Serhio Go Опубликовано 28 ноября, 2012 · Жалоба Провел небольшое исследование по эффективности блокировки. В реестре на данный момент 77 позиций, мои аплинки блочат по IP, я также блокирую по IP запускаю бразуер проверяю доступность ресурсов: 41 ссылка доступна, 2 явно заблокированы хостером, 1 хз то-ли домен то-ли еще что (лень смотреть) итого: 53% запрещенного контента доступно при соблюдении правил блокировки Одному мне кажется, что тут в этом никто и не сомневался ;) ? Думаю что с ростом кол-ва заблокированных ресурсов общий процент "мимо кассы" будет только расти ))) Количество - да, процент - вряд ли сильно. А вот потери среди мирного населения попавших под раздачу невиноватых соседей посчитать бы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 28 ноября, 2012 · Жалоба Роскомнадзор признал небезупречность реестра запрещенных сайтов http://lenta.ru/news/2012/11/28/noban/ Как отмечают "Ведомости", 27 ноября при подведении итогов работы реестра представитель российского Google Алла Забровская предложила внести в закон поправку, устраняющую проблему блокировки по IP-адресу. Из-за этого в реестр попадают добропорядочные сайты, отметила она. IP-адреса самого Google уже дважды по ошибке вносили в "черный список". Роскомнадзор пообещал рекомендовать операторам связи воздержаться от блокировки по IP. По состоянию на 27 ноября в реестр запрещенных сайтов было внесено 595 записей, в том числе 77 - с IP-адресами сайтов-нарушителей. Всего же за четыре недели на сайт поступило 17840 жалоб. ---- Щас будет следующее 1. Роскомнадзору надо будет прикрыть свою жопу на предмет воплей блокировки по IP когда туда попадают валидные сайты CDN и прочее 2. Надо спихнуть ответственность на ISP Реализация: Получим очередные письма счастья в которых будет следующее: 1. Роскомнадзор настоятельно рекомендует не использовать блокировку по IP 2. Об исполнении доложить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 ноября, 2012 · Жалоба Zyxel P660, например. Вполне себе открытый DNS-сервер при настройке на работу по IPoA. Это не серьёзно. Опенднс, кисковские днс, днс американских провов, гуголь - у них и канал шире и адрес не меняется и железо вполне. Те они пригодны для постоянного использования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serhio Go Опубликовано 28 ноября, 2012 · Жалоба Думаю что с ростом кол-ва заблокированных ресурсов общий процент "мимо кассы" будет только расти ))) Количество - да, процент - вряд ли сильно. А вот потери среди мирного населения попавших под раздачу невиноватых соседей посчитать бы... Лучше б не считал... Больше 4000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 28 ноября, 2012 · Жалоба А про URL, домен, IP было на онлайн-конференции РКН. Блокировать по тому, по чему можем. Т.е. там предлагается: Резать IP целиком. Резать домен целиком. Резать URL. Вариант "резат конкретный URL на заданном IP" в комментариях РКН не рассматривается. А URL к IP отношения не имеет ведь. Так можно дойти до того, что любой хост может быть отдатчиком этого URL'а. Любой же может прописать в hosts, некое 192.0.43.10 foo.example.org. Да и в DNS всякий load-balancing случается. В общем, такими умозаключениями получится, что надо весь HTTP-трафик фильтровать на любые порты, которые встречаются в реестре (пока, к счастью, только 80). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 28 ноября, 2012 · Жалоба А URL к IP отношения не имеет ведь. Так можно дойти до того, что любой хост может быть отдатчиком этого URL'а. Любой же может прописать в hosts, некое 192.0.43.10 foo.example.org. Да и в DNS всякий load-balancing случается. В общем, такими умозаключениями получится, что надо весь HTTP-трафик фильтровать на любые порты, которые встречаются в реестре (пока, к счастью, только 80). С учетом ротации адреесов и распределения нагрузки таки да, URL к IP частенько отношения мало имеет. И таки да, фильтровать надо ВЕСЬ HTTP-трафик. Если реализуете URL-фильтрацию и не хотите под раздачу проверяющих попасть, то делать надо именно так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 28 ноября, 2012 · Жалоба Думаю что с ростом кол-ва заблокированных ресурсов общий процент "мимо кассы" будет только расти ))) Количество - да, процент - вряд ли сильно. А вот потери среди мирного населения попавших под раздачу невиноватых соседей посчитать бы... Лучше б не считал... Больше 4000. Я туда еще дописывал получалку pr/тиц, для пущего трагизму =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 28 ноября, 2012 · Жалоба Парни, а никто не думал продавать услугу "мимо кассы"? openVpn в {your_hosting_in_USA} локальные маршруты в тунель на зафильтрованные адреса. Обновлять список маршрутов я сложностей не вижу. Я не вижу технических проблем, и думаю такие услуги появятся очень скоро если список будет рости. Запихнуть это все в софтинку под винду - не знаю насколько сложно, но для *nix не вижу вообще никакой сложности. DNS весь гонять через тунель, вероятно. PS Мне оно не нужно, т.к. на Украине пока что такого нет, но это можно реализовывать даже на уровне прошивок роутеров? Тогда еще проще - можно даже не весь ДНС траффик гонять в тунель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 28 ноября, 2012 · Жалоба Парни, а никто не думал продавать услугу "мимо кассы"? Вы@бут, потом перекурят и повторят НО, возникла мысль что можно попытаться продавать некий qos в трубе клиента для vpn, а куда уж он там ломится его личное дело Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 28 ноября, 2012 · Жалоба Парни, а никто не думал продавать услугу "мимо кассы"? Тут не услуга нужна (тем более мимо кассы, это ж вообще АТАТАТ будет), а открытое биллинговое API (как у вконтакта того же, где сторонние приложения могут устраивать подписки-платежи за внутренние тугрики) и подключившаяся компания-«партнер» из цивилизованного мира. Но все равно отсодомируют, наверное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
retimer Опубликовано 28 ноября, 2012 (изменено) · Жалоба Парни, а никто не думал продавать услугу "мимо кассы"? Я думал, но не о продаже. Уверен, что такие сервисы уже готовятся на европейских и юсовских ресурсах. И при грамотной раскрутке они и денег срубят, и рекламу запрещенным сайтам сделают... Изменено 28 ноября, 2012 пользователем retimer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 28 ноября, 2012 · Жалоба и денег срубят, и рекламу запрещенным сайтам сделают... ... и информацией о пассажирах поделятся) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 ноября, 2012 · Жалоба Всяких впн платных и до этого хватало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 28 ноября, 2012 (изменено) · Жалоба Всяких впн платных и до этого хватало. Это да, но я так понял, фича тут в том, что провайдер тут проводит акцию, «купи VPN (услугой прямо через родной биллинг) и ходи без проблем на географически недоступные ресурсы типа Луркмора, Либрусека и Гугла Хулы с Пандорой», т.е. иметь с продаж VPNов. Изменено 28 ноября, 2012 пользователем drdaeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 28 ноября, 2012 · Жалоба На счет VPN и особенно SSL изучайте - http://www.manavski.com/downloads/PID505889.pdf Пригодится когда их фильтровать заставят. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 28 ноября, 2012 (изменено) · Жалоба На счет VPN и особенно SSL изучайте - http://www.manavski.com/downloads/PID505889.pdf Пригодится когда их фильтровать заставят. :) 1/10. Там блоуфиш обычно, ибо OpenVPN (где по дефолту он) самое популярное решение. Да и чем такие-то видеокарты закупать, явно дешевле будет у китайцев закупить вагон ASIC'ов, заточенных под AES. IPsec'овые VPN'ы, где чаще AES (хотя может быть и BF), в основном корпоративные, интересу не представляют. А PPTP с MS-CHAPv2+MPPE опосля последнего CCC за шифрование можно не считать. Изменено 28 ноября, 2012 пользователем drdaeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 28 ноября, 2012 · Жалоба drdaeman, вопрос в основном в ssl как сам понимаешь. Да и согласен - это только разве что для мелочи, у которой и бордер слеплена на коленке, из писюка с линаксом. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drdaeman Опубликовано 28 ноября, 2012 · Жалоба drdaeman, вопрос в основном в ssl как сам понимаешь. Там самое дорогое — хендшейк, вариант Диффи-Хельмана и RSA. AES на фоне этого — чепушинка, разбираться с ним — premature optimization. Да и согласен - это только разве что для мелочи, у которой и бордер слеплена на коленке, из писюка с линаксом. :) Ну, эту шушеру уже быстро сейчас позакрывают. Придет проверка, как написано — потребуют показать пограничный маршрутизатор. Маршрутизатор, а не всякую пионерию непонятную. Не смогут показать — вот лицензию на стол и пинок под задницу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 28 ноября, 2012 · Жалоба Придет проверка, как написано — потребуют показать пограничный маршрутизатор. Маршрутизатор, а не всякую пионерию непонятную. По фотографии будут сличать, али как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
elcambino Опубликовано 29 ноября, 2012 · Жалоба Придет проверка, как написано — потребуют показать пограничный маршрутизатор. Маршрутизатор, а не всякую пионерию непонятную. По фотографии будут сличать, али как? На устройстве должна быть наклейка "ПОГРАНИЧНЫЙ МАРШРУТИЗАТОР" можно рядом поставить маленькую коробочку и на ней писать "СТОРОЖЕВОЙ ПЕС МУХТАР", чтобы поддерживать градус неадеквата Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 29 ноября, 2012 · Жалоба А открытых DNS - пруд пруди... Не так уж много, я порядка 50 нашёл, когда озадачился, за год или два список уменьшился почти в два раза. Легко можно свой DNS сервер поставить. У меня стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
retimer Опубликовано 29 ноября, 2012 · Жалоба Ребят, а у многих вообще есть пограничные маршрутизаторы? Сей девайс, имхо, и не нужен абсолютному большинству маленьких провов (<10 килоабонентов). А про фразу "ограничить доступ путем блокировки IP-адреса ресурса на пограничном маршрутизаторе" я спрашивал в прокуратуре. Мне ответили так: "Ну, вы ж понимаете, что у нас нет технических специалистов, вот и пишем всегда одинаково". Занавес! PS. А может этот закон пролоббирован тандемом Cisco-Juniper для увеличения продаж дорогих маршрутизаторов в РФ? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 29 ноября, 2012 · Жалоба Ребят, а у многих вообще есть пограничные маршрутизаторы? Пограничный маршрутизатор. Граница (между двумя сетями) есть? Есть. Маршрутизатор? Да. Что все так возбудились из-за этого словосочетания, совершенно не пойму. Или сомнения что "тазик" прокатит как маршрутизатор? "Используемый в сети маршрутизатор представляет собой программно-аппаратный комплекс на базе ПЭВМ с операционной системой GNU/Linux". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 29 ноября, 2012 · Жалоба Или сомнения что "тазик" прокатит как маршрутизатор? "Используемый в сети маршрутизатор представляет собой программно-аппаратный комплекс на базе ПЭВМ с операционной системой GNU/Linux". Мне казалось, что сертифицирование оборудования связи еще не отменили? В проекте сети так и написано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 29 ноября, 2012 · Жалоба Блин, а я могу карманизатор трафика назначить пограничным маршрутизатором? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...