Great Russian Firewall

[Антон Богатов]

Уважаемые коллеги,

 

С 01.11.2012 вступает в силу федеральный закон 139-ФЗ, который обязывает всех операторов выдать каждому дуплу по затычке фильтровать трафик по IP-адресам, которые каким-то образом попадут в реестр, ведомый доблестным Роскомнадзором. Кто как планирует исполнять сей перл законодательной мысли? И планирует ли вообще?

 

PS Возможно, эта тема утонула в треде про DPI, водолазничать неохота. :)

[st_re]

А уже вышли доку описывающие принципы функционирования " реестр, ведомый доблестным Роскомнадзором." ? А то не очень ясно откуда и в каком виде списки будут поступать. соответственно могут быть варианты. Если там хеш от урла, то одно, если там списки УРЛы то все может оказаться проще. Если там вообще только IP, то немного еще проще. В смысле для реализации..

[Антон Богатов]

Доков пока нет, то кое-что уже ясно:

 

1. Сначала в реестр попадает урл с доменным именем (мнэ... ну если так можно выразицца).

Тогда хостер должен стукнуть владельцу ресурса и заткнуть его в случае бездействия.

 

2. Если хостер забугорный или отмороженный (типа бездействует с прибором), то в реестр попадает ip, указывающий на этот ресурс. Сколько еще ресурсов будет затронуто - никого не интересует.

В этом случае уже все операторы Великой Азиопы обязаны немедленно (за сутки) отапдейтить рутеры и отправить соответствующий трафик в полный deny. :)

[Антон Богатов]

Да, и еще. Отсутствие в законе специальной ответственности за его нарушение наводит на мысль о том, что внедрять будут ипатьевским методом, то есть ипать аж до ипатьевского дома. :)

[st_re]

ну для фильтрации по IP как раз никакие DPI не обязательны. Скрипт раз в сутки заливающий список IP в соответствующий acl на бордере должны осилить даже студенты второго курса... Если конечно будет URL откуда список взять.

[Прохожий]

Отсутствие в законе специальной ответственности за его нарушение наводит на мысль о том, что внедрять будут ипатьевским методом необязательности его исполнения

Антон, мне один твой коллега сказал золотую фразу: обязательства без ответственности за неисполнение не являются таковыми.

[Антон Богатов]

обязательства без ответственности за неисполнение не являются таковыми.

Ага, в теории это действительно так. Вот только помимо юридической, есть и другие виды ответственности. Например, репутационная. Ога, это не про нас, конечно, да. Это там, в госдепиях. Хотя и там все гораздо сложнее.

 

В российской правовой действительности последствия выглядят несколько иначе. Самое простое: предписание со сроком исполнения три дня, предупреждение о приостановлении лицензии, приостановление лицензии... и т.п.

Уж лучше бы штраф, чесслово. :)

[s.lobanov]

Антон Богатов

DPI для этого не нужен, для ISP фильтрация по IP(если список IP-адресов будет предоставлен государством) один из самых простых дешёвых вариантов

[Антон Богатов]

DPI для этого, разумеется, не нужен. Не очень эффективный, но, как совершенно верно замечено, дешевый пробный шарик. Put out feelers, как говорят в некоторых странах. :)

 

Просто тотальный DPI это наше будущее. Причем за счет операторов. :)

[mousus]

олбанские мысли вслух:

 

а чё? некислая тема для очередного распила

 

создаём реестр

тратим народные бабки на его создание и ведение

ведём его автоматизировано -- жгём на это народное электричество

придумываем что все провайдеры должны себе его скачивать и автоматически засовывать в свои фаерволы

пишем за народные бабки под это дело софт, и за них же его сертифицируем

за провайдерские бабки провайдерам впариваем сие поделие и заставляем его внедрить

придумываем как контролировать исполнение сего ФЗ, контроллируем за народные тугрики

 

для того чтобы найти бабки на вышеописанный бред сокращаем расходы на образование, здравоохранение, и т.д.

 

тушите свет кароче.......

[Антон Богатов]

Ну мне, например, будет не хватать вот этого ресурса 91.198.174.225

Полезная штука, хоть и вредная одновременно. :)

[VVG]

А откуда взят этот адрес?

Уже есть реестр в каком-то виде?

Edited September 14, 2012 by VVG

[Антон Богатов]

А откуда взят этот адрес?

nslookup ru.wikipedia.org :) Видный кандидат на почетное место в реестре.

 

Про луркмор я даже не говорю, вероятность его попадания в реестр почти равна 1.

 

Реестра пока нет, вряд-ли он будет публичным, механизма информирования операторов тоже пока нет. Скорее всего, в условиях цейтнота первая версия системы будет крайне сырой во всех смыслах.

[VVG]

Интересно, а за это

root@main:~# ping6 -n www.wikipedia.org
PING www.wikipedia.org(2620:0:862:ed1a::1) 56 data bytes
64 bytes from 2620:0:862:ed1a::1: icmp_seq=1 ttl=58 time=91.0 ms
64 bytes from 2620:0:862:ed1a::1: icmp_seq=2 ttl=58 time=94.9 ms
64 bytes from 2620:0:862:ed1a::1: icmp_seq=3 ttl=58 time=95.0 ms

бить будут?

 

Я так понимаю, что операторы должны будут блочить только по IP адресам из реестра. По именам -- только хостеры.

[lip]

http://www.lenta.ru/news/2012/09/14/sites/

Приступили к борьбе с порнухой, если победят то трафик упадет. Интересно на сколько? Подозреваю раза в три. :)

[Sergey Gilfanov]

Если ее начнут активно вытеснять из обычного интернета, то всякие криптонеты точно станут популярными. Подростки постараются. Падению трафика это совершенно не способствует.

[danilbal]

От 103 сайтов?

Уж что-что, а порнуху точно не победить:)

[Ivan_83]

ну для фильтрации по IP как раз никакие DPI не обязательны. Скрипт раз в сутки заливающий список IP в соответствующий acl на бордере должны осилить даже студенты второго курса... Если конечно будет URL откуда список взять.

И по урлам фильтровать не дороже.

Вместо блокировки заворачиваем к себе на nginx настроенный на проксирование всего, кроме того что в чёрных списках.

Чёрные списки делаются через map, там же и регэкспы и просто доменные имена.

 

бить будут? Я так понимаю, что операторы должны будут блочить только по IP адресам из реестра. По именам -- только хостеры.

А я давно говорил: выдать студентам вузов бесплатный безлимитный инет IPv6 only и мы станем передовой страной :)

 

http://www.lenta.ru/...12/09/14/sites/ Приступили к борьбе с порнухой, если победят то трафик упадет. Интересно на сколько? Подозреваю раза в три. :)

Не хватает ещё категории +99 :)))

Траф не упадёт.

Порнуху что смотреть что качать - не проблема, но смотрят и качают, в основном, всякие сериалы и ролики.

И ещё, всё там описано есть как в мейле так и в других соцсетях, хер их кто закроет, как из за бабла так и из за тупых пользователей составляющих на себя актуальное лично дело.

[s.lobanov]

ну для фильтрации по IP как раз никакие DPI не обязательны. Скрипт раз в сутки заливающий список IP в соответствующий acl на бордере должны осилить даже студенты второго курса... Если конечно будет URL откуда список взять.

И по урлам фильтровать не дороже.

Вместо блокировки заворачиваем к себе на nginx настроенный на проксирование всего, кроме того что в чёрных списках.

Чёрные списки делаются через map, там же и регэкспы и просто доменные имена.

 

Для мусохранск-телеком сойдёт, а даже для средних это не реально

[Ivan_83]

Не такая уж там и большая нагрузка будет, пока ютуб и прочий крупняк не добавят. И масштабируется оно не дорого.

 

Кстати, если будут доменные мена блочить постоянным резлвингом ип, то весёлые ребята быстро догадаются чьи ип прописать чтобы отомстить :)

[MaksMMS]

интересно, а "черный список Роскомнадзора" будет публичным, или только для операторов

если второе, то что говорить абонентам, если айпишники богомерзких всеми любимых одноклассников / вконтактика / мейлрушечки попадут в него?

Edited September 16, 2012 by MaksMMS

[Тимур]

Давайте веселицца. Держать пари в смысле.

 

Ставка 1

В первой же редакции в списке запрещенных IP окажутся адреса массовых UGC платформ.

 

Ставка 2

Окажутся, но под давлением возмущенных воплей регулятор их оттуда уберет

 

Ставка 3

Оккажутся, и регулятор не будет убирать.

 

Ставка 4

В первой редакции окажутся IP адреса каких-то крайне малопопулярных UGC платформ, но в последствии список будет дополняться и туда будут попадать все более массовые платформы

 

Я ставлю 3000 рублей, на то - что в первой редакции списка и как минимум в течении первых полугода в список массовые UGC платформы не попадут.

[telematic]

Ну вот, началось.

Забанили мы по айпишнику сайты МММ. Сегодня выяснилось, что у этого хостера по тому-же адресу находится сайт нашего регионального Следственного Комитета. Звонят, возмущаются.

 

"Будет весело" (с) Patrick Jane

[nic_stav]

Ну вот, началось.

Забанили мы по айпишнику сайты МММ. Сегодня выяснилось, что у этого хостера по тому-же адресу находится сайт нашего регионального Следственного Комитета. Звонят, возмущаются.

 

"Будет весело" (с) Patrick Jane

Это просто праздник какой-то!!!

[Tem]

Позвонили из прокуратуры и попросили найти решение, какбы заблокировать на ютубе ролик "Невиновность мусульман".