[homeuser]

Wingman, а разве в прозрачном режиме сквид не создает своего соединения с сайтом назначения? т.е. получается 2 соединения пользователь-squid и squid-site. не?

Изменено 4 ноября, 2012 пользователем homeuser

[Wingman]

homeuser, да, но я почему-то подумал, что сквид будет тупо "релеить" все запросы к сайту, хоть ответы и будут лететь мимо него. Не взлетело, да и врядли могло взлететь - нелогично получилось бы =)

А жаль, хоть садись и пиши софтину для работы с tproxy

[Wingman]

А есть спецы по DPI? =) Если запихнуть, например, на sce2020 _только_исходящий_ трафик от юзеров в сторону ипов блокируемых сайтов - сможет она отдать юзеру редирект на страницу-заглушку при перехвате "плохого" GET? И какой у неё лимит записей/урлов/регекспов? =)

[caz]

А есть спецы по DPI? =) Если запихнуть, например, на sce2020 _только_исходящий_ трафик от юзеров в сторону ипов блокируемых сайтов - сможет она отдать юзеру редирект на страницу-заглушку при перехвате "плохого" GET? И какой у неё лимит записей/урлов/регекспов? =)

лимит что в 8000, что в 2020 - 100 000 url.

[Дятел]

Непонятно только, сколько это отъест у процессоров....

[vIv]

Дежавю...

Что ждет провайдера, который не обеспечит коннективити с ведущими веб-ресурсами? Кто будет "крайним" в таком скандале? Приведет ли это к развитию сети, или последует раздробленность и стагнация?

 

Хотя на сегодня боевые действия на этом фронте весьма маловероятны, кто знает, какие сюрпризы принесет будущее. Как у медали есть две стороны, так и у IP пакета есть Destination и Source...

 

Кто самостоятельно нагуглит, откуда и из какого года взята цитата?

[caz]

А есть спецы по DPI? =) Если запихнуть, например, на sce2020 _только_исходящий_ трафик от юзеров в сторону ипов блокируемых сайтов - сможет она отдать юзеру редирект на страницу-заглушку при перехвате "плохого" GET? И какой у неё лимит записей/урлов/регекспов? =)

лимит что в 8000, что в 2020 - 100 000 url.

 

думаю, тыщи 2-3 url при 10000-15000 подписчиках онлайн потянет..

если есть тут кто из nbn, то возможно они расскажу, т.к. на sce собирались делать "детский" интернет..

 

а вообще циска - зло, всех спасет ADX 35к url можно заблочить + бонус в виде аппаратного фаервола и NAT =)

[homeuser]

есть такая мысль: на примере Wingman только ставить там простой тазик-роутер на исходящий, никаких сквидов и тпрокси.

далее отдельно подготавливаем для каждого блокируемого url - ip (ipset)

далее по этому ip заводим цепочку в netfilter(от линуха...) для которой нужно написать модуль (штатных модулей умеющих такое я не знаю) который умеет кешировать данные от нескольких последних пакетов соединения и искать в них регекспом. кешируем 3-5 последних пакетов соединения (пакеты пропускаем как есть, только берем данные, держим мы только последний пакет который обрабатываем) и с каждым пакетом проверяем регексп чтоб выделить что то типа "GET HTTP/1.0" (ну если ошибся... не пинайте:)) (в том же -A FORWARD -t filter) и если совпало с блокируемым ресурсом дропаем соединение. может стоит докрутить чтоб заменять на страницу с инфой о блокировки но это уже додумает кто нить.

главное тут модуль в netfilter по сути имеющий на входе 2 параметра - колво пакетов от которых беруться данные и строка для сравнения. урл вроде лимитирован 2кб (можно самим проверять и удалять длиннее... а можно допускать хоть 2 мега, кому что ближе... можно для каждого ip(ipset)-цепочки настраивать).

может лучше 2 модуля написать. 1 это как раз модуль который создает циклический буфер данных от последних пакетов соединения на некоторое кол-во кб. а второй имеющий 2 режима поиска строки в этом буфере - простой (менее ресурсоемкий по процессору) и сложный регексп (для тех в которых сработал первый простой способ и чтоб точно понять что это запрос а не строка в передающем тексте с урлом).

кстати если запрос идет к другому сайту по тому же ip можно маркировать соединение чтоб оно пропускалось и больше не занимало память под буфер.

вот как то так

 

з.ы. в принципе создание модуля буфера данных от последних пакетов открывает потом поле для создания других модулей которые будут заточены под поиск нужной инфы в нем (будь то http запрос или ещё что) и все это прозрачно...

Изменено 5 ноября, 2012 пользователем homeuser

[Wingman]

С модулем нетфильтра неплохо было бы, но как только захочется вместо тупого дропа выдавать страницу-заглушку, так сразу из простого модулька монстр вырисовывается =)

[homeuser]

ну может тогда другой модуль сделать который вместо того чтобы вычитывал из пакетов, записывал свою инфу в пакеты... ну послать на этот модуль только трафик отсеянный по src(serv)-dst(client)-proto(tcp), тока ессно нужен будет ещё модуль который менял бы конфу на маршрутизаторе (добавлял и удалял маршрут, а по сути выдавал сигнал в userspace где это проще сделать и заточить под разное оборуд). тогда все склеится. но это много новой разработки... и кто возьмется...

[alks]

А есть спецы по DPI? =) Если запихнуть, например, на sce2020 _только_исходящий_ трафик от юзеров в сторону ипов блокируемых сайтов - сможет она отдать юзеру редирект на страницу-заглушку при перехвате "плохого" GET? И какой у неё лимит записей/урлов/регекспов? =)

лимит что в 8000, что в 2020 - 100 000 url.

 

думаю, тыщи 2-3 url при 10000-15000 подписчиках онлайн потянет..

если есть тут кто из nbn, то возможно они расскажу, т.к. на sce собирались делать "детский" интернет..

 

а вообще циска - зло, всех спасет ADX 35к url можно заблочить + бонус в виде аппаратного фаервола и NAT =)

 

 

циска вообще без напряга потянет 100к если использовать content filtering а не грузить файлик со списком url

ADX вы имеете в виду брокейдовские балансировщики трафика? а есть инфа по их работе?

[Artem_1]

Первый URL появился в списке.. сейчас список состоит из одного URL :)

правда у меня даже рука не подымится его сдесь опубликовать...

[Sergey Gilfanov]

Первый URL появился в списке.. сейчас список состоит из одного URL :)

правда у меня даже рука не подымится его сдесь опубликовать...

Вообще было бы полезно. Чтобы общественность убедилась, что RGF совершенно не работает.

И задалась вопросом "А может, проще владельцев контента поймать?"

И еще как-то выудить из составителей списка, сколько ресурсов сами хостеры сняли по запросу.

[Andrei]

Первый URL появился в списке.. сейчас список состоит из одного URL :)

правда у меня даже рука не подымится его сдесь опубликовать...

Да уже опубликовали. Тут она упоминается http://electrosvyaz.com/forum/viewtopic.php?p=199735#p199735

[st_re]

Только у меня аплинк забил ее по IP.. А судя по обоим NSам на том же IP, то оно и не ресолвится даже :)

[yandrey]

мтс перенаправляет на http://www.mts.ru/zapret_info/ только этот url

[Sergey Gilfanov]

А вот теперь ждем попыток заблокировать доступ через https://кеш_гугла/, скажем.

[Дятел]

http://rsoc.ru/news/rsoc/news17172.htm

 

Роскомнадзор получил от представительства крупнейших социально ответственных международных интернет-комапний Google Inc и YouTube LLC официальное уведомление о готовности принимать на специально выделенные адреса электронной почты сведения о записях в реестре информации, запрещенной к распространению на территории Российской Федерации.

[karpa13a]

зато сколько копий поломали.

а тут пришел гугель и всё обгадил

[neiromancer]

WestCall не блочит

[Andrei]

о готовности принимать на специально выделенные адреса электронной почты сведения о записях в реестре информации, запрещенной к распространению на территории Российской Федерации.

Так давайте всем на e-mail рассылать! А то понапридумывали ключей всякиХ, скрипты для выгрузки писать надо... Сложности одни.

[Дятел]

То хостеры. А то операторы после отказа хостера.

[karpa13a]

давайте всем

а зачем всем? только тем кто в забугорье линки имеет.

с остальным по местным законам можно разбираться.

[visir]

с остальным по местным законам можно разбираться.

Это долго и муторно ;).

Изменено 6 ноября, 2012 пользователем visir

[AlKov]

Наш аплинк уже заблочил "первую ласточку".

Судя по всему, "выпилена" запись из его DNS (резолвится только гугловским DNS) и блокировка по IP (не пингуется даже) с заворачиванием на страницу с информацией.

Вот такой вот DPI ;)

 

P.S. "Письмо счастья" к нам пока не приходило, но думаю, не за горами..