 26, 2012 Подождать пока это же предписание дойдет до ваших апстримов и со спокойной совестью отчитаться о миссион комплите ) Вставить ник Quote
Tem Posted March 26, 2012 Posted March 26, 2012 получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво. Может у кого - то есть опыт как это принято реализовывать. а зачем создавать новую тему ? http://forum.nag.ru/forum/index.php?showtopic=70188 Вставить ник Quote
anad Posted March 26, 2012 Author Posted March 26, 2012 Tem, я видел ту тему, но там про технический аспект почти ничего нет, я честное слово - не юрист .. Вставить ник Quote
Tem Posted March 26, 2012 Posted March 26, 2012 Tem, я видел ту тему, но там про технический аспект почти ничего нет, я честное слово - не юрист .. дык я тоже не юрист ...тут большинство не юристы, а насчет технической стороны было там...и про блокировку на моем ( у меня суд ето устроило на все 100, они вообще сказали, что пофиг, что работать будет, главное, что вы пытались сделать все что могли) и по ip. А блокировать надо так, как будет в решение суда. Вставить ник Quote
Andrei Posted March 26, 2012 Posted March 26, 2012 получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво. Может у кого - то есть опыт как это принято реализовывать. Как В ТОЧНОСТИ (дословно) сформулировано предписание? Огласите. Наверное написано что-то типа "путем блокировки ip-адресов на пограничном маршрутизаторе"? Или как-то иначе? Вставить ник Quote
Ilya Evseev Posted March 26, 2012 Posted March 26, 2012 Похоже что все просто чихают на предписания, как при этом работать и сколько откатывать надо - не понятно. Не чихают, просто выполняют для галочки, халтурно. Ясно же, что эти запреты при желании обходятся одним кликом, как бы провайдер ни старался. Обычно всё сводится к замене DNS-записей, как во время войны 888. Победил 8.8.8.8. Если надо блокировать IP, то тут либо ACL на бордере, либо если у бордера неудобное обновление настроек или чрезмерные ограничения на размер ACL, то я бы попробовал запустить контейнер в OpenVZ или LXC, на его сетевой интерфейс добавить запретные IP и проанонсировать бордеру по OSPF. Вставить ник Quote
s.lobanov Posted March 26, 2012 Posted March 26, 2012 то я бы попробовал запустить контейнер в OpenVZ или LXC, на его сетевой интерфейс добавить запретные IP и проанонсировать бордеру по OSPF. И зачем такой жуткий костыль, когда есть Null0 ? Вставить ник Quote
Ilya Evseev Posted March 26, 2012 Posted March 26, 2012 И зачем такой жуткий костыль, когда есть Null0 ? Чтобы не только пресекать попытки обращения, но и иметь возможность отслеживать их. Тут я сразу оговорюсь, что не стану проявлять никакого рвения для силовиков, но если бы делал для своих собственных нужд, то предусмотрел бы такой вариант. Вставить ник Quote
s.lobanov Posted March 26, 2012 Posted March 26, 2012 Ilya Evseev Пусть СОРМ отслеживает попытки, а дополнительные костыли под всяких ИБДшников делать - обойдутся, кроме того инициатива наказуема, кто-нибудь вас обвинит что вы воруете трафик, нарушаете права человека и т.д. и т.п. Вставить ник Quote
Shiva Posted March 26, 2012 Posted March 26, 2012 А что демагогию разводить. Выполнили, отчитались, забыли. И пусть на этом IP адресе хоть мильён сайтов весит. Это проблемы хостера, что сайты с его площадки стали не доступны. Какая у Вас любовь на приключения... Вставить ник Quote
Wingman Posted March 26, 2012 Posted March 26, 2012 Угу. Корбина уже так дорассуждалась и однажды мастерхостовские ипы заблочила. Думаю, немало говна на неё при этом вылилось Как бы если у соседа/друга нужный сайт работает через провайдера-конкурента, а дома через вас - не работает, то ему глубоко плевать и на решения суда, и на экстремистов, и на интернет-казино Вставить ник Quote
anad Posted March 28, 2012 Author Posted March 28, 2012 О том что блочить IP не правильно никто не спорит. А предписание " исключить возможность доступа пользователей к ресурсам...", Вставить ник Quote
mmvds Posted March 28, 2012 Posted March 28, 2012 А мы отбрехались, грамотно, через юристов, т.к. сначала 2 ip пришло, их заблочили, а потом перед выборами пришла портянка из 500 сайтов, уточнили по другим регионам, грамотно олбосновали почему мы не будем этого делать, суд удовлетворился. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.