[Butch3r]

Из той же серии:

из прокуратуры пришло судебное предписание заблокировать список сайтов продающих алкоголь, список из 104 адресов. При этом заблокировать указали только по IP. В итоге уже пострадали 3 сайта законопослушных: сайт по разведению собак, строительные материалы и какой-то еще. При этом половина алко-сайтов не то, что не в нашей области, а совсем даже на другой половине России)

а вот это мне досихпор не ясно - почему они их в реестр не подают?

[saaremaa]

они их в реестр не подают?

а может у родственников главы этой конторы свой алкогольный бизнес - устраняет конкурентов или просто "кошмарят бизнес" власть и бизнес - они очень близко идут.

 

я бы попросил помощь зала местный Роскомнадзор разъяснить данный момент.

[MATPOC]

http://gazeta.ru/ блокируется Ростелекомом. Причём, Ростелеком посредине стоит, даже после того, как я трафик через ТТК направил. В реестре нет ни домена, ни IP gazeta.ru

Изменено 26 июня, 2014 пользователем MATPOC

[Bushi]

У меня такая заглушка:

http://95.167.13.50/?st=&dt=85.202.241.11&rs=gazeta.ru/

 

причем в реестре их нет. Самоуправство РТ? И непонятно за что, ресурс достаточно лояльный.

 

По IP открывается.

http://85.202.241.11/social/2014/06/26/6087269.shtml

[Tem]

У меня такая заглушка:

http://95.167.13.50/?st=&dt=85.202.241.11&rs=gazeta.ru/

 

Тоже самое аплинк ТТК

[Syzygy]

Максим Ксензов ‏@mksenzov 15 мин.

По нашей оценке сайт взломан

 

Бгг :)

[Butch3r]

У меня такая заглушка:

http://95.167.13.50/?st=&dt=85.202.241.11&rs=gazeta.ru/

 

Тоже самое аплинк ТТК

Так судя по всему у газеты ру провайдер такой, что у него 1 аплинк - ростелек. По sh ip bgp через все аплинки роут идёт через ас12389. И она и блочит судя по всему

[Tem]

Уже все норма

[Bushi]

Похоже сами себя заблокировали, так как сайт выдавал редирект на http://95.167.13.50, и при этом по IP открывался

[onlime_user]

Как сразу Кзендзов закукарекал, что он не при делах, а когда по IP рубили и более посещаемые сайты, от него не слова.

[NN----NN]

«Предварительная версия: у части провайдеров домен gazeta.ru ошибочно попал в блок-лист. Причина выясняется», — пояснил технический директор Алексей Карпов.

http://www.gazeta.ru/business/news/2014/06/26/n_6261141.shtml

[onlime_user]

http://izvestia.ru/news/573073

Операторы связи и хостинг-провайдеры, сегодня ежедневно получающие от Роскомнадзора единый реестр интернет-ресурсов, которые необходимо блокировать, вскоре будут получать лишь данные по сайтам, доменным именам и страницам, которые их непосредственно касаются. Такие изменения в постановление правительства № 1101 от 26 октября 2012 года, регулирующее порядок работы с единым реестром, подготовило Минкомсвязи. Как пояснил «Известиям» источник в Роскомнадзоре, цель этих изменений — препятствовать постоянным утечкам единого реестра (народное название — черные списки) в свободный доступ. Ведь в нем перечислены сайты с детским порно, пропагандой наркотиков и экстремизма и т.п.

Дайте ссылку на постановление.

Ну и я не пойму изменений, все равно провайдерам будут рассылать весь список.

[ayf]

Получил ответ из Роскомнадзора. Сайты положено блокировать любые из включенных в реестр, не смотря на социальную значимость ресурса.

[NightElf]

Уважаемые помогите пожалуйста с вопросом блокировки по DNS.

Раньше bind был на FreeBSD - проблем не было блокировка осуществлялась подменой зоны.

Сейчас стоит CentOS 6.4

 

Сделал как писали здесь:

http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=908296

named.conf
кусочек с опциями:
options {
       listen-on port 53 { 127.0.0.1; 172.XX.YY.ZZ; 87.XX.YY.ZZ; };
       listen-on-v6 port 53 { ::1; };
       directory       "/var/named";
       dump-file       "/var/named/data/cache_dump.db";
       statistics-file "/var/named/data/named_stats.txt";
       memstatistics-file "/var/named/data/named_mem_stats.txt";

       check-names master ignore;
       check-names slave  ignore;

       recursive-clients 2000;
       allow-query { IPшники };

       dnssec-enable yes;
       dnssec-validation yes;
       dnssec-lookaside auto;

       /* Path to ISC DLV key */
       bindkeys-file "/etc/named.iscdlv.key";

       managed-keys-directory "/var/named/dynamic";
};

logging {
       channel default_debug {
               file "data/named.run";
               severity dynamic;
       };
};

и подключения файла с блокировками
include "/etc/named/named.blocked";

named.blocked

zone "123.ru" {type master; file "/etc/named/db.null"; allow-query {any;};};
zone "ru.888.com" {type master; file "/etc/named/db.null"; allow-query {any;};};

 

db.null
$TTL    36000
@       IN SOA мой-днс-сервер. hostmaster.example.com. (
               2014070802 3600 300 604800 3600)

@       IN      NS      мой-днс-сервер.
@       IN      A       IP-заглушки ;
*       IN      A       IP-заглушки ;

 

 

После рестарта Bind'a ошибок нет, но странички, укзанные в named.blocked не блокируется. Пингуются и открываются.

 

Пробовал сделать db.null пустым - только с TTL - named даёт ошибку при перезапуске что нет записей SOA и NS

 

Подскажите в какую сторону копать

 

Проверил checkzone - вроде видит

[root@ns5~]# named-checkzone 123.ru /etc/named/db.null
zone 123.ru/IN: loaded serial 2014070802
OK
[root@ns5 ~]# named-checkzone ru.888.com /etc/named/db.null
zone ru.888.com/IN: loaded serial 2014070802
OK

 

 

Заметил странную штуку - заблокировал nssukr.com - пингую, а ответ приходит от h10.hvosting.ru

[

root@mx ~]# ping nssukr.com
PING nssukr.com (91.200.40.10) 56(84) bytes of data.
64 bytes from h10.hvosting.ua (91.200.40.10): icmp_seq=1 ttl=56 time=62.7 ms
64 bytes from h10.hvosting.ua (91.200.40.10): icmp_seq=2 ttl=56 time=69.9 ms

Изменено 8 июля, 2014 пользователем NightElf

[Tem]

1. А что nslookup ru.888.com показывает ? какой днс сервер используется ?

2. ну сайт хостится на hvosting.ua, на одном ип может висеть куча сайтов.

[NightElf]

Вот nslookup с сервера

[root@mx ~]# nslookup nssukr.com
Server:         172.30.0.2
Address:        172.30.0.2#53

Non-authoritative answer:
Name:   nssukr.com
Address: 91.200.40.10

 

С клиента такой же

C:\Users\Admin>nslookup nssukr.com
╤хЁтхЁ:  UnKnown
Address:  172.30.0.2

Не заслуживающий доверия ответ:
╚ь :     nssukr.com
Address:  91.200.40.10

 

172.30.0.2 - Адрес DNS-сервера

Изменено 8 июля, 2014 пользователем NightElf

[NightElf]

Нашёл я в 6 утра косяк (вот правда говорят утро вечера мудренее). В named.conf было 2 view - как оказалось я инклюдил файл с описанием сайтов не в тот view. Поменял и всё заработало. Спасибо всем кто задумался над описанной проблемой)

[ayf]

Ну вот и новости. Теперь будем блочить сразу подсетями. http://vigruzki.rkn.gov.ru/docs/information.pdf

 

Изменения в механизме получения выгрузки

с 1 августа 2014 года

 

1. Для каждой записи в выгрузке вводится обязательный атрибут entryType с типом

реестровой записи в виде числового кода. Возможные значения:

Код Значение

1 Реестр ЕАИС

2 Реестр НАП

3 Реестр 398-ФЗ

4 Реестр 97-ФЗ, организаторы распространения информации

 

2. Вводится дополнительный тег ipSubnet для указания ip-подсети. Он располагается внутри

тега content и имеет следующий вид (после символа «/» указывается количество бит,

приходящихся на адрес сети):

 

<ipSubnet>192.168.10.0/24</ipSubnet>

 

3. На уровне xsd-схемы теги url, domain, ip, ipSubnet становятся необязательными. Тем не

менее, для записей типа entryType=1,2,3 сохраняется прежняя логика – в каждой записи

всегда есть одно доменное имя, один или несколько указателей страниц сайтов и один

или несколько сетевых адресов. Для записей типа entryType=4 обязательно будет

присутствовать хотя бы один сетевой адрес либо хотя бы одна подсеть. Домены и

указатели страниц сайтов для таких записей могут отсутствовать.

 

4. Для автоматизированного получения выгрузки в новом формате будет модифицирован

веб-сервис – для метода sendRequest будет введен новый необязательный параметр

versionNum. Если этот параметр не указан, либо указано значение versionNum=1, то будет

возвращаться выгрузка в текущем формате, которая будет содержать данные только по

реестрам 1-3. При указании versionNum=2 будет возвращаться выгрузка в новом формате,

содержащая данные по всем реестрам. В течение некоторого времени (1-2 месяца) будет

поддерживаться предоставление выгрузки как в старом, так и в новом формате. На

стороне Роскомнадзора будет происходить мониторинг обращений и определение

используемой версии. Операторам связи необходимо будет как можно оперативное

модернизировать своё ПО и перейти на использование нового формата выгрузки. После

завершения переходного периода запрос выгрузки в старом формате будет запрещен –

при подаче запроса на получение выгрузки без указания номера версии или при указании

versionNum=1 будет выдаваться сообщение о невозможности предоставления выгрузки в

данном формате. При таких изменениях в веб-сервисе во время переходного периода

существующий у операторов связи софт для получения выгрузки продолжит работать

корректно, что позволит осуществить плавный переход к новому формату без

прекращения блокировок по действующим реестрам 1-3.

 

5. Для получения выгрузки в ручном режиме будет модифицирована веб-форма подачи

запроса на выгрузку – будет добавлено указание версии выгрузки. По умолчанию будет

устанавливаться версия 2, но в течение переходного периода ее можно будет изменить на

1. После завершения переходного периода можно будет получить выгрузку только в

версии 2.

[onlime_user]

Ха, ну посмотрим насколько далеко у них хватит смелости зайти.

[ayf]

в августе увидим:)

[onlime_user]

В августе либо совсем не внесут, либо внесут пару мелких.

Вот через 2-3 года увидим что получится, тем более что условие невнесения в список по этому закону - передача всех логов ФСБ.

http://habrahabr.ru/post/229431/

[snvoronkov]

Помнится, один рбл как-то масочку /4 вместо /24 у себя влупил... Было весело, когда почта ходить перестала.

 

А тут - полная блокировка. Надо будет минимальный префикс в скриптике ограничить...

 

UPD: rbl-ем этим был rfc-ignorant.org. Почта у мну тогда совсем раком не встала, но классификатор дал всем таймаута на прием и веса в дилеме SPAM/HAM сильно поменялись.

 

UPD3: "Долгая память - хуже, чем сифилис". Это было в 2003-м...

Изменено 11 июля, 2014 пользователем snvoronkov

[disappointed]

А тут - полная блокировка. Надо будет минимальный префикс в скриптике ограничить...

И клиенты увидят заглушку вышестоящего оператора.

Хотя от обращений к /4 она скорее всего моментально встанет раком.

[Andrei]

Опять скрипты переделывать...

[MATPOC]

Ну вот и новости. Теперь будем блочить сразу подсетями. http://vigruzki.rkn....information.pdf

Изменения в механизме получения выгрузки

с 1 августа 2014 года

4. Для автоматизированного получения выгрузки в новом формате будет модифицирован веб-сервис – для метода sendRequest будет введен новый необязательный параметр versionNum. Если этот параметр не указан, либо указано значение versionNum=1, то будет возвращаться выгрузка в текущем формате, которая будет содержать данные только по реестрам 1-3. При указании versionNum=2 будет возвращаться выгрузка в новом формате, содержащая данные по всем реестрам.

 

Сделал запрос нового реестра, но пока отдаётся в старом формате.