Перейти к содержимому
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

Вообще если уж на то пошло - то лично я бы не рубил "сторонние" DNS-запросы, а заворачивал их на свои серверы. Так практичнее - меньше проблем с юзерами.

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
' timestamp='1352165262' post=770622]Рубим DNS-запросы от юзеров, пусть юзают наш DNS. На нём заворачиваем некошерные URL на нужный нам хост. Profit!

И тем самым нарушаемс...

 

Вообще если уж на то пошло - то лично я бы не рубил "сторонние" DNS-запросы, а заворачивал их на свои серверы. Так практичнее - меньше проблем с юзерами.

А как быть тем, кто в днс не только кверит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мое мнение о DPI и торрентах:

Шейпинг на DPI это одно, а дроп – качественно другое. Если зашейпит что-то лишнее - не страшно и даже не очень заметно. Но если заменить шейпинг "дропом", то все ошибки DPI всплывут как г…но. К тому же все тут же перейдут на шифрование и какое-нибудь uTPv2. И будет DPI статистически рубить что ни попадя. Или напишут какую-нибудь штуку вроде share.exe - голова соображает у наших не хуже японцев.

 

И я не понимаю все же про список. Если включат что-то с ютуба, то они какой IP в реестр занесут? Там же принципиально нет сетевого адреса, однозначно идентифицирующего запрещенный контент. Преобразование URL -> сетевой адрес зависит от географии, от того какие аплинки и от того что там в БД у гугла в системе балансирования и оптимизации сервиса.

Изменено пользователем Tosha

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внесут либо страницу ютуба, либо страницу, где ролик заэмбежен...

Главное, не говорите им никто про хттпс -)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

то они какой IP в реестр занесут?

это проблема вносящих.

ипе из списка заблокирован? заблокирован.

контент доступен? а нам то какая до этого печаль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверное youtube по доменному имени будет правильнее ибо там ж не один IP.

 

И тем самым нарушаемс...

А что мы нарушаем? Можно не рубить и отрезать только на своём DNS.

 

В любом случае, если захотят докопаться, то есть способы.

 

По IP блокировка не панацея, завтра IPv6 и ищи ветра в поле.

Ну и 123.mp3 офигенный файл...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ха. Собственно как я и предполагал. Какой-то вышестоящий провайдер заблокировал ресурс из реестра по IP. И, соответственно, какой бы у нас DPI ни стоял, пофиг.

 

P.S. Похоже магистралы собрались себе абонбазу отжать! Глядите, а у нас эти сайты все работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такие магистралы быстро растеряют всех более-менее крупных клиентов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блокировка по ДНС довольно грубый же способ. Главная фича, это возможность блочить конкретные url.

Мы пока используем дешовую реализацию DPI.

 

iptabes+mod string.

iptables -A FORWARD --in-interface eth3.100 --protocol tcp --dport 80 --match string --algo bm --from 65 --to 500 --string youtube.com --jump ACL_youtube.com
iptables -A ACL_youtube.com --match string --algo bm --from 65 --to 500 --string "GET /watch?v=VzwCV0S6Hk8 HTTP" --jump DROP

Нагрузка правда при 600 правилиах на проц уже порядка 30% при трафике в 300 мбит\с.

Главное использовать алгоритом Бойера-Мура --algo bm. Он самый быстрый.

Но до такого количестав правил список думаю еще не скоро дойдет. Потом видно будет.

Изменено пользователем atomlab

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такие магистралы быстро растеряют всех более-менее крупных клиентов

 

свежо предание ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик

Лично мы сразу об отказе задумались бы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Нагрузка правда при 600 правилиах на проц уже порядка 30% при трафике в 300 мбит\с.

Попробуйте через DPI пропускать только тот трафик, что идет на "подозрительные" IP...

И что за проц у вас стоит-то? Атом чтоль? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик

Лично мы сразу об отказе задумались бы

 

Подумали - подумали, и остались на тех же двух(без альтернативы) магистралах:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to korvatsky приношу свои извинения - прости, я был неправ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не вижу связи никакой

1. сорм - есть закон, и банально без него работать не дадут, лицензии отберут, вздыхаем, платим ставим железку, НО как она работает это не НАШЕ дело

в данном случае мы только платим деньги

2. текущий ФЗ немного из другой оперы, опять же это закон и мы обязаны его исполнять но в отличии от сорма нам предлагают исполнять его по типу "пойди туда не знаю куда, принеси то не знаю чего и чтобы завтра все было готово", если в варианте с сормом мы покупаем железку исходя из мощности( 100 лошадиных сил)

То есть во втором вам дали больше свободы в выборе способа реализации, а вы этим еще больше недовольны, чем первым. Поразительно.

 

visir я рад что какая-то светлая голова дала возможность выбора способа блокировки, речь не об этом, речь о том что на оператора вешают несвойственные ему функции и если в случае с сормом

мыши плакали кололись проблема решается покупкой очередного ящика то в данном случае, скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?

даже тот вариант который обсасывал ирси вместе с прохожим по фильтрации исходящего http говно при тех же 30к записей

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, вот интересно, а вышеупомянутый сайт что по мнению Роскомнадзора что содержал - цп, наркоту или суицид?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну а вы представьте: появилась в списке страница vk.com/id12345, купили вы dpi, сделали всё красиво, а аплинк хренак - и зарубил весь вконтактик

Лично мы сразу об отказе задумались бы

 

Подумали - подумали, и остались на тех же двух(без альтернативы) магистралах:)

Ну если альтернативы нет, то да... Я всё со своей околомкадной колокольни :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
проблема решается покупкой очередного ящика то в данном случае, скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?

даже тот вариант который обсасывал ирси вместе с прохожим по фильтрации исходящего http говно при тех же 30к записей

Мы имхо тогда же пришли к мнению что проблемы надо решать по мере их поступления, то есть когда будет 30к записей (ну или скажем так - такое кол-во замаячит на горизонте) - тогда и будем решать. Ибо к тому времени много чего измениться может - от появления нового железа до забивания на сей закон.

Хотя первое что приходит в голову - распаралелить обработку на несколько железок...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как на твой взгляд надо блочить скажем 30к адресов по IP?

По IP - хоть мульён, если PFE (или что там у вашего роутера) может столько маршрутов слопать (а у более-менее современных роутеров - слопает). С отдельного писюка анонсировать бордеру(ам) эти самые IP прямо по /32, с next-hop'ом, указывающим на писюк (тот же или другой), где всё что пытается идти на tcp port 80, будет редиректиться на web-сервер, который будет показывать страничку со словами "Извините, вам сюда нельзя, все вопросы к Госдуме".

 

Гораздо хуже будет когда жалко будет по IP блокировать (википедию, например)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to IPv1 уже писали неоднократно

единственный вариант который я вижу это то что уже предалагали здесь и как делает оверси, а именно, ставить сбоку бордера тазик и анонсить с него по bgp

все 100к записей по /32 и без всяких редиректов, тупо в dev/null.Если статикой не получится прописать 100к маршрутов ну поднимем 10 мелких виртуалок

и будем равномерно распределять маршруты между ними. Помимо этого можно собрать 100 некошерных зарубежных ссылок, отправить в реестр, получить отлуп и накатать письмо в прокуратуру с вопросом "а почему"?

 

единственный момент который надо проверить что будет с тазиком когда в него статикой загрузят хотя бы 30к маршрутов, есть грязное подозрение что "боливар не выдержит двоих"

сегодня кстати попробую протестить этот момент

Изменено пользователем alks

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ничего, что на тазиках вполне себе фулвью держится? Памяти конечно не 256 метров должно быть.. Это на порядок больше, чем 30к.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?

Ну и проблемы у Вас. Про RTBH Вам уже написали... Еще добавлю, что в тех же MX-ах можно обычным фильтром проматчить >200k IP без деградации производительности.

И, есть сомнения, что список IP будет большим. Все же основная ставка делается на то, что запрещенный контент будут удалять. А бан по IP - это показательная порка для игнорирующих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На ютьюб пока побоку.Вернемся на нашу грешную землю. Вот есть у нас сейчас в реестре одна конкретная ссылка, которая уже как два с половиной часа не должна ни у кого открываться. Кто каким образом ее выпиливает, дабы при этом не нарушить охраняемые законом права гомосексуалистов на доступ к интересующей их информации? =)

 

Пповерил сейчас через мобильного оператора.

 

 

Открывается!

 

Или это у меня с кэша .....

 

 

 

 

 

 

to korvatsky приношу свои извинения - прости, я был неправ

 

Публичные извинения публично приняты!

 

 

P.S.

 

Как прочитал, посмотрел Ваш профиль (ничего там конкретного не увидел), так и решил, что силовики обиженные прокурорские на меня натравили Вас. Или Роскомнадзор мстит чужими руками за проигрыши в Судах Люберец и Егорьевска. Дважды в Суде Московской области.

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я выпилил только конкретную ссылку с редиректом на главную страницу того-же сайта :) В целом сайт доступен для "целевой" аудитории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скажи пожалуйста, как на твой взгляд надо блочить скажем 30к адресов по IP?

Ну и проблемы у Вас. Про RTBH Вам уже написали... Еще добавлю, что в тех же MX-ах можно обычным фильтром проматчить >200k IP без деградации производительности.

И, есть сомнения, что список IP будет большим. Все же основная ставка делается на то, что запрещенный контент будут удалять. А бан по IP - это показательная порка для игнорирующих.

 

Про МХ точно? если да это неплохо, мне-то лично в принципе не так критично у меня sce8k есть )))

а про кол-во IP через год посмотрим

 

 

to korvatsky приношу свои извинения - прости, я был неправ

 

Публичные извинения публично приняты!

P.S.

 

Как прочитал, посмотрел Ваш профиль (ничего там конкретного не увидел), так и решил, что силовики обиженные прокурорские на меня натравили Вас. Или Роскомнадзор мстит чужими руками за проигрыши в Судах Люберец и Егорьевска. Дважды в Суде Московской области.

 

Нет, тьфу-тьфу я оператор ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас