alibek Опубликовано 26 июля, 2016 · Жалоба А чем им RIPE NCC помешала то? Ничем, RIPE NCC в реестре нет. По ссылке какая-то непроверенная ерунда. Например первый же IP-адрес 94.242.194.138 — это сайт 1xspots.com, который должен блокироваться по доменному имени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
onlime_user Опубликовано 26 июля, 2016 (изменено) · Жалоба это сайт 1xspots.com, который должен блокироваться по доменному имени. Они добавили в реестр 2 раза - один раз по доменному имени, второй раз по IP. Изменено 26 июля, 2016 пользователем onlime_user Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 июля, 2016 · Жалоба А причем тут RIPE NCC? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
onlime_user Опубликовано 27 июля, 2016 · Жалоба Ну ошибся насчет ripe из-за кривого whois, бывает. Но остального это не отменяет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 июля, 2016 · Жалоба Так "остального" там и нет, там весь информационный повод статьи в заголовке — "РКН заблокирован RIPE NCC!". Без этого и повода нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSlash Опубликовано 28 июля, 2016 · Жалоба "рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016. Кто-нибудь блокирует 53 порт в мир? Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен? Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен). Вообще, очень тупая практика подмены ответа от DNS. Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 29 июля, 2016 (изменено) · Жалоба "рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016. Кто-нибудь блокирует 53 порт в мир? Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен? Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен). Вот когда вам начнут впаивать штрафы за каждый НЕЗАКОННО ЗАБЛОКИРОВАННЫЙ ресурс -- тогда и придется задаваться подобным вопросом. Но сдается мне, что при текущей тенденции это не при моей жизни... или не в этом Интернете ;) Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой. Логично. Разумно. Так и делаем. P.S. Есть мысль разрулить на несколько списков IP-адресов. Где в Реестре только http-порт -- блокировать по IP лишь TCP/80. Где требуют домен или какие-то левые порты -- резать весь IP целиком. Но сдается мне, что клиентам радости это не добавит, и потому заморачиваться тоже неразумно. Только в редких случаях, чтобы при одном запрещенном http-ресурсе на общем хостинге/IP оставить работать https-версии и другие невиновные протоколы, те же SSH/FTP для админов? Изменено 29 июля, 2016 пользователем Ansy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 5 августа, 2016 · Жалоба А кто-то может объяснить чем блокировка типа daomain отличается от domain-mask? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 августа, 2016 · Жалоба Домен: в дампе есть "graniru.info", блокируем graniru.info, но не блокируем mirror667.graniru.info или другие поддомены. Маска: в дампе есть "*.graniru.info", блокируем graniru.info и все поддомены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 5 августа, 2016 · Жалоба Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен? Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен). Вообще, очень тупая практика подмены ответа от DNS. Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой. А вот не факт. Когда соседним к заблокированному станет какой-нибудь популярный ресурс и Ваш конкурент не поленится фильтровать DNS запросы то как Вы думаете к кому пойдут абоненты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 5 августа, 2016 · Жалоба Адресок 104.28.5.107 ни у кого под блокировки не попадает? Возможно, что-то из https доменов в него резольвится. на сайт http://www.rcrwireless.com timeout все время... Через operaturbo доступен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 5 августа, 2016 · Жалоба <content id="138192" includeTime="2015-01-19T18:37:40" entryType="1" blockType="domain" hash="EFA7DC2AC86CD439C7F12DB3 39EA3A40"> <decision date="2015-01-14" number="2/1/11-31378" org="<D4><D1><CA><CD>"/> <domain><![CDATA[legalrcm.com]]></domain> <ip>104.28.4.107</ip> <ip>104.28.5.107</ip> <ip>104.31.90.180</ip> <ip>104.31.91.180</ip> </content> Вопрос - закрывать ли этот домен по https? Те кто закрывают могут блочить по ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 5 августа, 2016 · Жалоба Вот мой офисный провайдер блочит это по ip, в результате, прямо попасть на вразумительный сайт с полезной телеком информацией не получается. Все для людей блин и чем дальше, тем такого будет больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NN----NN Опубликовано 5 августа, 2016 · Жалоба Адресок 104.28.5.107 ни у кого под блокировки не попадает? Возможно, что-то из https доменов в него резольвится. на сайт http://www.rcrwireless.com timeout все время... Через operaturbo доступен. Через Ростелеком ("Волга") есть абонентский доступ на этот сайт, только что проверил Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 5 августа, 2016 · Жалоба Домен: в дампе есть "graniru.info", блокируем graniru.info, но не блокируем mirror667.graniru.info или другие поддомены. Маска: в дампе есть "*.graniru.info", блокируем graniru.info и все поддомены. Т.е www.graniru.info в первом случае должен быть доступен? Зашибись. Маразм крепчает..... Тоды ещё один вопрос: как BINDу объяснить сие отличие? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 5 августа, 2016 · Жалоба Если задано "*.graniru.info" то как с "graniru.info" ? Чую моя железка будет искать подстроку минимум вида ".graniru.info" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snik_1900 Опубликовано 5 августа, 2016 · Жалоба Особенно интересно посмотреть пример работающего конфига... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 5 августа, 2016 · Жалоба Адресок 104.28.5.107 ни у кого под блокировки не попадает? Возможно, что-то из https доменов в него резольвится. на сайт http://www.rcrwireless.com timeout все время... Через operaturbo доступен. Через Ростелеком ("Волга") есть абонентский доступ на этот сайт, только что проверил В Москве Комкор/Акадо блокирует по IP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 8 августа, 2016 · Жалоба Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен? Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен). Вообще, очень тупая практика подмены ответа от DNS. Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой. А вот не факт. Когда соседним к заблокированному станет какой-нибудь популярный ресурс и Ваш конкурент не поленится фильтровать DNS запросы то как Вы думаете к кому пойдут абоненты? Да его полстраны заблокирует по IP еще на аплинках. Уходить-то не к кому особо, кроме двух столиц да мож еще сотовых операторов. У локальных же конкурентов тоже не всё так весело, как вы думаете. В тысячах мелких населенных пунктов и выбор операторов невелик, и у этих же невеликих операторов не настолько много платежеспособных жирных клиентов, чтоб окупить полноценное DPI. Потому блокируются или у аплинков, или кто как сумеет. Жду, жду -- когда же наконец ЭТО случится? Или РКН таки сцыкует ютубчик какой-нить прижать, или успевают пока полюбовно договориться о контенте. Кароч, мутно всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergoINFOLAN Опубликовано 8 августа, 2016 · Жалоба Ждём блокировки ВК, YouTube и прочих популярных ресурсов! лучше бы их блокирнули ЦЕЛИКОМ!!! Белые списки уже пора вводить! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 8 августа, 2016 · Жалоба Жду, жду -- когда же наконец ЭТО случится? Или РКН таки сцыкует ютубчик какой-нить прижать, или успевают пока полюбовно договориться о контенте. Кароч, мутно всё. У Ютуба больше 300 ссылок уже в реестре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 8 августа, 2016 · Жалоба У Ютуба больше 300 ссылок уже в реестре. И старательно избегаемым https. Учитывая то, что ютуб уже вовсю HSTS использует - это очень весело. Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть. Путем ручного открытия ссылок. Сам Надзор пока, я так понимаю, старательно делает вид, что все нормально. И его система мониторинга на это не реагирует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 8 августа, 2016 · Жалоба И старательно избегаемым https. Учитывая то, что ютуб уже вовсю HSTS использует - это очень весело. Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть. Путем ручного открытия ссылок. Сам Надзор пока, я так понимаю, старательно делает вид, что все нормально. И его система мониторинга на это не реагирует. Ага. Медведев вобьет ссылку, она у него через HSTS откроется через HTTPS и задаст вопрос: "Почему открывается?" :) Что-то грядет. Не зря в рекомендациях расписали подробно как блокировать https ссылки. Грубо говоря блокировать домен, и если не получится прямо - то заблокировать в DNS И у них будет отмазка. Мы, типа, ютуб не требовали заблочить. Только 300 отдельных страниц. Это все ленивый провайдер виноват - не хочет работать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 8 августа, 2016 · Жалоба Ну строго говоря, кроме HSTS есть еще много чего. Есть мобильная версия сайта (m.youtube.com), есть параметры в URL (...&t=378). Я вообще не вижу смысла в призывах к митингам, саботажу и прочим «сейчас как сделаем, пусть подавятся». Есть требования — их нужно исполнять, без домысливаний и отсебятины. Есть рекомендации — им по возможности желательно следовать, по крайней мере в той части, которая не требует чего-то очень сложного или дорогого. Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть. В конце августа напишу, что получилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 8 августа, 2016 · Жалоба И у них будет отмазка. Мы, типа, ютуб не требовали заблочить. Только 300 отдельных страниц. Это все ленивый провайдер виноват - не хочет работать... После чего абонент попытается найти неленивого провайдера и у него ничего не получится. У абонента будут вопросы, нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...