Alex/AT Опубликовано 6 ноября, 2012 (изменено) · Жалоба Вообще если уж на то пошло - то лично я бы не рубил "сторонние" DNS-запросы, а заворачивал их на свои серверы. Так практичнее - меньше проблем с юзерами. Изменено 6 ноября, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 ноября, 2012 · Жалоба ' timestamp='1352165262' post=770622]Рубим DNS-запросы от юзеров, пусть юзают наш DNS. На нём заворачиваем некошерные URL на нужный нам хост. Profit! И тем самым нарушаемс... Вообще если уж на то пошло - то лично я бы не рубил "сторонние" DNS-запросы, а заворачивал их на свои серверы. Так практичнее - меньше проблем с юзерами. А как быть тем, кто в днс не только кверит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 6 ноября, 2012 (изменено) · Жалоба Мое мнение о DPI и торрентах: Шейпинг на DPI это одно, а дроп – качественно другое. Если зашейпит что-то лишнее - не страшно и даже не очень заметно. Но если заменить шейпинг "дропом", то все ошибки DPI всплывут как г…но. К тому же все тут же перейдут на шифрование и какое-нибудь uTPv2. И будет DPI статистически рубить что ни попадя. Или напишут какую-нибудь штуку вроде share.exe - голова соображает у наших не хуже японцев. И я не понимаю все же про список. Если включат что-то с ютуба, то они какой IP в реестр занесут? Там же принципиально нет сетевого адреса, однозначно идентифицирующего запрещенный контент. Преобразование URL -> сетевой адрес зависит от географии, от того какие аплинки и от того что там в БД у гугла в системе балансирования и оптимизации сервиса. Изменено 6 ноября, 2012 пользователем Tosha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 6 ноября, 2012 · Жалоба Внесут либо страницу ютуба, либо страницу, где ролик заэмбежен... Главное, не говорите им никто про хттпс -) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 6 ноября, 2012 · Жалоба то они какой IP в реестр занесут? это проблема вносящих. ипе из списка заблокирован? заблокирован. контент доступен? а нам то какая до этого печаль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[S] Опубликовано 6 ноября, 2012 · Жалоба Наверное youtube по доменному имени будет правильнее ибо там ж не один IP. И тем самым нарушаемс... А что мы нарушаем? Можно не рубить и отрезать только на своём DNS. В любом случае, если захотят докопаться, то есть способы. По IP блокировка не панацея, завтра IPv6 и ищи ветра в поле. Ну и 123.mp3 офигенный файл... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S.Sannikov Опубликовано 6 ноября, 2012 · Жалоба Ха. Собственно как я и предполагал. Какой-то вышестоящий провайдер заблокировал ресурс из реестра по IP. И, соответственно, какой бы у нас DPI ни стоял, пофиг. P.S. Похоже магистралы собрались себе абонбазу отжать! Глядите, а у нас эти сайты все работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 6 ноября, 2012 · Жалоба Такие магистралы быстро растеряют всех более-менее крупных клиентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
atomlab Опубликовано 6 ноября, 2012 (изменено) · Жалоба Блокировка по ДНС довольно грубый же способ. Главная фича, это возможность блочить конкретные url. Мы пока используем дешовую реализацию DPI. iptabes+mod string. iptables -A FORWARD --in-interface eth3.100 --protocol tcp --dport 80 --match string --algo bm --from 65 --to 500 --string youtube.com --jump ACL_youtube.com iptables -A ACL_youtube.com --match string --algo bm --from 65 --to 500 --string "GET /watch?v=VzwCV0S6Hk8 HTTP" --jump DROP Нагрузка правда при 600 правилиах на проц уже порядка 30% при трафике в 300 мбит\с. Главное использовать алгоритом Бойера-Мура --algo bm. Он самый быстрый. Но до такого количестав правил список думаю еще не скоро дойдет. Потом видно будет. Изменено 6 ноября, 2012 пользователем atomlab Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 6 ноября, 2012 · Жалоба Такие магистралы быстро растеряют всех более-менее крупных клиентов свежо предание ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 6 ноября, 2012 · Жалоба Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик Лично мы сразу об отказе задумались бы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 6 ноября, 2012 · Жалоба Нагрузка правда при 600 правилиах на проц уже порядка 30% при трафике в 300 мбит\с. Попробуйте через DPI пропускать только тот трафик, что идет на "подозрительные" IP... И что за проц у вас стоит-то? Атом чтоль? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
S.Sannikov Опубликовано 6 ноября, 2012 · Жалоба Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик Лично мы сразу об отказе задумались бы Подумали - подумали, и остались на тех же двух(без альтернативы) магистралах:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 6 ноября, 2012 · Жалоба to korvatsky приношу свои извинения - прости, я был неправ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 6 ноября, 2012 · Жалоба Не вижу связи никакой 1. сорм - есть закон, и банально без него работать не дадут, лицензии отберут, вздыхаем, платим ставим железку, НО как она работает это не НАШЕ дело в данном случае мы только платим деньги 2. текущий ФЗ немного из другой оперы, опять же это закон и мы обязаны его исполнять но в отличии от сорма нам предлагают исполнять его по типу "пойди туда не знаю куда, принеси то не знаю чего и чтобы завтра все было готово", если в варианте с сормом мы покупаем железку исходя из мощности( 100 лошадиных сил) То есть во втором вам дали больше свободы в выборе способа реализации, а вы этим еще больше недовольны, чем первым. Поразительно. visir я рад что какая-то светлая голова дала возможность выбора способа блокировки, речь не об этом, речь о том что на оператора вешают несвойственные ему функции и если в случае с сормом мыши плакали кололись проблема решается покупкой очередного ящика то в данном случае, скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP? даже тот вариант который обсасывал ирси вместе с прохожим по фильтрации исходящего http говно при тех же 30к записей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 6 ноября, 2012 · Жалоба Кстати, вот интересно, а вышеупомянутый сайт что по мнению Роскомнадзора что содержал - цп, наркоту или суицид? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 6 ноября, 2012 · Жалоба Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик Лично мы сразу об отказе задумались бы Подумали - подумали, и остались на тех же двух(без альтернативы) магистралах:) Ну если альтернативы нет, то да... Я всё со своей околомкадной колокольни :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 6 ноября, 2012 · Жалоба проблема решается покупкой очередного ящика то в данном случае, скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?даже тот вариант который обсасывал ирси вместе с прохожим по фильтрации исходящего http говно при тех же 30к записей Мы имхо тогда же пришли к мнению что проблемы надо решать по мере их поступления, то есть когда будет 30к записей (ну или скажем так - такое кол-во замаячит на горизонте) - тогда и будем решать. Ибо к тому времени много чего измениться может - от появления нового железа до забивания на сей закон. Хотя первое что приходит в голову - распаралелить обработку на несколько железок... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IPv1 Опубликовано 6 ноября, 2012 · Жалоба как на твой взгляд надо блочить скажем 30к адресов по IP? По IP - хоть мульён, если PFE (или что там у вашего роутера) может столько маршрутов слопать (а у более-менее современных роутеров - слопает). С отдельного писюка анонсировать бордеру(ам) эти самые IP прямо по /32, с next-hop'ом, указывающим на писюк (тот же или другой), где всё что пытается идти на tcp port 80, будет редиректиться на web-сервер, который будет показывать страничку со словами "Извините, вам сюда нельзя, все вопросы к Госдуме". Гораздо хуже будет когда жалко будет по IP блокировать (википедию, например)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 6 ноября, 2012 (изменено) · Жалоба to IPv1 уже писали неоднократно единственный вариант который я вижу это то что уже предалагали здесь и как делает оверси, а именно, ставить сбоку бордера тазик и анонсить с него по bgpвсе 100к записей по /32 и без всяких редиректов, тупо в dev/null.Если статикой не получится прописать 100к маршрутов ну поднимем 10 мелких виртуалок и будем равномерно распределять маршруты между ними. Помимо этого можно собрать 100 некошерных зарубежных ссылок, отправить в реестр, получить отлуп и накатать письмо в прокуратуру с вопросом "а почему"? единственный момент который надо проверить что будет с тазиком когда в него статикой загрузят хотя бы 30к маршрутов, есть грязное подозрение что "боливар не выдержит двоих" сегодня кстати попробую протестить этот момент Изменено 6 ноября, 2012 пользователем alks Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 ноября, 2012 · Жалоба ничего, что на тазиках вполне себе фулвью держится? Памяти конечно не 256 метров должно быть.. Это на порядок больше, чем 30к. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 6 ноября, 2012 · Жалоба скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP? Ну и проблемы у Вас. Про RTBH Вам уже написали... Еще добавлю, что в тех же MX-ах можно обычным фильтром проматчить >200k IP без деградации производительности. И, есть сомнения, что список IP будет большим. Все же основная ставка делается на то, что запрещенный контент будут удалять. А бан по IP - это показательная порка для игнорирующих. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korvatsky Опубликовано 6 ноября, 2012 · Жалоба На ютьюб пока побоку.Вернемся на нашу грешную землю. Вот есть у нас сейчас в реестре одна конкретная ссылка, которая уже как два с половиной часа не должна ни у кого открываться. Кто каким образом ее выпиливает, дабы при этом не нарушить охраняемые законом права гомосексуалистов на доступ к интересующей их информации? =) Пповерил сейчас через мобильного оператора. Открывается! Или это у меня с кэша ..... to korvatsky приношу свои извинения - прости, я был неправ Публичные извинения публично приняты! P.S. Как прочитал, посмотрел Ваш профиль (ничего там конкретного не увидел), так и решил, что силовики обиженные прокурорские на меня натравили Вас. Или Роскомнадзор мстит чужими руками за проигрыши в Судах Люберец и Егорьевска. Дважды в Суде Московской области. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XaTTa6bl4 Опубликовано 6 ноября, 2012 · Жалоба Я выпилил только конкретную ссылку с редиректом на главную страницу того-же сайта :) В целом сайт доступен для "целевой" аудитории. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 6 ноября, 2012 · Жалоба скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP? Ну и проблемы у Вас. Про RTBH Вам уже написали... Еще добавлю, что в тех же MX-ах можно обычным фильтром проматчить >200k IP без деградации производительности. И, есть сомнения, что список IP будет большим. Все же основная ставка делается на то, что запрещенный контент будут удалять. А бан по IP - это показательная порка для игнорирующих. Про МХ точно? если да это неплохо, мне-то лично в принципе не так критично у меня sce8k есть ))) а про кол-во IP через год посмотрим to korvatsky приношу свои извинения - прости, я был неправ Публичные извинения публично приняты! P.S. Как прочитал, посмотрел Ваш профиль (ничего там конкретного не увидел), так и решил, что силовики обиженные прокурорские на меня натравили Вас. Или Роскомнадзор мстит чужими руками за проигрыши в Судах Люберец и Егорьевска. Дважды в Суде Московской области. Нет, тьфу-тьфу я оператор )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...