Jump to content
Калькуляторы

Опубликована Процедура блокировки некошерной инфо

А чем им RIPE NCC помешала то?

Ничем, RIPE NCC в реестре нет.

По ссылке какая-то непроверенная ерунда.

Например первый же IP-адрес 94.242.194.138 — это сайт 1xspots.com, который должен блокироваться по доменному имени.

Share this post


Link to post
Share on other sites

это сайт 1xspots.com, который должен блокироваться по доменному имени.

Они добавили в реестр 2 раза - один раз по доменному имени, второй раз по IP.

Edited by onlime_user

Share this post


Link to post
Share on other sites

Ну ошибся насчет ripe из-за кривого whois, бывает.

Но остального это не отменяет.

Share this post


Link to post
Share on other sites

Так "остального" там и нет, там весь информационный повод статьи в заголовке — "РКН заблокирован RIPE NCC!".

Без этого и повода нет.

Share this post


Link to post
Share on other sites

"рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016.

Кто-нибудь блокирует 53 порт в мир?

 

Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен?

Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен).

 

Вообще, очень тупая практика подмены ответа от DNS.

Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой.

Share this post


Link to post
Share on other sites

"рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016.

Кто-нибудь блокирует 53 порт в мир?

Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен?

Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен).

Вот когда вам начнут впаивать штрафы за каждый НЕЗАКОННО ЗАБЛОКИРОВАННЫЙ ресурс -- тогда и придется задаваться подобным вопросом.

Но сдается мне, что при текущей тенденции это не при моей жизни... или не в этом Интернете ;)

 

Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой.

Логично. Разумно. Так и делаем.

 

P.S. Есть мысль разрулить на несколько списков IP-адресов. Где в Реестре только http-порт -- блокировать по IP лишь TCP/80. Где требуют домен или какие-то левые порты -- резать весь IP целиком. Но сдается мне, что клиентам радости это не добавит, и потому заморачиваться тоже неразумно. Только в редких случаях, чтобы при одном запрещенном http-ресурсе на общем хостинге/IP оставить работать https-версии и другие невиновные протоколы, те же SSH/FTP для админов?

Edited by Ansy

Share this post


Link to post
Share on other sites

А кто-то может объяснить чем блокировка типа daomain отличается от domain-mask?

Share this post


Link to post
Share on other sites

Домен: в дампе есть "graniru.info", блокируем graniru.info, но не блокируем mirror667.graniru.info или другие поддомены.

Маска: в дампе есть "*.graniru.info", блокируем graniru.info и все поддомены.

Share this post


Link to post
Share on other sites

Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен?

Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен).

 

Вообще, очень тупая практика подмены ответа от DNS.

Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой.

А вот не факт. Когда соседним к заблокированному станет какой-нибудь популярный ресурс и Ваш конкурент не поленится фильтровать DNS запросы то как Вы думаете к кому пойдут абоненты?

Share this post


Link to post
Share on other sites

Адресок 104.28.5.107 ни у кого под блокировки не попадает?

Возможно, что-то из https доменов в него резольвится.

на сайт http://www.rcrwireless.com timeout все время...

Через operaturbo доступен.

Share this post


Link to post
Share on other sites

<content id="138192" includeTime="2015-01-19T18:37:40" entryType="1" blockType="domain" hash="EFA7DC2AC86CD439C7F12DB3

39EA3A40">

<decision date="2015-01-14" number="2/1/11-31378" org="<D4><D1><CA><CD>"/>

<domain><![CDATA[legalrcm.com]]></domain>

<ip>104.28.4.107</ip>

<ip>104.28.5.107</ip>

<ip>104.31.90.180</ip>

<ip>104.31.91.180</ip>

</content>

 

Вопрос - закрывать ли этот домен по https? Те кто закрывают могут блочить по ip

Share this post


Link to post
Share on other sites

Вот мой офисный провайдер блочит это по ip, в результате, прямо попасть на вразумительный сайт с полезной телеком информацией не получается.

Все для людей блин и чем дальше, тем такого будет больше.

Share this post


Link to post
Share on other sites

Адресок 104.28.5.107 ни у кого под блокировки не попадает?

Возможно, что-то из https доменов в него резольвится.

на сайт http://www.rcrwireless.com timeout все время...

Через operaturbo доступен.

Через Ростелеком ("Волга") есть абонентский доступ на этот сайт, только что проверил

Share this post


Link to post
Share on other sites

Домен: в дампе есть "graniru.info", блокируем graniru.info, но не блокируем mirror667.graniru.info или другие поддомены.

Маска: в дампе есть "*.graniru.info", блокируем graniru.info и все поддомены.

Т.е www.graniru.info в первом случае должен быть доступен? Зашибись. Маразм крепчает.....

 

Тоды ещё один вопрос: как BINDу объяснить сие отличие?

Share this post


Link to post
Share on other sites

Если задано "*.graniru.info" то как с "graniru.info" ?

Чую моя железка будет искать подстроку минимум вида ".graniru.info" :)

Share this post


Link to post
Share on other sites

Особенно интересно посмотреть пример работающего конфига...

Share this post


Link to post
Share on other sites

Адресок 104.28.5.107 ни у кого под блокировки не попадает?

Возможно, что-то из https доменов в него резольвится.

на сайт http://www.rcrwireless.com timeout все время...

Через operaturbo доступен.

Через Ростелеком ("Волга") есть абонентский доступ на этот сайт, только что проверил

В Москве Комкор/Акадо блокирует по IP

Share this post


Link to post
Share on other sites

Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен?

Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен).

 

Вообще, очень тупая практика подмены ответа от DNS.

Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой.

А вот не факт. Когда соседним к заблокированному станет какой-нибудь популярный ресурс и Ваш конкурент не поленится фильтровать DNS запросы то как Вы думаете к кому пойдут абоненты?

Да его полстраны заблокирует по IP еще на аплинках. Уходить-то не к кому особо, кроме двух столиц да мож еще сотовых операторов. У локальных же конкурентов тоже не всё так весело, как вы думаете. В тысячах мелких населенных пунктов и выбор операторов невелик, и у этих же невеликих операторов не настолько много платежеспособных жирных клиентов, чтоб окупить полноценное DPI. Потому блокируются или у аплинков, или кто как сумеет.

 

Жду, жду -- когда же наконец ЭТО случится? Или РКН таки сцыкует ютубчик какой-нить прижать, или успевают пока полюбовно договориться о контенте. Кароч, мутно всё.

Share this post


Link to post
Share on other sites

Ждём блокировки ВК, YouTube и прочих популярных ресурсов! лучше бы их блокирнули ЦЕЛИКОМ!!! Белые списки уже пора вводить!

Share this post


Link to post
Share on other sites

 

Жду, жду -- когда же наконец ЭТО случится? Или РКН таки сцыкует ютубчик какой-нить прижать, или успевают пока полюбовно договориться о контенте. Кароч, мутно всё.

 

У Ютуба больше 300 ссылок уже в реестре.

Share this post


Link to post
Share on other sites

У Ютуба больше 300 ссылок уже в реестре.

И старательно избегаемым https. Учитывая то, что ютуб уже вовсю HSTS использует - это очень весело. Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть. Путем ручного открытия ссылок. Сам Надзор пока, я так понимаю, старательно делает вид, что все нормально. И его система мониторинга на это не реагирует.

Share this post


Link to post
Share on other sites

И старательно избегаемым https. Учитывая то, что ютуб уже вовсю HSTS использует - это очень весело. Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть. Путем ручного открытия ссылок. Сам Надзор пока, я так понимаю, старательно делает вид, что все нормально. И его система мониторинга на это не реагирует.

Ага. Медведев вобьет ссылку, она у него через HSTS откроется через HTTPS и задаст вопрос: "Почему открывается?" :)

 

Что-то грядет. Не зря в рекомендациях расписали подробно как блокировать https ссылки. Грубо говоря блокировать домен, и если не получится прямо - то заблокировать в DNS

 

И у них будет отмазка. Мы, типа, ютуб не требовали заблочить. Только 300 отдельных страниц. Это все ленивый провайдер виноват - не хочет работать...

Share this post


Link to post
Share on other sites

Ну строго говоря, кроме HSTS есть еще много чего.

Есть мобильная версия сайта (m.youtube.com), есть параметры в URL (...&t=378).

Я вообще не вижу смысла в призывах к митингам, саботажу и прочим «сейчас как сделаем, пусть подавятся».

Есть требования — их нужно исполнять, без домысливаний и отсебятины.

Есть рекомендации — им по возможности желательно следовать, по крайней мере в той части, которая не требует чего-то очень сложного или дорогого.

 

Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть.

В конце августа напишу, что получилось.

Share this post


Link to post
Share on other sites

И у них будет отмазка. Мы, типа, ютуб не требовали заблочить. Только 300 отдельных страниц. Это все ленивый провайдер виноват - не хочет работать...

После чего абонент попытается найти неленивого провайдера и у него ничего не получится. У абонента будут вопросы, нет?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now