[Irsi]

KotikBSd, сделай примерно так:

parameter-map type urlfpolicy local local-pm
allow-mode on
block-page redirect-url http://<страничка с сообщением о блокировке>
!
parameter-map type urlf-glob deny-domain-param
pattern <блокируемый урл>
pattern <блокируемый урл>
!
class-map type inspect match-all http-class
match protocol http
!
class-map type urlfilter match-any deny-domain-class
match  server-domain urlf-glob deny-domain-param
!
policy-map type inspect urlfilter local-policy
parameter type urlfpolicy local local-pm
class type urlfilter deny-domain-class
 log
 reset
!
policy-map type inspect lan2wan
description Traffic control from LAN to WAN
class type inspect http-class
 inspect
 service-policy urlfilter local-policy
class class-default
 pass
!
policy-map type inspect wan2lan
class class-default
 pass
!
zone security WAN
description Internet
!
zone security LAN
description My LAN
!
zone-pair security lan2wan source LAN destination WAN
service-policy type inspect lan2wan
!
zone-pair security wan2lan source WAN destination LAN
service-policy type inspect wan2lan 

Ну и соотвественно не забыть на интерфейсах расставить нужные zone-member security (WAN на внешнем, LAN - на тот что смотрит к клиентам). Ну и логирование можешь либо вообще отключить для экономии ресурсов, либо скинуть логи на syslog на радость ФСБ...

И не слушай идиотов, которые даже не попробовав, утверждают что это много жрет - копейки это жрет. Ибо в таком виде оно блокирует ровно настолько, чтоб прокурорские отавязались, не более...

Впрочем если у тебя несколько клиентских сегментов, каждый за своим роутером - то лучше это сделать на них разумеется, а не на бордере - с целью распределения нагрузки и экономии ресурсов (например нафига прикрывать служебную сеть?). Паттерны можно не на каждом ручкой прописывать, а хранить централизованно и забирать оттуда автоматом.

 

P.S. 22 станицы текста из-за того что местые гуру не смогли написать этот конфиг. LOL! Правда мне этот конфиг приносит минимум чирик с одного неосилившего... :) Держите пока я добрый. :)

[bitbucket]

KotikBSd, сделай примерно так:

KotikBSd, не делай так. Так не надо - это работает только если у вас за роутером 2-3 человека с объемом трафика до 10кппс.

[ReedCat]

вообще я здесь давно такого устойчивого троллинга/манипулирования фактами не видел

Да где же тут манипулирования фактами?

 

Irsi, шкыш!!!

 

Достал уже всех.

[telematic]

Иск о признании "Невинности мусульман" экстремистским рассмотрят 1 октября.

 

РБК 24.09.2012, Москва 15:43:42 Тверской районный суд Москвы рассмотрит по существу иск о признании экстремистским фильма "Невинность мусульман" 1 октября 2012г. Об этом сообщили в суде.

 

Ранее, 17 сентября с.г., Генеральная прокуратура РФ направила в суд иск о признании скандального фильма о пророке Мухаммеде экстремистским и запрете его распространения в РФ.

 

Иск был направлен по результатам прокурорской проверки фильма, которая проводилась в связи с размещением в глобальной информационной сети интернет фильма, оскорбляющего религиозные чувства верующих и разжигающего межнациональную рознь.

 

До принятия судебного решения Генпрокуратура поручила Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) принять меры для предотвращения распространения посредством СМИ информации, содержащейся в данном фильме.

 

Кроме того, заместитель генерального прокурора РФ Виктор Гринь объявил ряду крупнейших интернет-провайдеров предостережение о недопустимости нарушения закона для предотвращения распространения в сети этого фильма. Соответствующие поручения даны прокурорам субъектов РФ для организации реагирования на региональном уровне.

 

Фильм "Невинность мусульман" был распространен в интернете и вызвал возмущение со стороны представителей ислама и стал причиной серии волнений в мусульманских странах.

 

 

http://www.rbc.ru/rbcfreenews/20120924154342.shtml

[abab]

Впрочем если у тебя несколько клиентских сегментов, каждый за своим роутером - то лучше это сделать на них разумеется, а не на бордере - с целью распределения нагрузки и экономии ресурсов (например нафига прикрывать служебную сеть?).

А ты уверен что оно на бордере не ё**ет?

 

policy-map на бордере под нагрузкой? Обычно среднестатистическому cisco бордеру хорошо если сил хватает перебрасывать пакеты с интерфейса на интерфейс и отбрасывать netflow на биллинг, при этом желательно на него не дышать попытки резких телодвижений подобного типа обычно заканчиваются паденим мордой обстол, почти не сомневаюсь что семитонник точно обстол ляжет.

Вот насчет ASR у меня есть сомнения, столько про них в глянцеых брошурах понаписали что может там и прокатит че гуру скажут?

[alks]

Госдума намерена внести проект, запрещающий использование «маскировочного» программного обеспечения. Нарушителям может грозить административная ответственность в виде штрафа

http://izvestia.ru/news/535724

 

Специалисты в области информационных технологий уверяют, что провайдеры могут определить абонентов, использующих анонимайзеры при посещении сайтов.

 

 

Думаю что эти "специалисты" на деле что-то типа знакомого племянника интернет-задрота помощницы депутата ))

 

to irsi - а теперь вхерач в свой патерн 550 урлов и потом рассказывай сказки про "немного жрет", не говоря что этот ЗБТ или как его там файрвол доставит массу проблем работая на бордере

уж лучше было nbar использовать.

[Irsi]

Для начала - у человека, которому я отвечал нет 550 урл, у него их всего 3.

Для продолжения - я вроде бы достаточно четко сказал и неоднократно сказал что желательно это делать не на бордере. Собственно несколько десятков паттернов прокатит и на бордере, в конце-концов, нам надо проверять только исходящий трафик и только http, а он обычно невелик.

Для окончания - возьмите, проверьте и убедитесь сами. В конце-концов - не сохраняйте конфиг с добавлеными зон-мемберами на интерфейсах, в крайнем случае - ребут и все работает. Но скорей всего просто успеете снести эти две строчки из конфигов интерфейсов и весь ZBFW тупо отрубится и не будет ничего жрать вообще. Короче хуже не будет.

уж лучше было nbar использовать.

facepalm.jpg

Он тут абсолютно не нужен и к тому же это вспомогательное средство, которое можно использовать в том числе и для фильтрации, точнее - для улучшения результатов фильтрации, а не собственно средство фильтрации. И поскольку фильтрацию мы делаем исключительно чтоб удовлетворить прокурорских, а не для того чтоб создать непроходимый барьер - он тут вообще нафиг не нужен, нефиг тратить ресурсы на то улучшение, которое с вас не требуют. Хотя в будущем, когда потребуют - надо рассматривать и варианты его применения, факт.

Да блин, чтож у вас такое нездоровое стремление - сделать идеальную анальную огородку? Зачем?! С вас ее кто-то требует? Нет не требует. Сделайте ровно настолько, насколько требуют и забейте до тех времен, когда потребуют что-то большее. Решайте проблемы по мере их поступления, блин.

Вы блин сами постоянно жалуетесь что чиновники - лохи. Так пользуйтесь этим! И рассказывайте им поменьше - не подавайте дурных идей по улучшайзингу, сами потом пожалеете.

[Прохожий]

И поскольку фильтрацию мы делаем исключительно чтоб удовлетворить прокурорских, а не для того чтоб создать непроходимый барьер

Вы блин сами постоянно жалуетесь что чиновники - лохи. Так пользуйтесь этим!

Отлично :) Чуваки, можете как угодно относиться к Irsi, но он прав: перечитывая топик, я понимаю, что инженеров губит страсть к прекрасному, стремление к идеальным, надежным решениям, то есть закрывать - так уж закрывать!

 

Работать "на ***ись", а здесь, вот парадокс, тот самый случай, когда именно это и надо )))

[Irsi]

Работать "на ***ись", а здесь, вот парадокс, тот самый случай, когда именно это и надо

Рад что хоть кто-то меня тут понял... Уже не ожидал даже. :)

А разве с подобными упырями еще как-то иначе можно работать?! :)

Я тоже не люблю халтурить и работать в таком ключе (именно поэтому с госструктурами не работаю), но... простите тут иначе никак не возможно - себе дороже. :(

P.S. Посмотрите сержанта Билко... ;)

[vodz]

И еще раз касательно ютьба ты действительно считаешь что хомяк не додумается до https ?

Кстати, ролики то всё равно отдаются по http :)

[st_re]

vodz Уу.. И от прокурорских попросить их урлы и IP. Которые даже в одном регионе в течении суток могут оказаться разными...

[Irsi]

vodz Уу.. И от прокурорских попросить их урлы и IP. Которые даже в одном регионе в течении суток могут оказаться разными...

Не твоя проблема, а прокурорских. Как это сделать их проблемой - задача юротдела.

[Барагоз]

Вызвал меня сегодня пом. прокурора на беседу, получилось довольно забавно.

Дал почитать Предостережение, взял подпись, что ознакомлен. Также взял объяснение в один абзац копипасты, что мы провайдер и через нашу сеть доступен youtube, на котором содержится сабжевый фильм.

Предостережение абсолютно ни о чем, только декларативные конструкции со ссылками на законы. В конце абзац о том, что 'неисполнение требований прокуратуры (...) влечет к ответственности по ст. (...)'. При этом в тексте предостережения требований - никаких.

Мне всё-таки стала интересна содержательная сторона, задал сам пару вопросов. Передаю довольно близко к тексту.

В: В тексте этого документа не содержится никаких конкретных указаний заблокировать youtube или к-л другие ресурсы. На данный момент видео, о котором идет речь, скорее всего уже давно растиражировано по множеству других сайтов. Технически мы можем закрыть доступ на ресурс по IP-адресу или списку адресов, по доменному имени или (в крайнем случае) по конкретному URL. Для этого нам нужно точно знать, что именно от нас требуется. На данный момент выглядит как 'закрой то, не знаю что'. Вам так не кажется?

О: Возможно. Нам пришло вот такое распоряжение, мы сами в недоумении (посмеивается, показывает бумагу) и вот такое письмо от Роскомнадзора, вам скорее всего тоже должно было прийти.

(Какое-то внутреннее распоряжение в два абзаца - еще более ни о чем в духе 'провести разъяснительную работу, предостеречь...', бумага от надзора тоже вода без всякой конкретики)

В: Как я понимаю, на данный момент решения суда еще нет. Конкретных рекомендаций от вас мы тоже никаких не получили. Сейчас какие-нибудь действия от нас требуются?

О: Пока больше никаких. Вы же, как я понимаю, не будете весь youtube блокировать...

В: То есть практический смысл данного предостережения, как я понимаю, в том, чтобы сейчас оператор связи озадачился и сам придумал, как можно не дать пользователю доступ к данному экстремистскому контенту, не блокируя при этом весь ресурс, на котором этот контент размещен. Так?

О: Видимо, как-то так.

В: А кто и как будет проверять выполнение этих рекомендаций?

О: Мы точно не будем (в глазах читается: 'Боже упаси!').

В: То есть вы можете провести проверку только если после вынесения и вступления в силу решения суда наш абонент сам увидит этот ролик, зайдя на какой-либо сайт через нашу сеть, и обратится к вам по факту, что ему показали экстремистский контент. Так?

О: Да.

 

На этом у меня дальнейшие вопросы как-то сами собой отпали) Такие дела. Бумажку пока положил на стол, делать по этому поводу пока ничего не собираюсь. По крайней мере до 1 октября.

 

ЗЫ Так что, как я понял, урлы и IP просить смысла нет. Имхо, четко прослеживается позиция: 'Хотите - трахайтесь сами, как вы это будете делать, нам неинтересно'.

Изменено 24 сентября, 2012 пользователем Барагоз

[Irsi]

Так что, как я понял, урлы и IP просить смысла нет. Имхо, четко прослеживается позиция: 'Хотите - трахайтесь сами, как вы это будете делать, нам неинтересно'.

Разумеется. А вы ожидали другой реакции? Но стоит добавить одну вешь, которую вы опустили - "А если ничего делать не будете - мы вас поимеем". Посему требуется создания хотя бы видимости активной деятельности.

Просить IP и урл - смысла нет, надо - обоснованно требовать. Написать грамотное обоснование - задача вашего юротдела.

Бумажку пока положил на стол, делать по этому поводу пока ничего не собираюсь. По крайней мере до 1 октября.

Это - глубочайшая ошибка. Вы абсолютно не понимаете их логики. Смотрите сами - его начальство поручило принять ему принять меры и он написал бумажку вам, где потребовал принять меры. Что он сделал с точки зрения бюрократии? Правильно - он принял меры, как и было предписано! Да-да - предпринял меры, написал бумажку. А что сделали вы? Правильно - ничего! То есть меры принимать не стали. Следовательно вы виноваты в неисполнении. Он в белом, в дерьме.

Что же делать? Правильно - написать бумажку, где вы требуете разъяснить каким образом надо принимать меры и требуете предоставить необходимые данные (урл и ip, да) для принятия оных, посколку самостоятельно вы их узнать не можете. После этого - виноват он и ему надо писать бумажку. Чья бумажка последняя - тот и прав, кто последний получил и не ответил - тот и виноват. Такова логика бюрократии. И игнорировать ее - не следует, если не хотите неприятностей.

Разумеется бумажка должна быть правильно составлена и все ваши требования должны сопровождаться правильными обоснованиями. Это - задача ваших юристов.

[vodz]

И от прокурорских попросить их урлы и IP. Которые даже в одном регионе в течении суток могут оказаться разными...

URL то разный, но ID роликов - уникальный.

[st_re]

2 vodz Не надо палить хату... :) уникальную часть урла я вполне себе представляю.

[karpa13a]

URL то разный

нет тех возможности смотреть в урл.

давайте ипе.

[Irsi]

нет тех возможности смотреть в урл.

Слово "технических" произносить нельзя - раз технических, значит ваши проблемы, а не их. Нет технических возможностей? Обеспечите чтоб были - на то вы и технари. :)

[straus]

Да где же тут манипулирования фактами? Г. страус у меня давно в игнор листе

Зато господин Страус отличается одной интересной деталью - он может в любой момент поднять трубочку и позвонить прямо в Англию, первоисточнику. Ну так получилось, что в этой стране мне есть кому позвонить, и даже по профилю.

Кстати, ирси может гордиться - о нём уже знают в самой IWF, которую он так рекламирует.

Только вот, похоже, английские защитники безопасного интернета не согласны с самим великим ирси - они категорически против ограничений по политическим мотивам. Не ценят ирси в Англии... Ирси, ты слышишь? Тебя считают защитником путинского режима, и не более того! И считают, что все твои потуги не имеют отношения к "безопасному интернету".

Вот так вот, блин.

[MEF]

Ирси просто ***к и член партии ЕР.

[roling]

В то же время - " В Чечне частично заблокирован YouTube. Доступ к видеохостингу ограничили крупные провайдеры республики - ЗАО "Вайнах Телеком" и ЗАО "Чеченская сотовая связь". Доступ к YouTube закрыли в соответствии с предостережением, вынесенным прокурором Чечни. Читать полностью: http://top.rbc.ru/society/24/09/2012/671089.shtml". Т.е процесс потихоньку идет.

[roling]

Кстати "Что касается интернет-пространства, то сайт YouTube, на котором размещен антимусульманский фильм, уже блокирован в Пакистане, Афганистане, Бангладеш и Судане. Доступ к фильму закрыт в Индии, Египте, Ливии и Малайзии. В Иране в знак протеста против фильма заблокированы поисковик Google и почтовый клиент Gmail.Читать полностью: http://top.rbc.ru/society/24/09/2012/671099.shtml" .

 

Мне тут подумалось, а не может эта вся история быть банальным наездом на Google со стороны конкурентов. Ведь крики идут именно про Ютуб и Гугл. А то что на других видеохостингах и ресурсах этот фильм лежит - молчок.

[MAXmks]

http://tvrain.ru/articles/konets_youtube_konets_sveta_polnaja_versija-330732/

У Ксюшади в гостях разные чуваки, гудков и другие.

Рассуждают про закрытие youtube, экстремизм, английские и китайские фаерволы. Обсуждают нашу тему.

Можно увидеть как выглядят человеки придумывающие ту ахинею, которую мы потом тут обсуждаем.

 

Иван Тонких. Этот чел там рассказывает о том что операторы должны себе DPI ставить (2-я часть 4:40). Это наш герой? http://ru-ru.facebook.com/kras.krest

Изменено 25 сентября, 2012 пользователем MAXmks

[ashkalikov]

Скоро еще работы прибавится.

Ведомости

Предлагается дополнить Уголовный кодекс новой статьей (243.1) «Оскорбление религиозных убеждений и чувств граждан»: публичные оскорбления религиозных убеждений граждан и прилюдное унижение богослужений, религиозных обрядов и церемоний. Нарушителям будет грозить штраф до 300 000 руб., или обязательные работы до 200 часов, или три года лишения свободы.

Пора уже магистралам рвать каналы наружу и делать суверенный РуНет.

Изменено 25 сентября, 2012 пользователем ashkalikov

[BiWiS]

«Оскорбление религиозных убеждений и чувств граждан»: публичные оскорбления религиозных убеждений граждан

Если мое религиозное убеждение атеизм, я смогу подать в суд на лиц оскорбляющих публично мои религиозные убеждения и чувства? ;)