alibek Опубликовано 13 июля, 2016 · Жалоба http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf На странице 5 все подробно описано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rick Опубликовано 14 июля, 2016 (изменено) · Жалоба Обратите внимание изменилась "Памятка оператору связи" версия 4.7 от 14.07.2016 Изменено 14 июля, 2016 пользователем Rick Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 14 июля, 2016 · Жалоба Формирование выгрузки с описанными изменениями будет производиться начиная с 15.08.2016: Для атрибута blockType тега content добавлено дополнительное возможное значение «domainmask», указывающее на блокировку реестровой записи по маске доменного имени. При этом значение доменного имени в реестровой записи с блокировкой типа «domain-mask» будет указано с маской в виде «*.domain.com». PS graniru дошли уже в реестре до 669 поддомена, я уже гадал на сколько терпения хватит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 14 июля, 2016 · Жалоба В России заблокировали платежные сервисы Qiwi и Skrill Желтая пресса или ещё не внесли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 14 июля, 2016 · Жалоба В России заблокировали платежные сервисы Qiwi и Skrill Желтая пресса или ещё не внесли? Жёлтая. Внесли в реестр. В выгрузке будет через 3 дня, если не пошевелятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 14 июля, 2016 · Жалоба Экономика и бизнес 14 июля, 20:48 UTC+3 Роскомнадзор внес сайт Qiwi в реестр запрещенной информации МОСКВА, 14 июля. /ТАСС/. Роскомнадзор внес сайт платежного сервиса Qiwi в реестр запрещенной информации. Об этом сообщил ТАСС руководитель пресс-службы ведомства Вадим Ампелонский. "Да, внесли", - сказал он, отвечая на соответствующий вопрос. В реестр также был внесен информационный сайт другого платежного сервиса - Skrill, уточнил Ампелонский. Подробнее на ТАСС: http://tass.ru/ekonomika/3455346 В реестре есть только http://casino-qiwi.com и http://qiwiklad.biz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rick Опубликовано 14 июля, 2016 · Жалоба Кроме "Памятки оператору связи", также появилось новое распоряжение "О рекомендациях по ограничению доступа к информации, ... " от 07.07.2016г. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 15 июля, 2016 (изменено) · Жалоба Кроме "Памятки оператору связи", также появилось новое распоряжение "О рекомендациях по ограничению доступа к информации, ... " от 07.07.2016г. Ну что, господа Операторы? Кто там возмущался, что запросы к DNS некошерно фильтровать и подменять? Теперь это ОФИЦИАЛЬНАЯ РЕКОМЕНДАЦИЯ, пункт 10. Обновленные Рекомендации Изменено 15 июля, 2016 пользователем Ansy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 15 июля, 2016 · Жалоба Кроме "Памятки оператору связи", также появилось новое распоряжение "О рекомендациях по ограничению доступа к информации, ... " от 07.07.2016г. Да, обленились в РКН - скан документа в pdf выложили. И фантазия в РКН опять разбушевалась - п.10: 10. При наличии в записи выгрузки информации о доменном имени и сетевом адресе при отсутствии информации об указателе страницы сайта в сети "Интернет", операторам связи рекомендуется ограничивать доступ ко всему информационному ресурсу, включая все сетевые протоколы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Notius Опубликовано 17 июля, 2016 · Жалоба включая все сетевые протоколы. Ну а как ещё, если предлагается фильтровать DNS? Кстати, «Ревизор» до сих пор по умолчанию вообще не запрашивает DNS, а тупо шерстит готовый список IP/URL? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 18 июля, 2016 · Жалоба 10. При наличии в записи выгрузки информации о доменном имени и сетевом адресе при отсутствии информации об указателе страницы сайта в сети "Интернет", операторам связи рекомендуется ограничивать доступ ко всему информационному ресурсу, включая все сетевые протоколы. Ну а как ещё, если предлагается фильтровать DNS? Если фильтровать все сетевые протоколы, то это равнозначно блокировке по IP.. Только в HTTP и НTTPS есть возможность на одном IP держать несколько сайтов. У некоторых ftpd серверов есть экспериментальные возможности так же делать сайты, но не все клиенты про это знают. И вряд ли про это знают DPI.Так что если следовать последним рекомендациям РКН, то эти домены надо блокировать по указанному в реестре IP. А если там не будет указан IP? DPI знает про http, некоторые умеют https, и они заблокируют http и https запросы этот домен. Но что если клиент пойдёт по ftp? DPI не знает про то,что он идёт на указанный домен, IP в блекхоле нет, и запрос пройдёт. А если ревизор будет следовать рекомендациям РКН и будет проверять пинги на этот домен? Пинг прошёл - не выполняешь требования. То есть всё таки придётся все DNS запросы заворачивать на свой сервер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 18 июля, 2016 · Жалоба Сделали бы они ужо ОДИН СВОЙ РАССЕЙСКИЙ "кошерный" DNS и вели бы его сами, синхронизируя со своим реестром... а Операторам перехватывать запросы -- и втудыть их качель. Это канеш жОстко... но не так, как "кетайцкий большой фаервол"... и уж точно проще и реальнее, чем "взрывпакет Яровой". Куды катимсо?... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 18 июля, 2016 · Жалоба Сделали бы они ужо ОДИН СВОЙ РАССЕЙСКИЙ "кошерный" DNS и вели бы его сами, синхронизируя со своим реестром... а Операторам перехватывать запросы -- и втудыть их качель. Э-э-э? ВСЕ домены на одном DNS-сервисе? А оно не опухнет, часом? (В протоколе не только запросы резолва есть.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 19 июля, 2016 (изменено) · Жалоба Сделали бы они ужо ОДИН СВОЙ РАССЕЙСКИЙ "кошерный" DNS и вели бы его сами, синхронизируя со своим реестром... а Операторам перехватывать запросы -- и втудыть их качель. Э-э-э? ВСЕ домены на одном DNS-сервисе? А оно не опухнет, часом? (В протоколе не только запросы резолва есть.) Я бы канеш предпочел, чтоб опухла Яровая сотоварищи, или депутаты, принимающие эти дебильные законы о блокировках... но они сами технически такую штуку не осилят, ибо убоги умишком. Ну, тогда меньшее из зол -- пусть РКН опухает и заботится о мощности сервисов... вы таки предпочитаете, чтоб у операторов связи голова об этом болела? Или все же пусть у выдумщиков законов и регулировщиков отрасли? Думать РАНЬШЕ надо было, когда законы проталкивали... И чем вам плохо если какой-то регулировочный сервис крупно облажается и впихнет в реестр адреса, например, банковской сферы, госуслуг, тормознёт обмен налоговой отчетностью "в последний день"? А они ведь могут -- они САМИ создали ЕДИНУЮ точку отказа всего Рунета. И далее -- вопрос только времени, когда проявится вся ущербность этой конструкции. Только хотелось бы, чтоб к этому моменту поменьше крови у отрасли успели выпить... Изменено 19 июля, 2016 пользователем Ansy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 19 июля, 2016 · Жалоба infobukmeker.com устал работать и стал резолвится в 46.61.232.10 (он же eais.rkn.gov.ru, он же vigruzki.rkn.gov.ru) У кого фильтрация по IP с резолвингом - превед и возможная невыгрузка реестра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 25 июля, 2016 · Жалоба Микротик обновил прошивку, свою RouterOS. Анонсирована интересная штука -- возможность добавлять ДОМЕННЫЕ ИМЕНА в список адресов для фаервола. v6.36 [current] is released! ... *) firewall - allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list); Попробовал всунуть имя сайтика -- автоматически через несколько секунд появилась ДИНАМИЧЕСКАЯ запись с его IP-адресом. Попробовал Яндекс -- автоматически вписались НЕСКОЛЬКО отрезолвленных его IP-адресов :) Походу эта фича прилично упрощает реализацию фильтров блокировки запретного списка и увеличивает её надежность. Особенно когда с перехватом DNS-запросов. Остаются неясными моменты обновления этих динамических записей -- как часто перепроверяет и насколько оперативно обновляет список IP-адресов. Есть подозрение, что в этом задействовано TTL самих DNS-записей в кэше. Для Яндекса это один час на данный момент. Пробовал выставить при задании адресов предусмотренный там таймаут -- но в DNS-кэше появилось ДРУГОЕ значение счетчика. Со значением TTL из вывода dig для домена как-то не кореллирует, надо уточнять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 25 июля, 2016 · Жалоба О великая коробочка микротик она магическим Образом хосты резолвить научилась и ip блокировать и заблочит она магией своей не мыслимой самое неблокируемое. Ибо нет микротику равных в силе его. Это вы еще с сетью 52.0.0.0/8 не знакомы ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 26 июля, 2016 · Жалоба О великая коробочка микротик она магическим Образом хосты резолвить научилась и ip блокировать и заблочит она магией своей не мыслимой самое неблокируемое. Ибо нет микротику равных в силе его. Это вы еще с сетью 52.0.0.0/8 не знакомы ;) Не очень понял ваш сарказм... есть там в системе штатный кэширующий DNS-сервер, как и в каждой домашней роутеромыльнице -- это ни разу не чудо. Есть и списки IP-адресов, чтоб в ОДНО правило фаервола впихнуть сразу кучку их (коих, заметьте, УЖЕ ЗА 22 ТЫСЯЧИ!) а это уже не каждой мыльнице по зубам. Ну и чем плохо, что сама железка сумеет резолвить и блочить домены? Вы таки желаете на отдельном сервере делать это еже... а кстати, как часто? И мучить флэш перезаливкой 22К айпишников в железку? Или отслеживать и менять каждый IP? Рискуя нарваться на штраф? Умеет железка что-то делать достаточно хорошо -- пусть и делает. Добавились полезные фичи -- опробуем и тоже в работу запустим. Лишний рубеж обороны не помешает, тем более за TTL при обновлении резолва само следит. Для небольших по трафику сетей -- вполне достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 26 июля, 2016 · Жалоба Ну и чем плохо, что сама железка сумеет резолвить и блочить домены? Вы таки желаете на отдельном сервере делать это еже... а кстати, как часто? И мучить флэш перезаливкой 22К айпишников в железку? Или отслеживать и менять каждый IP? Рискуя нарваться на штраф? Вот почему до сих пор никто из заблокированных свой домен на адреса (все) корневых и гуглояндоксевских DNS не отмапил? Или все же было? Железка умеет делать исключения, чтобы не заносить в список отрезолвленного то, что не надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 26 июля, 2016 · Жалоба Ну и чем плохо, что сама железка сумеет резолвить и блочить домены? Вы таки желаете на отдельном сервере делать это еже... а кстати, как часто? И мучить флэш перезаливкой 22К айпишников в железку? Или отслеживать и менять каждый IP? Рискуя нарваться на штраф? Вот почему до сих пор никто из заблокированных свой домен на адреса (все) корневых и гуглояндоксевских DNS не отмапил? Или все же было? Железка умеет делать исключения, чтобы не заносить в список отрезолвленного то, что не надо? То есть обновленные "Рекомендации по ограничению доступа к информации..." в Распоряжении РКН от 07.07.2016 № 8 вам еще не присылали? С разделом 10, в котором "рекомендуется ограничивать доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS"? И да, я ТОЖЕ ОЧЕНЬ жду диверсий с отмапливанием заблокированными товарищами своих доменных имен на IP-адреса каких-нибудь ОЧЕНЬ значимых публичных сервисов, желательно в РФ и желательно значимых для депутатов и правительства. Чтобы всем стал наконец очевиден бесперспективняк выбранного ими пути. Идем к этому... жалко, что медленно. P.S. А исключения низзя делать... железка не субъект права, и правОв таких не имеет, как и ответственность на неё не переложишь. Так что пущай уж по БУКВЕ закона блокирует, каким бы дебильным он ни был. P.P.S. Это мы еще до реализаций "взрывпакета Яровой" не добрались, там ваще с логикой здравого смысла глухо -- а как её в машинную вписывать? Это ж надо удумать... типа как в кровеносной системе на КАЖДОЙ развилке сосудов складировать (КУДА?!) ВСЮ ПРОХОДЯЩУЮ кровь сроком на ТРИ ГОДА??!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 26 июля, 2016 · Жалоба С разделом 10, в котором "рекомендуется ограничивать доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS"? Тама приписочка есть "Операторам связи, не использующим DPI". Очень значимая приписочка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 26 июля, 2016 · Жалоба Ну и чем плохо, что сама железка сумеет резолвить и блочить домены? Вы таки желаете на отдельном сервере делать это еже... а кстати, как часто? И мучить флэш перезаливкой 22К айпишников в железку? Или отслеживать и менять каждый IP? Рискуя нарваться на штраф? Вы блочите по IP на основе ресолва ? на заголовок Host не глядя ? нюню..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
onlime_user Опубликовано 26 июля, 2016 · Жалоба А чем им RIPE NCC помешала то? Они же вроде даже не хостеры. https://geektimes.ru/post/278854/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nn677 Опубликовано 26 июля, 2016 · Жалоба "рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016. Кто-нибудь блокирует 53 порт в мир? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 26 июля, 2016 · Жалоба "рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016. Кто-нибудь блокирует 53 порт в мир? Если нет DPI... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...