[Suic]

Ссылка пытаюсь на перле сделать, нужна помощь)

Изменено 27 ноября, 2012 пользователем Suic

[Andrei]

Необходимо произвести правки в некоторых строках get.php

   $writable_dir = '/tmp'; // директория доступная для записи
   $openssl = "/opt/openssl-1.0.0e/bin/openssl"; // команда вызова openssl

   // данные оператора:
   // наименование в кодировке cp1251
   $operator   = iconv ('utf-8', 'cp1251', 'ООО "Какойтотелеком"');
   $inn        = 0000000000;           // ИНН
   $ogrn       = 0000000000000;        // ОГРН
   $mail       = 'some@mail.org';      // e-mail

Существует ли директория $writable_dir? Доступна ли она для записи?

Проверьте путь к openssl. Ваш openssl поддерживает pkcs11-gost?

Пытались ли Вы получить РЗС вручную? Как Вы это делали?

Правки разумеется внесены.

Директория указана текущая, права на запись есть (подтверждается тем, что файл request.sign по результатам скрипта туда записывается).

Путь к openssl прописан верно. pkcs12-gost поддерживается.

РЗС вручную получаю, загрузив через форму на вэб-сайте файлы request.xml и request.sign, сформированные скриптом. Только попробовал - все ОК.

 

Ну и в результате работы скрипта имеем ошибку в т.ч. и в /var/log/rzs.log:

27.11.2012 13:38:00rzs ОШИБКА: не удалось произвести запрос на получение РЗС
SOAP-ERROR: Parsing WSDL: Couldn't load from 'http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl' : failed to load external entity "http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl"

Такая ошибка возникает когда нет связи с веб-сервисом РЗС, или он отключен/перегружен.

Сервер www.zapret-info.gov.ru не пингуется, но он никогда и не пинговался.

[Иванов Денис]

Andrei, получается ли вручную получить описание сервиса?

 

wget http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl -O rzs.wsdl

[Serhio Go]

А тем временем РКН принимает поздравления и подарки замечания и предложения, аж 2 недели. Время пошлО.

[Иванов Денис]

Andrei, завтра загружу архив прикреплённый к моему выше опубликованному сообщению и попробовать запустить сценарий. Возможно я где-то допустил ошибку, когда собирал архив. ;)

[Andrei]

Andrei, получается ли вручную получить описание сервиса?

 

wget http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl -O rzs.wsdl

 

wget http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl -O rzs.wsdl
--2012-11-27 22:37:15--  http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl
Resolving www.zapret-info.gov.ru... 46.61.208.33
Connecting to www.zapret-info.gov.ru|46.61.208.33|:80... failed: Connection refused.

а с соседнего сервера:

sh-2.05b# wget http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl -O rzs.wsdl
--22:41:06--  http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl
          => `rzs.wsdl'
Преобразование адреса www.zapret-info.gov.ru... 46.61.208.33
Установка соединения с www.zapret-info.gov.ru[46.61.208.33]:80... соединились.
Запрос HTTP послан, ожидание ответа... 200 OK
Длина: 5,349 [text/xml]

100%[========================================================>] 5,349         --.--K/s

22:41:06 (1007.06 KB/s) - `rzs.wsdl' сохранен [5349/5349]

 

а еще с одного

 

wget http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl -O rzs.wsdl
--2012-11-27 22:42:39--  http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl
Распознаётся www.zapret-info.gov.ru... сбой: Имя или служба не известны.
wget: unable to resolve host address «www.zapret-info.gov.ru»

несмотря на
ping www.zapret-info.gov.ru
PING www.zapret-info.gov.ru (46.61.208.33) 56(84) bytes of data.
^C

[bl-antidot]

А тем временем РКН принимает поздравления и подарки замечания и предложения, аж 2 недели. Время пошлО.

«Ведомству крайне важно получить одобрение отрасли и определить оптимальные процедуры правоприменения закона, не ущемляющие права профессиональных участников, - отметил в связи с введением этого регламента Александр Жаров. Кроме того, по его мнению, одной из важнейших задач деятельности Роскомнадзора в этой сфере остается сведение к минимуму возможностей попадания под блокировку операторами связи благонадежных и добропорядочных ресурсов.

а тем временем внесены в реестр по ip забанен западный сервис по сканированию книг - а вместе с ним еще 37 сайтов на том же ip

Из прецедентов - в реестр внесена он-лайн библиотека http://coollib.net/ за конкретную страницу... вот только книга, за которую библиотека попала под пресс, недоступна для свободного скачивания, на странице значится

Что-то не русское. Только для избранных.

(по аналогии с Либрусек можно предполагать что книга доступна лишь платным или прокаченным аккаунтам)

Подробней http://rublacklist.net/3507

[drdaeman]

58. При проведении мероприятий по контролю также устанавливается наличие установленных оператором связи фильтров на пограничном маршрутизаторе и правил фильтрации IP-адреса с целью блокирования сетевого адреса (сетевых адресов), включенных в Реестр.

Так, признавайтесь, кто этим наркоманам рассказал про пограничные маршрутизаторы да правила на них, и недорассказывал?

 

Выучили фразу и аки попугай в каждый чих о блокировке ее лепят на наши головы, вместо того, чтобы нормальный критерий сформулировать.

А если у людей BGP али OSPF'ом каким завернут трафик?

Изменено 27 ноября, 2012 пользователем drdaeman

[kapa]

58. При проведении мероприятий по контролю также устанавливается наличие установленных оператором связи фильтров на пограничном маршрутизаторе и правил фильтрации IP-адреса с целью блокирования сетевого адреса (сетевых адресов), включенных в Реестр.

при этом пункт 57:

57. В ходе проведения мероприятий по контролю территориальными органами Роскомнадзора выявляется наличие у операторов связи программно-аппаратного оборудования, необходимого для ограничения и возобновления доступа к запрещенной информации.

т.е. по результатам прочтения обоих пунктов они будут проверять наличие пограничных маршрутизаторов? :)

[Sonne]

Что узлы ни разу не сдавали с пустыми корпусами?

[tartila]

Ребят, извините, не сдержался... Чуток развейтесь. :)

 

 

Еще одна эпика тут http://img.leprosorium.com/1628825

 

Взято с упячки...

Изменено 27 ноября, 2012 пользователем tartila

[Andrei]

Andrei, получается ли вручную получить описание сервиса?

 

wget http://www.zapret-info.gov.ru/services/OperatorRequest/?wsdl -O rzs.wsdl

Все, разобрался. Дело было в sharewall-е, который не выпускал такие запросы наружу. Скрипт отработал.

Осталась только непонятка с файлом rzs.sql - зачем там

INSERT INTO `sites` VALUES и т.д.

?

[snvoronkov]

А тем временем РКН принимает поздравления и подарки замечания и предложения, аж 2 недели. Время пошлО.

 

Прикольно.

 

Теперь всех провайдеров обязали:

1. Иметь бордер
   
2. Иметь на нем фильтр по IP
   

 

Остается загадкой, нафига при этом URL и домен вообще в реестре значатся...

[Pilorama]

Остается загадкой, нафига при этом URL и домен вообще в реестре значатся...

Аминь.

Роутер заворачивает траф на IP из реестра на фильтр, который уже проверяет конкретные URL. Именно URL... И схема работает, недоступны именно конкретные странички, а не весь сайт. Вот только одно маааленькое НО: 2/3 ресурсов, числящихся в реестре, IP уже давно сменили и прекрасно доступны, ибо роутер такой траф на фильтр не завернёт. (=

А теперь представим гипотетическую инспекцию из надзора. Да хрен им докажешь, что блочишь всё по их реестру. Как же? Вот, страничка открывается! Всё, в этот момент Презумпция невиновности будет резко отменена и оператору придётся доказывать, что он не верблюд и в точности выполняет указания из реестра.

Отсюда вопрос: а кто, по мнению унылнадзора, обязан мониторить актуальность данных реестра? Операторы? Глупости. Но сам унылнадзор этим заниматься явно не намерен.

[snvoronkov]

Роутер заворачивает траф на IP из реестра на фильтр, который уже проверяет конкретные URL. Именно URL... И схема работает, недоступны именно конкретные странички, а не весь сайт. Вот только одно маааленькое НО: 2/3 ресурсов, числящихся в реестре, IP уже давно сменили и прекрасно доступны, ибо роутер такой траф на фильтр не завернёт. (=

А теперь представим гипотетическую инспекцию из надзора. Да хрен им докажешь, что блочишь всё по их реестру. Как же? Вот, страничка открывается! Всё, в этот момент Презумпция невиновности будет резко отменена и оператору придётся доказывать, что он не верблюд и в точности выполняет указания из реестра.

Отсюда вопрос: а кто, по мнению унылнадзора, обязан мониторить актуальность данных реестра? Операторы? Глупости. Но сам унылнадзор этим заниматься явно не намерен.

 

Не-не-не!

 

58-й пункт. Четко и ясно:

и правил фильтрации IP-адреса с целью блокирования сетевого адреса (сетевых адресов), включенных в Реестр.

 

А про URL, домен, IP было на онлайн-конференции РКН. Блокировать по тому, по чему можем.

 

Т.е. там предлагается:

• Резать IP целиком.
  
• Резать домен целиком.
  
• Резать URL.
  

 

Вариант "резат конкретный URL на заданном IP" в комментариях РКН не рассматривается.

[Pilorama]

Т.е. там предлагается:

 

Резать IP целиком.

Резать домен целиком.

Резать URL.

 

 

 

Вариант "резат конкретный URL на заданном IP" в комментариях РКН не рассматривается.

Ну, меня там не было. (-:

Хорошо, даже если резать целиком по IP, соего вопроса об актуальности данных в реестре это не отменяет.

[snvoronkov]

Ну, меня там не было. (-:

 

http://www.rsoc.ru/press/conference/conf8.htm

[Pilorama]

Да, почитал.

И тем не менее. Актуальность реестра никто не бдит => фильтры не срабатывают. Кто виноват?

[sanyasi]

 

Вариант "резат конкретный URL на заданном IP" в комментариях РКН не рассматривается.

 

Как вариант раз в час смотреть адреса доменов, и использовать для отвода трафика текущие данные днс.

 

dig $domen @8.8.8.8 A +short | while read addr; do

ipset -q -A rzh $addr

done

[Andrei]

58-й пункт...

А 5й пункт никого не удивил?

5. Реестр состоит из реестровых записей, формируемых последовательно по мере прохождения процедур, предусматривающих взаимодействие Роскомнадзора с провайдерами хостинга, операторами связи, а также уполномоченными федеральными органами исполнительной власти (далее – уполномоченные органы; ФСКН России, Роспотребнадзор, Роскомнадзор), и содержащих:

...

д) сведения о провайдере хостинга – в соответствии с требованиями законодательства в области персональных данных, содержащие его фамилию, имя и (при его наличии) отчество или наименование, контактную информацию, в том числе адрес электронной почты;

Т.е. пока этих сведений нет, то и в реестр запись не вносится? Как они будут от хостеров эту инфу получать, особенно из-за бугра?

 

Сами решения не публикуются ("К решению прилагается описание запрещенной информации в соответствии с пунктами 21, 21.1, 21.1.1-21.1.5 Регламента.")?

 

80. Решения Роскомнадзора о признании информации, распространяемой посредством сети «Интернет», запрещенной информацией, могут быть обжалованы в судебном порядке, определенном Гражданским процессуальным кодексом Российской Федерации и Арбитражным процессуальным кодексом Российской Федерации.

81. В случае принятия Роскомнадзором решения о включении соответствующих доменного имени, указателя страницы сайта в сети «Интернет» и сетевого адреса (сетевых адресов) в Реестр, оспаривание данного решения в судебном порядке не освобождает провайдера хостинга, владельца сайта и (или) оператору связи от обязанности принять меры, предусмотренные законодательством Российской Федерации, для удаления запрещённой информации и (или) ограничения доступа к сайту в сети «Интернет», содержащему запрещённую информацию, до вступления решения суда в законную силу.

Отмываться предлагается самостоятельно в неопределенные сроки.

 

32. Ответственность за работу сервисов системы взаимодействия и ЕИС Роскомнадзора при формировании и ведении реестровых записей несет Управление по надзору в сфере информационных технологий.

А какую ответственность?

 

 

 

Вариант "резат конкретный URL на заданном IP" в комментариях РКН не рассматривается.

 

Как вариант раз в час смотреть адреса доменов, и использовать для отвода трафика текущие данные днс.

 

dig $domen @8.8.8.8 A +short | while read addr; do

ipset -q -A rzh $addr

done

...и получить по башке за "творческое додумывание" реестра?

[snvoronkov]

 

Вариант "резат конкретный URL на заданном IP" в комментариях РКН не рассматривается.

 

Как вариант раз в час смотреть адреса доменов, и использовать для отвода трафика текущие данные днс.

 

dig $domen @8.8.8.8 A +short | while read addr; do

ipset -q -A rzh $addr

done

 

Тут есть очень много толстостей.

• РКН принципиально определил блокировку как "или", а не "и", поэтому, если надо блочить URL, то только просматривая ВЕСЬ HTTP траффик на DPI/Proxy/Firewall. Возможно, еще и не один порт, если в реестре появятся записи вида site:port/...
  
• Разные DNS-сервера могут выдавать разные IP для сайта. А открытых DNS - пруд пруди...
  
• Закон лучше соблюдать буквально - что написано в реестре, то и блокируем. Если блокируете по URL, то блокируйте именно по нему, просматривая весь траффик. А то проверяющий, услышав от Вас о реализации и успешно открыв страничку с использованием резолвинга из hosts, будет несказанно рад.
  

 

А 5й пункт никого не удивил?

 

Это, вроде, про их внутреннее представление. Там много еще чего, включая "ноториально заверенные скриншоты". ;-)

Изменено 28 ноября, 2012 пользователем snvoronkov

[Иванов Денис]

Все, разобрался. Дело было в sharewall-е, который не выпускал такие запросы наружу. Скрипт отработал.

Осталась только непонятка с файлом rzs.sql - зачем там

INSERT INTO `sites` VALUES и т.д.

?

Рад, что разобрались. :)

rzs.sql - это самый обычный дамп заполненной БД (т.е. сценарий уже с ней работал), который был сформирован следующим образом

mysqldump rzs > rzs.sql

[Ivan_83]

А открытых DNS - пруд пруди...

Не так уж много, я порядка 50 нашёл, когда озадачился, за год или два список уменьшился почти в два раза.

[snvoronkov]

А открытых DNS - пруд пруди...

Не так уж много, я порядка 50 нашёл, когда озадачился, за год или два список уменьшился почти в два раза.

 

Zyxel P660, например. Вполне себе открытый DNS-сервер при настройке на работу по IPoA.

[alks]

Провел небольшое исследование по эффективности блокировки.

 

В реестре на данный момент 77 позиций, мои аплинки блочат по IP, я также блокирую по IP

запускаю бразуер проверяю доступность ресурсов: 41 ссылка доступна, 2 явно заблокированы хостером, 1 хз то-ли домен то-ли еще что (лень смотреть)

итого: 53% запрещенного контента доступно при соблюдении правил блокировки

 

Думаю что с ростом кол-ва заблокированных ресурсов общий процент "мимо кассы" будет только расти )))