[Alex/AT]

Вообще если уж на то пошло - то лично я бы не рубил "сторонние" DNS-запросы, а заворачивал их на свои серверы. Так практичнее - меньше проблем с юзерами.

Изменено 6 ноября, 2012 пользователем Alex/AT

[Ivan_83]

' timestamp='1352165262' post=770622]Рубим DNS-запросы от юзеров, пусть юзают наш DNS. На нём заворачиваем некошерные URL на нужный нам хост. Profit!

И тем самым нарушаемс...

 

Вообще если уж на то пошло - то лично я бы не рубил "сторонние" DNS-запросы, а заворачивал их на свои серверы. Так практичнее - меньше проблем с юзерами.

А как быть тем, кто в днс не только кверит?

[Tosha]

Мое мнение о DPI и торрентах:

Шейпинг на DPI это одно, а дроп – качественно другое. Если зашейпит что-то лишнее - не страшно и даже не очень заметно. Но если заменить шейпинг "дропом", то все ошибки DPI всплывут как г…но. К тому же все тут же перейдут на шифрование и какое-нибудь uTPv2. И будет DPI статистически рубить что ни попадя. Или напишут какую-нибудь штуку вроде share.exe - голова соображает у наших не хуже японцев.

 

И я не понимаю все же про список. Если включат что-то с ютуба, то они какой IP в реестр занесут? Там же принципиально нет сетевого адреса, однозначно идентифицирующего запрещенный контент. Преобразование URL -> сетевой адрес зависит от географии, от того какие аплинки и от того что там в БД у гугла в системе балансирования и оптимизации сервиса.

Изменено 6 ноября, 2012 пользователем Tosha

[Wingman]

Внесут либо страницу ютуба, либо страницу, где ролик заэмбежен...

Главное, не говорите им никто про хттпс -)

[karpa13a]

то они какой IP в реестр занесут?

это проблема вносящих.

ипе из списка заблокирован? заблокирован.

контент доступен? а нам то какая до этого печаль.

[[S]]

Наверное youtube по доменному имени будет правильнее ибо там ж не один IP.

 

И тем самым нарушаемс...

А что мы нарушаем? Можно не рубить и отрезать только на своём DNS.

 

В любом случае, если захотят докопаться, то есть способы.

 

По IP блокировка не панацея, завтра IPv6 и ищи ветра в поле.

Ну и 123.mp3 офигенный файл...

[S.Sannikov]

Ха. Собственно как я и предполагал. Какой-то вышестоящий провайдер заблокировал ресурс из реестра по IP. И, соответственно, какой бы у нас DPI ни стоял, пофиг.

 

P.S. Похоже магистралы собрались себе абонбазу отжать! Глядите, а у нас эти сайты все работают.

[Wingman]

Такие магистралы быстро растеряют всех более-менее крупных клиентов

[atomlab]

Блокировка по ДНС довольно грубый же способ. Главная фича, это возможность блочить конкретные url.

Мы пока используем дешовую реализацию DPI.

 

iptabes+mod string.

iptables -A FORWARD --in-interface eth3.100 --protocol tcp --dport 80 --match string --algo bm --from 65 --to 500 --string youtube.com --jump ACL_youtube.com
iptables -A ACL_youtube.com --match string --algo bm --from 65 --to 500 --string "GET /watch?v=VzwCV0S6Hk8 HTTP" --jump DROP

Нагрузка правда при 600 правилиах на проц уже порядка 30% при трафике в 300 мбит\с.

Главное использовать алгоритом Бойера-Мура --algo bm. Он самый быстрый.

Но до такого количестав правил список думаю еще не скоро дойдет. Потом видно будет.

Изменено 6 ноября, 2012 пользователем atomlab

[karpa13a]

Такие магистралы быстро растеряют всех более-менее крупных клиентов

 

свежо предание ...

[Wingman]

Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик

Лично мы сразу об отказе задумались бы

[Irsi]

Нагрузка правда при 600 правилиах на проц уже порядка 30% при трафике в 300 мбит\с.

Попробуйте через DPI пропускать только тот трафик, что идет на "подозрительные" IP...

И что за проц у вас стоит-то? Атом чтоль? :)

[S.Sannikov]

Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик

Лично мы сразу об отказе задумались бы

 

Подумали - подумали, и остались на тех же двух(без альтернативы) магистралах:)

[alks]

to korvatsky приношу свои извинения - прости, я был неправ

[alks]

Не вижу связи никакой

1. сорм - есть закон, и банально без него работать не дадут, лицензии отберут, вздыхаем, платим ставим железку, НО как она работает это не НАШЕ дело

в данном случае мы только платим деньги

2. текущий ФЗ немного из другой оперы, опять же это закон и мы обязаны его исполнять но в отличии от сорма нам предлагают исполнять его по типу "пойди туда не знаю куда, принеси то не знаю чего и чтобы завтра все было готово", если в варианте с сормом мы покупаем железку исходя из мощности( 100 лошадиных сил)

То есть во втором вам дали больше свободы в выборе способа реализации, а вы этим еще больше недовольны, чем первым. Поразительно.

 

visir я рад что какая-то светлая голова дала возможность выбора способа блокировки, речь не об этом, речь о том что на оператора вешают несвойственные ему функции и если в случае с сормом

мыши плакали кололись проблема решается покупкой очередного ящика то в данном случае, скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?

даже тот вариант который обсасывал ирси вместе с прохожим по фильтрации исходящего http говно при тех же 30к записей

[yegorov-p]

Кстати, вот интересно, а вышеупомянутый сайт что по мнению Роскомнадзора что содержал - цп, наркоту или суицид?

[Wingman]

Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик

Лично мы сразу об отказе задумались бы

 

Подумали - подумали, и остались на тех же двух(без альтернативы) магистралах:)

Ну если альтернативы нет, то да... Я всё со своей околомкадной колокольни :)

[Irsi]

проблема решается покупкой очередного ящика то в данном случае, скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?

даже тот вариант который обсасывал ирси вместе с прохожим по фильтрации исходящего http говно при тех же 30к записей

Мы имхо тогда же пришли к мнению что проблемы надо решать по мере их поступления, то есть когда будет 30к записей (ну или скажем так - такое кол-во замаячит на горизонте) - тогда и будем решать. Ибо к тому времени много чего измениться может - от появления нового железа до забивания на сей закон.

Хотя первое что приходит в голову - распаралелить обработку на несколько железок...

[IPv1]

как на твой взгляд надо блочить скажем 30к адресов по IP?

По IP - хоть мульён, если PFE (или что там у вашего роутера) может столько маршрутов слопать (а у более-менее современных роутеров - слопает). С отдельного писюка анонсировать бордеру(ам) эти самые IP прямо по /32, с next-hop'ом, указывающим на писюк (тот же или другой), где всё что пытается идти на tcp port 80, будет редиректиться на web-сервер, который будет показывать страничку со словами "Извините, вам сюда нельзя, все вопросы к Госдуме".

 

Гораздо хуже будет когда жалко будет по IP блокировать (википедию, например)...

[alks]

to IPv1 уже писали неоднократно

единственный вариант который я вижу это то что уже предалагали здесь и как делает оверси, а именно, ставить сбоку бордера тазик и анонсить с него по bgp

все 100к записей по /32 и без всяких редиректов, тупо в dev/null.Если статикой не получится прописать 100к маршрутов ну поднимем 10 мелких виртуалок

и будем равномерно распределять маршруты между ними. Помимо этого можно собрать 100 некошерных зарубежных ссылок, отправить в реестр, получить отлуп и накатать письмо в прокуратуру с вопросом "а почему"?

 

единственный момент который надо проверить что будет с тазиком когда в него статикой загрузят хотя бы 30к маршрутов, есть грязное подозрение что "боливар не выдержит двоих"

сегодня кстати попробую протестить этот момент

Изменено 6 ноября, 2012 пользователем alks

[st_re]

ничего, что на тазиках вполне себе фулвью держится? Памяти конечно не 256 метров должно быть.. Это на порядок больше, чем 30к.

[visir]

скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?

Ну и проблемы у Вас. Про RTBH Вам уже написали... Еще добавлю, что в тех же MX-ах можно обычным фильтром проматчить >200k IP без деградации производительности.

И, есть сомнения, что список IP будет большим. Все же основная ставка делается на то, что запрещенный контент будут удалять. А бан по IP - это показательная порка для игнорирующих.

[korvatsky]

На ютьюб пока побоку.Вернемся на нашу грешную землю. Вот есть у нас сейчас в реестре одна конкретная ссылка, которая уже как два с половиной часа не должна ни у кого открываться. Кто каким образом ее выпиливает, дабы при этом не нарушить охраняемые законом права гомосексуалистов на доступ к интересующей их информации? =)

 

Пповерил сейчас через мобильного оператора.

 

 

Открывается!

 

Или это у меня с кэша .....

 

 

 

 

 

 

to korvatsky приношу свои извинения - прости, я был неправ

 

Публичные извинения публично приняты!

 

 

P.S.

 

Как прочитал, посмотрел Ваш профиль (ничего там конкретного не увидел), так и решил, что силовики обиженные прокурорские на меня натравили Вас. Или Роскомнадзор мстит чужими руками за проигрыши в Судах Люберец и Егорьевска. Дважды в Суде Московской области.

 

 

 

 

 

[XaTTa6bl4]

Я выпилил только конкретную ссылку с редиректом на главную страницу того-же сайта :) В целом сайт доступен для "целевой" аудитории.

[alks]

скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?

Ну и проблемы у Вас. Про RTBH Вам уже написали... Еще добавлю, что в тех же MX-ах можно обычным фильтром проматчить >200k IP без деградации производительности.

И, есть сомнения, что список IP будет большим. Все же основная ставка делается на то, что запрещенный контент будут удалять. А бан по IP - это показательная порка для игнорирующих.

 

Про МХ точно? если да это неплохо, мне-то лично в принципе не так критично у меня sce8k есть )))

а про кол-во IP через год посмотрим

 

 

to korvatsky приношу свои извинения - прости, я был неправ

 

Публичные извинения публично приняты!

P.S.

 

Как прочитал, посмотрел Ваш профиль (ничего там конкретного не увидел), так и решил, что силовики обиженные прокурорские на меня натравили Вас. Или Роскомнадзор мстит чужими руками за проигрыши в Судах Люберец и Егорьевска. Дважды в Суде Московской области.

 

Нет, тьфу-тьфу я оператор ))