[anad]

получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво.

Может у кого - то есть опыт как это принято реализовывать.

[ingress]

на DNS заблокируйте, и соотвественно разрешите только свои DNS.(от дурака сработает)

[anad]

Думал о таком , посмотрел Flow, не прокатит точно ( у нас 50% корпоратив - у каждого третьего из них свой DNS или DNS смотрит куда - то в даль на центральный офис )

[Grid]

ip route x.x.x.x 255.255.255.255 null0

[n1k3]

Тоже суем маршруты в null

[alks]

ip route x.x.x.x 255.255.255.255 null0

 

+ скрипт по крону на резолв сайтов и если произошла смена IP переписываем ip route

[vvvyg]

Дурацкий вопрос: часто на хостинге на одном ip висят десятки и сотни сайтов. Все по роуту в null, главное предписание выполнить?

[biox]

Это не ваша забота, а регистратора домена. Так можете и ответить на предписание. Короче не по адресу предписание пришло.

[tartila]

на DNS заблокируйте, и соотвественно разрешите только свои DNS.(от дурака сработает)

 

Согласен с первым. Второе делать - имхо дибилизм. Клиент имеет право получать доступ к инфорации. :)

[anad]

Уф, так в том и дело, что сейчас сайты которые "низя смотреть" обрабатывается через Nbar, то есть проблем закрыть именно сайт, а то и страницу не возникает ( со страницей не все так просто, но...) соседи по сайта не страдают. Но разводить Nbar список на 10 страниц - не получится.

Похоже что все просто чихают на предписания, как при этом работать и сколько откатывать надо - не понятно.

C IP (хоть листом, хоть роутингом) минусов куча: 1. надо писать костыль который будет проверять, "а не поменялся ли IP адрес у этого сайта" + если сайт на шаред, то соседи по IP недоступны.

По DNS - у вас что мало трафика на 8.8.8.8 или куда- то еще или компаний которые считают ( часто вполне справедливо ) что лучше иметь свой DNS с intranet зонами.

biox, Ой не думаю - вас обязали, имея на руках решение судя " в интересах неопределенного круга лиц... " для другого провайдера правда, но для вас такое получат за неделю - две.

Про то что пользователи "имеют право знать" те кто имеет право знать пакуют себя в VPN и делают что хотят.

[kaktak]

Подождать пока это же предписание дойдет до ваших апстримов и со спокойной совестью отчитаться о миссион комплите )

[Tem]

получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво.

Может у кого - то есть опыт как это принято реализовывать.

а зачем создавать новую тему ? http://forum.nag.ru/forum/index.php?showtopic=70188

[anad]

Tem, я видел ту тему, но там про технический аспект почти ничего нет, я честное слово - не юрист ..

[Tem]

Tem, я видел ту тему, но там про технический аспект почти ничего нет, я честное слово - не юрист ..

дык я тоже не юрист ...тут большинство не юристы, а насчет технической стороны было там...и про блокировку на моем ( у меня суд ето устроило на все 100, они вообще сказали, что пофиг, что работать будет, главное, что вы пытались сделать все что могли) и по ip.

А блокировать надо так, как будет в решение суда.

[Andrei]

получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво.

Может у кого - то есть опыт как это принято реализовывать.

Как В ТОЧНОСТИ (дословно) сформулировано предписание? Огласите. Наверное написано что-то типа "путем блокировки ip-адресов на пограничном маршрутизаторе"? Или как-то иначе?

[Ilya Evseev]

Похоже что все просто чихают на предписания, как при этом работать и сколько откатывать надо - не понятно.

Не чихают, просто выполняют для галочки, халтурно.

Ясно же, что эти запреты при желании обходятся одним кликом, как бы провайдер ни старался.

Обычно всё сводится к замене DNS-записей, как во время войны 888. Победил 8.8.8.8.

 

Если надо блокировать IP, то тут либо ACL на бордере, либо если у бордера неудобное обновление настроек или чрезмерные ограничения на размер ACL,

то я бы попробовал запустить контейнер в OpenVZ или LXC, на его сетевой интерфейс добавить запретные IP и проанонсировать бордеру по OSPF.

[s.lobanov]

то я бы попробовал запустить контейнер в OpenVZ или LXC, на его сетевой интерфейс добавить запретные IP и проанонсировать бордеру по OSPF.

 

И зачем такой жуткий костыль, когда есть Null0 ?

[Ilya Evseev]

И зачем такой жуткий костыль, когда есть Null0 ?

Чтобы не только пресекать попытки обращения, но и иметь возможность отслеживать их.

Тут я сразу оговорюсь, что не стану проявлять никакого рвения для силовиков,

но если бы делал для своих собственных нужд, то предусмотрел бы такой вариант.

[s.lobanov]

Ilya Evseev

Пусть СОРМ отслеживает попытки, а дополнительные костыли под всяких ИБДшников делать - обойдутся, кроме того инициатива наказуема, кто-нибудь вас обвинит что вы воруете трафик, нарушаете права человека и т.д. и т.п.

[Shiva]

А что демагогию разводить. Выполнили, отчитались, забыли. И пусть на этом IP адресе хоть мильён сайтов весит. Это проблемы хостера, что сайты с его площадки стали не доступны. Какая у Вас любовь на приключения...

[Wingman]

Угу. Корбина уже так дорассуждалась и однажды мастерхостовские ипы заблочила. Думаю, немало говна на неё при этом вылилось

 

Как бы если у соседа/друга нужный сайт работает через провайдера-конкурента, а дома через вас - не работает, то ему глубоко плевать и на решения суда, и на экстремистов, и на интернет-казино

[anad]

О том что блочить IP не правильно никто не спорит.

А предписание " исключить возможность доступа пользователей к ресурсам...",

[mmvds]

А мы отбрехались, грамотно, через юристов, т.к. сначала 2 ip пришло, их заблочили, а потом перед выборами пришла портянка из 500 сайтов, уточнили по другим регионам, грамотно олбосновали почему мы не будем этого делать, суд удовлетворился.