Alex/AT Опубликовано 21 ноября, 2012 (изменено) · Жалоба Уже разбанили Ну и бардак там :) Теперь на "сбои системы" будут списывать любой свой промах. Надо вводить суровую финансовую ответственность для "оператора реестра" за каждый сбой системы (допустим, $100000 за сбой). Таки он содержится на наши налоги. Изменено 21 ноября, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 21 ноября, 2012 · Жалоба В половине записей этого реестра указанные IP адреса не соответствуют доменам. А Роскомнадзор рекомендует фильтровать по именно по IP. Вообще в итоге хрень получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 21 ноября, 2012 · Жалоба Вообще в итоге хрень получается. А я, извиняюсь, НЕ я, а "ИСТОРИЯ" словами "КЛАССИКА" уже не раз говорили - http://video.mail.ru/mail/zhukova.50/3028/3038.html ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 21 ноября, 2012 · Жалоба В половине записей этого реестра указанные IP адреса не соответствуют доменам. А Роскомнадзор рекомендует фильтровать по именно по IP. Вообще в итоге хрень получается. IP-адреса не соответствуют - потому как владельцы этих ресурсов оперативно меняют IP-адреса/хостинг-площадки. Ну, и про возможность существования более одной А-записи в DNS мужики, видимо, не в курсе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 21 ноября, 2012 · Жалоба На самом деле соответствуют, но строго тому, что видел роскомнадзор в момент внесения в реестр Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 21 ноября, 2012 · Жалоба На самом деле соответствуют, но строго тому, что видел роскомнадзор в момент внесения в реестр При этом от сосача они заблокировали только один IPv4-адрес, хотя CloudFlare отдает несколько. От ютюба аналогично, хотя там вообще пачка. IPv6-адресов в реестре обнаружено не было вообще. Так что видят они, гхм, несколько подслеповато. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 21 ноября, 2012 · Жалоба В половине записей этого реестра указанные IP адреса не соответствуют доменам. А Роскомнадзор рекомендует фильтровать по именно по IP. Вообще в итоге хрень получается. А разве это ваши проблемы? :) Вы чего хотите, резолвить самостоятельно, типа вы умнее и у вас лучше получится? И потом оправдываться в суде за нарушение прав третьих лиц, чей IP вы "самовольно" заблочили? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 21 ноября, 2012 · Жалоба в реестре появилась пара строк с урлами https. Используем DPI для фильтрации урлов. Интересно, теперь еще добавлять отдельные, иные механизмы чтоб блочить по ip/домену? Ведь от урла https совершенно никакой пользы, ибо он не виден, GET идет уже зашифрованный. Или может, опираясь на наличие урла блочить ип, но только с 443 портом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 21 ноября, 2012 · Жалоба IP-адреса не соответствуют - потому как владельцы этих ресурсов оперативно меняют IP-адреса/хостинг-площадки. Ааабалдеть! Какой неожиданный эффект! Какое неожиданное поведение противника! ТАК НЕЧЕСТНО! в реестре появилась пара строк с урлами https. Используем DPI для фильтрации урлов. Интересно, теперь еще добавлять отдельные, иные механизмы чтоб блочить по ip/домену? Ведь от урла https совершенно никакой пользы, ибо он не виден, GET идет уже зашифрованный. Или может, опираясь на наличие урла блочить ип, но только с 443 портом? Вы настройте просто фильтр на https://site.com/kisses.jpg Не нашёлся - это проблема того, кто этот УРЛ внёс в реестр, не ваша. Как только найдётся чудак, который по https покажет искомый УРЛ, вы же сразу же и безоговорочно его задропаете, да? ;-) Не совпадающего УРЛа - нет проблемы! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 21 ноября, 2012 · Жалоба ы настройте просто фильтр на https://site.com/kisses.jpg Не нашёлся - это проблема того, кто этот УРЛ внёс в реестр, не ваша. Как только найдётся чудак, который по https покажет искомый УРЛ, вы же сразу же и безоговорочно его задропаете, да? ;-) Не совпадающего УРЛа - нет проблемы! Дык дядьки "оттуда" не будут проверять мои конфиги и убеждаться, что я его внес, они тыкнут на него в браузере, а он откроется, ибо никакой снифер его не проснифит в SSL-потоке. Остается помимо DPI еще и обычный блеклист на домены и IP ставить, и в таких случаях блочить по ним. Вопрос к max1976, Дятел, alks, с кем обсуждали реализацию блеклиста на SCE через CLI-FTP-CSV. Есть идеи (у меня была:) )? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 21 ноября, 2012 · Жалоба ы настройте просто фильтр на https://site.com/kisses.jpg Не нашёлся - это проблема того, кто этот УРЛ внёс в реестр, не ваша. Как только найдётся чудак, который по https покажет искомый УРЛ, вы же сразу же и безоговорочно его задропаете, да? ;-) Не совпадающего УРЛа - нет проблемы! Дык дядьки "оттуда" не будут проверять мои конфиги и убеждаться, что я его внес, они тыкнут на него в браузере, а он откроется, ибо никакой снифер его не проснифит в SSL-потоке. Остается помимо DPI еще и обычный блеклист на домены и IP ставить, и в таких случаях блочить по ним. Пакетный анализатор в разрыв рабочей станции, - да хоть тот же WireShark. - Есть УРЛ? Нет УРла? Какие вопросы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Soltik Опубликовано 21 ноября, 2012 · Жалоба - Есть УРЛ? Нет УРла? Какие вопросы? Не, они снифер тоже ставить не будут. Они открывают браузер, открывают линк, а потом говорят, что за нафиг!?!? ну! ну! ну! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
с3845 Опубликовано 22 ноября, 2012 · Жалоба А я просто в ДНС блокирую и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 ноября, 2012 · Жалоба А я просто в ДНС блокирую и все. С как там с блокирование резолвинга через 8.8.8.8 ? А с http://www.opendns.com/technology/dnscrypt/ ? Клиенты, у которых master/slave сервера еще не съели? А у которых оно еще и на DNSSEC? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
с3845 Опубликовано 22 ноября, 2012 · Жалоба А я просто в ДНС блокирую и все. С как там с блокирование резолвинга через 8.8.8.8 ? А с http://www.opendns.com/technology/dnscrypt/ ? Клиенты, у которых master/slave сервера еще не съели? А у которых оно еще и на DNSSEC? у меня клиентов немного, я им запретил ходить на чужие dns сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 22 ноября, 2012 · Жалоба я им запретил ходить на чужие dns сервера а потом ругаемся что у нас не демократия а тоталитаризм Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
elcambino Опубликовано 22 ноября, 2012 · Жалоба А я просто в ДНС блокирую и все. С как там с блокирование резолвинга через 8.8.8.8 ? А с http://www.opendns.com/technology/dnscrypt/ ? Клиенты, у которых master/slave сервера еще не съели? А у которых оно еще и на DNSSEC? у меня клиентов немного, я им запретил ходить на чужие dns сервера 3апретите им ходить в чужой интернет, что уж тут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
с3845 Опубликовано 22 ноября, 2012 (изменено) · Жалоба я им запретил ходить на чужие dns сервера а потом ругаемся что у нас не демократия а тоталитаризм им же лучше. это образовательные учреждения, а к ним тоже приходят с проверками да и не против они Изменено 22 ноября, 2012 пользователем с3845 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
izuware Опубликовано 22 ноября, 2012 · Жалоба назревает новый бизинес - распостраниение hosts , можно с разбивкой по тематике ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 22 ноября, 2012 · Жалоба На самом деле соответствуют, но строго тому, что видел роскомнадзор в момент внесения в реестр При этом от сосача они заблокировали только один IPv4-адрес, хотя CloudFlare отдает несколько. От ютюба аналогично, хотя там вообще пачка. IPv6-адресов в реестре обнаружено не было вообще. Так что видят они, гхм, несколько подслеповато. Ну да =) Я не удивлюсь, если там у них эти сорокалетние тетушки-эксперты, когда выпиливают сайт, пингуют его и заносят тот единственный адрес в реестр =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
elcambino Опубликовано 22 ноября, 2012 · Жалоба На самом деле соответствуют, но строго тому, что видел роскомнадзор в момент внесения в реестр При этом от сосача они заблокировали только один IPv4-адрес, хотя CloudFlare отдает несколько. От ютюба аналогично, хотя там вообще пачка. IPv6-адресов в реестре обнаружено не было вообще. Так что видят они, гхм, несколько подслеповато. Ну да =) Я не удивлюсь, если там у них эти сорокалетние тетушки-эксперты, когда выпиливают сайт, пингуют его и заносят тот единственный адрес в реестр =) тетушки ? пингуют ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 ноября, 2012 · Жалоба Фигня вопрос: ДНС на нестандартном порту или туннель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 ноября, 2012 · Жалоба Ну да =) Я не удивлюсь, если там у них эти сорокалетние тетушки-эксперты, когда выпиливают сайт, пингуют его и заносят тот единственный адрес в реестр =) тетушки ? пингуют ? А "у них кнопка есть"! Во! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 22 ноября, 2012 · Жалоба в реестре появилась пара строк с урлами https. Используем DPI для фильтрации урлов. Ну ССЗБ, чего :) Изначально же было ясно, что DPI - не панацея. Блокируйте по DNS, максимально точечный в этом случае вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 ноября, 2012 · Жалоба Блокируйте по DNS, максимально точечный в этом случае вариант. Просвяти, пожалуйста, КАК. С учетом наличия внешних серверов и необходимости сохранить клиентам их master/slave и DNSSEC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...