anad Опубликовано 26 марта, 2012 · Жалоба получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво. Может у кого - то есть опыт как это принято реализовывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 26 марта, 2012 · Жалоба на DNS заблокируйте, и соотвественно разрешите только свои DNS.(от дурака сработает) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anad Опубликовано 26 марта, 2012 · Жалоба Думал о таком , посмотрел Flow, не прокатит точно ( у нас 50% корпоратив - у каждого третьего из них свой DNS или DNS смотрит куда - то в даль на центральный офис ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grid Опубликовано 26 марта, 2012 · Жалоба ip route x.x.x.x 255.255.255.255 null0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n1k3 Опубликовано 26 марта, 2012 · Жалоба Тоже суем маршруты в null Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 26 марта, 2012 · Жалоба ip route x.x.x.x 255.255.255.255 null0 + скрипт по крону на резолв сайтов и если произошла смена IP переписываем ip route Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvvyg Опубликовано 26 марта, 2012 · Жалоба Дурацкий вопрос: часто на хостинге на одном ip висят десятки и сотни сайтов. Все по роуту в null, главное предписание выполнить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 26 марта, 2012 · Жалоба Это не ваша забота, а регистратора домена. Так можете и ответить на предписание. Короче не по адресу предписание пришло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 26 марта, 2012 · Жалоба на DNS заблокируйте, и соотвественно разрешите только свои DNS.(от дурака сработает) Согласен с первым. Второе делать - имхо дибилизм. Клиент имеет право получать доступ к инфорации. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anad Опубликовано 26 марта, 2012 · Жалоба Уф, так в том и дело, что сейчас сайты которые "низя смотреть" обрабатывается через Nbar, то есть проблем закрыть именно сайт, а то и страницу не возникает ( со страницей не все так просто, но...) соседи по сайта не страдают. Но разводить Nbar список на 10 страниц - не получится. Похоже что все просто чихают на предписания, как при этом работать и сколько откатывать надо - не понятно. C IP (хоть листом, хоть роутингом) минусов куча: 1. надо писать костыль который будет проверять, "а не поменялся ли IP адрес у этого сайта" + если сайт на шаред, то соседи по IP недоступны. По DNS - у вас что мало трафика на 8.8.8.8 или куда- то еще или компаний которые считают ( часто вполне справедливо ) что лучше иметь свой DNS с intranet зонами. biox, Ой не думаю - вас обязали, имея на руках решение судя " в интересах неопределенного круга лиц... " для другого провайдера правда, но для вас такое получат за неделю - две. Про то что пользователи "имеют право знать" те кто имеет право знать пакуют себя в VPN и делают что хотят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaktak Опубликовано 26 марта, 2012 · Жалоба Подождать пока это же предписание дойдет до ваших апстримов и со спокойной совестью отчитаться о миссион комплите ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 26 марта, 2012 · Жалоба получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво. Может у кого - то есть опыт как это принято реализовывать. а зачем создавать новую тему ? http://forum.nag.ru/forum/index.php?showtopic=70188 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anad Опубликовано 26 марта, 2012 · Жалоба Tem, я видел ту тему, но там про технический аспект почти ничего нет, я честное слово - не юрист .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 26 марта, 2012 · Жалоба Tem, я видел ту тему, но там про технический аспект почти ничего нет, я честное слово - не юрист .. дык я тоже не юрист ...тут большинство не юристы, а насчет технической стороны было там...и про блокировку на моем ( у меня суд ето устроило на все 100, они вообще сказали, что пофиг, что работать будет, главное, что вы пытались сделать все что могли) и по ip. А блокировать надо так, как будет в решение суда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 26 марта, 2012 · Жалоба получили предписание прокуратуры "заблокировать доступ к ( список из 50 сайтов)" online казино. Бордерами в филиале стоят 7206 и ASR 1000, сайты из списка "эстремизм" блочим NBAR, но там число вхождений ограничено (: . Писать костыль с host -> IP адресами ( сменить ведь могут ) и пиханием их в лист доступа - не красиво. Может у кого - то есть опыт как это принято реализовывать. Как В ТОЧНОСТИ (дословно) сформулировано предписание? Огласите. Наверное написано что-то типа "путем блокировки ip-адресов на пограничном маршрутизаторе"? Или как-то иначе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 марта, 2012 · Жалоба Похоже что все просто чихают на предписания, как при этом работать и сколько откатывать надо - не понятно. Не чихают, просто выполняют для галочки, халтурно. Ясно же, что эти запреты при желании обходятся одним кликом, как бы провайдер ни старался. Обычно всё сводится к замене DNS-записей, как во время войны 888. Победил 8.8.8.8. Если надо блокировать IP, то тут либо ACL на бордере, либо если у бордера неудобное обновление настроек или чрезмерные ограничения на размер ACL, то я бы попробовал запустить контейнер в OpenVZ или LXC, на его сетевой интерфейс добавить запретные IP и проанонсировать бордеру по OSPF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 марта, 2012 · Жалоба то я бы попробовал запустить контейнер в OpenVZ или LXC, на его сетевой интерфейс добавить запретные IP и проанонсировать бордеру по OSPF. И зачем такой жуткий костыль, когда есть Null0 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 марта, 2012 · Жалоба И зачем такой жуткий костыль, когда есть Null0 ? Чтобы не только пресекать попытки обращения, но и иметь возможность отслеживать их. Тут я сразу оговорюсь, что не стану проявлять никакого рвения для силовиков, но если бы делал для своих собственных нужд, то предусмотрел бы такой вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 марта, 2012 · Жалоба Ilya Evseev Пусть СОРМ отслеживает попытки, а дополнительные костыли под всяких ИБДшников делать - обойдутся, кроме того инициатива наказуема, кто-нибудь вас обвинит что вы воруете трафик, нарушаете права человека и т.д. и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 26 марта, 2012 · Жалоба А что демагогию разводить. Выполнили, отчитались, забыли. И пусть на этом IP адресе хоть мильён сайтов весит. Это проблемы хостера, что сайты с его площадки стали не доступны. Какая у Вас любовь на приключения... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 26 марта, 2012 · Жалоба Угу. Корбина уже так дорассуждалась и однажды мастерхостовские ипы заблочила. Думаю, немало говна на неё при этом вылилось Как бы если у соседа/друга нужный сайт работает через провайдера-конкурента, а дома через вас - не работает, то ему глубоко плевать и на решения суда, и на экстремистов, и на интернет-казино Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anad Опубликовано 28 марта, 2012 · Жалоба О том что блочить IP не правильно никто не спорит. А предписание " исключить возможность доступа пользователей к ресурсам...", Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mmvds Опубликовано 28 марта, 2012 · Жалоба А мы отбрехались, грамотно, через юристов, т.к. сначала 2 ip пришло, их заблочили, а потом перед выборами пришла портянка из 500 сайтов, уточнили по другим регионам, грамотно олбосновали почему мы не будем этого делать, суд удовлетворился. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...