homeuser Опубликовано 4 ноября, 2012 (изменено) · Жалоба Wingman, а разве в прозрачном режиме сквид не создает своего соединения с сайтом назначения? т.е. получается 2 соединения пользователь-squid и squid-site. не? Изменено 4 ноября, 2012 пользователем homeuser Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 4 ноября, 2012 · Жалоба homeuser, да, но я почему-то подумал, что сквид будет тупо "релеить" все запросы к сайту, хоть ответы и будут лететь мимо него. Не взлетело, да и врядли могло взлететь - нелогично получилось бы =) А жаль, хоть садись и пиши софтину для работы с tproxy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 5 ноября, 2012 · Жалоба А есть спецы по DPI? =) Если запихнуть, например, на sce2020 _только_исходящий_ трафик от юзеров в сторону ипов блокируемых сайтов - сможет она отдать юзеру редирект на страницу-заглушку при перехвате "плохого" GET? И какой у неё лимит записей/урлов/регекспов? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 5 ноября, 2012 · Жалоба А есть спецы по DPI? =) Если запихнуть, например, на sce2020 _только_исходящий_ трафик от юзеров в сторону ипов блокируемых сайтов - сможет она отдать юзеру редирект на страницу-заглушку при перехвате "плохого" GET? И какой у неё лимит записей/урлов/регекспов? =) лимит что в 8000, что в 2020 - 100 000 url. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 5 ноября, 2012 · Жалоба Непонятно только, сколько это отъест у процессоров.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 5 ноября, 2012 · Жалоба Дежавю... Что ждет провайдера, который не обеспечит коннективити с ведущими веб-ресурсами? Кто будет "крайним" в таком скандале? Приведет ли это к развитию сети, или последует раздробленность и стагнация? Хотя на сегодня боевые действия на этом фронте весьма маловероятны, кто знает, какие сюрпризы принесет будущее. Как у медали есть две стороны, так и у IP пакета есть Destination и Source... Кто самостоятельно нагуглит, откуда и из какого года взята цитата? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 5 ноября, 2012 · Жалоба А есть спецы по DPI? =) Если запихнуть, например, на sce2020 _только_исходящий_ трафик от юзеров в сторону ипов блокируемых сайтов - сможет она отдать юзеру редирект на страницу-заглушку при перехвате "плохого" GET? И какой у неё лимит записей/урлов/регекспов? =) лимит что в 8000, что в 2020 - 100 000 url. думаю, тыщи 2-3 url при 10000-15000 подписчиках онлайн потянет.. если есть тут кто из nbn, то возможно они расскажу, т.к. на sce собирались делать "детский" интернет.. а вообще циска - зло, всех спасет ADX 35к url можно заблочить + бонус в виде аппаратного фаервола и NAT =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
homeuser Опубликовано 5 ноября, 2012 (изменено) · Жалоба есть такая мысль: на примере Wingman только ставить там простой тазик-роутер на исходящий, никаких сквидов и тпрокси. далее отдельно подготавливаем для каждого блокируемого url - ip (ipset) далее по этому ip заводим цепочку в netfilter(от линуха...) для которой нужно написать модуль (штатных модулей умеющих такое я не знаю) который умеет кешировать данные от нескольких последних пакетов соединения и искать в них регекспом. кешируем 3-5 последних пакетов соединения (пакеты пропускаем как есть, только берем данные, держим мы только последний пакет который обрабатываем) и с каждым пакетом проверяем регексп чтоб выделить что то типа "GET HTTP/1.0" (ну если ошибся... не пинайте:)) (в том же -A FORWARD -t filter) и если совпало с блокируемым ресурсом дропаем соединение. может стоит докрутить чтоб заменять на страницу с инфой о блокировки но это уже додумает кто нить. главное тут модуль в netfilter по сути имеющий на входе 2 параметра - колво пакетов от которых беруться данные и строка для сравнения. урл вроде лимитирован 2кб (можно самим проверять и удалять длиннее... а можно допускать хоть 2 мега, кому что ближе... можно для каждого ip(ipset)-цепочки настраивать). может лучше 2 модуля написать. 1 это как раз модуль который создает циклический буфер данных от последних пакетов соединения на некоторое кол-во кб. а второй имеющий 2 режима поиска строки в этом буфере - простой (менее ресурсоемкий по процессору) и сложный регексп (для тех в которых сработал первый простой способ и чтоб точно понять что это запрос а не строка в передающем тексте с урлом). кстати если запрос идет к другому сайту по тому же ip можно маркировать соединение чтоб оно пропускалось и больше не занимало память под буфер. вот как то так з.ы. в принципе создание модуля буфера данных от последних пакетов открывает потом поле для создания других модулей которые будут заточены под поиск нужной инфы в нем (будь то http запрос или ещё что) и все это прозрачно... Изменено 5 ноября, 2012 пользователем homeuser Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 5 ноября, 2012 · Жалоба С модулем нетфильтра неплохо было бы, но как только захочется вместо тупого дропа выдавать страницу-заглушку, так сразу из простого модулька монстр вырисовывается =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
homeuser Опубликовано 6 ноября, 2012 · Жалоба ну может тогда другой модуль сделать который вместо того чтобы вычитывал из пакетов, записывал свою инфу в пакеты... ну послать на этот модуль только трафик отсеянный по src(serv)-dst(client)-proto(tcp), тока ессно нужен будет ещё модуль который менял бы конфу на маршрутизаторе (добавлял и удалял маршрут, а по сути выдавал сигнал в userspace где это проще сделать и заточить под разное оборуд). тогда все склеится. но это много новой разработки... и кто возьмется... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 6 ноября, 2012 · Жалоба А есть спецы по DPI? =) Если запихнуть, например, на sce2020 _только_исходящий_ трафик от юзеров в сторону ипов блокируемых сайтов - сможет она отдать юзеру редирект на страницу-заглушку при перехвате "плохого" GET? И какой у неё лимит записей/урлов/регекспов? =) лимит что в 8000, что в 2020 - 100 000 url. думаю, тыщи 2-3 url при 10000-15000 подписчиках онлайн потянет.. если есть тут кто из nbn, то возможно они расскажу, т.к. на sce собирались делать "детский" интернет.. а вообще циска - зло, всех спасет ADX 35к url можно заблочить + бонус в виде аппаратного фаервола и NAT =) циска вообще без напряга потянет 100к если использовать content filtering а не грузить файлик со списком url ADX вы имеете в виду брокейдовские балансировщики трафика? а есть инфа по их работе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artem_1 Опубликовано 6 ноября, 2012 · Жалоба Первый URL появился в списке.. сейчас список состоит из одного URL :) правда у меня даже рука не подымится его сдесь опубликовать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 6 ноября, 2012 · Жалоба Первый URL появился в списке.. сейчас список состоит из одного URL :) правда у меня даже рука не подымится его сдесь опубликовать... Вообще было бы полезно. Чтобы общественность убедилась, что RGF совершенно не работает. И задалась вопросом "А может, проще владельцев контента поймать?" И еще как-то выудить из составителей списка, сколько ресурсов сами хостеры сняли по запросу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 6 ноября, 2012 · Жалоба Первый URL появился в списке.. сейчас список состоит из одного URL :) правда у меня даже рука не подымится его сдесь опубликовать... Да уже опубликовали. Тут она упоминается http://electrosvyaz.com/forum/viewtopic.php?p=199735#p199735 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 ноября, 2012 · Жалоба Только у меня аплинк забил ее по IP.. А судя по обоим NSам на том же IP, то оно и не ресолвится даже :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yandrey Опубликовано 6 ноября, 2012 · Жалоба мтс перенаправляет на http://www.mts.ru/zapret_info/ только этот url Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 6 ноября, 2012 · Жалоба А вот теперь ждем попыток заблокировать доступ через https://кеш_гугла/, скажем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 6 ноября, 2012 · Жалоба http://rsoc.ru/news/rsoc/news17172.htm Роскомнадзор получил от представительства крупнейших социально ответственных международных интернет-комапний Google Inc и YouTube LLC официальное уведомление о готовности принимать на специально выделенные адреса электронной почты сведения о записях в реестре информации, запрещенной к распространению на территории Российской Федерации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 6 ноября, 2012 · Жалоба зато сколько копий поломали. а тут пришел гугель и всё обгадил Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neiromancer Опубликовано 6 ноября, 2012 · Жалоба WestCall не блочит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 6 ноября, 2012 · Жалоба о готовности принимать на специально выделенные адреса электронной почты сведения о записях в реестре информации, запрещенной к распространению на территории Российской Федерации. Так давайте всем на e-mail рассылать! А то понапридумывали ключей всякиХ, скрипты для выгрузки писать надо... Сложности одни. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 6 ноября, 2012 · Жалоба То хостеры. А то операторы после отказа хостера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 6 ноября, 2012 · Жалоба давайте всем а зачем всем? только тем кто в забугорье линки имеет. с остальным по местным законам можно разбираться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 6 ноября, 2012 (изменено) · Жалоба с остальным по местным законам можно разбираться. Это долго и муторно ;). Изменено 6 ноября, 2012 пользователем visir Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 6 ноября, 2012 · Жалоба Наш аплинк уже заблочил "первую ласточку". Судя по всему, "выпилена" запись из его DNS (резолвится только гугловским DNS) и блокировка по IP (не пингуется даже) с заворачиванием на страницу с информацией. Вот такой вот DPI ;) P.S. "Письмо счастья" к нам пока не приходило, но думаю, не за горами.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...