[alibek]

А чем им RIPE NCC помешала то?

Ничем, RIPE NCC в реестре нет.

По ссылке какая-то непроверенная ерунда.

Например первый же IP-адрес 94.242.194.138 — это сайт 1xspots.com, который должен блокироваться по доменному имени.

[onlime_user]

это сайт 1xspots.com, который должен блокироваться по доменному имени.

Они добавили в реестр 2 раза - один раз по доменному имени, второй раз по IP.

Edited July 26, 2016 by onlime_user

[alibek]

А причем тут RIPE NCC?

[onlime_user]

Ну ошибся насчет ripe из-за кривого whois, бывает.

Но остального это не отменяет.

[alibek]

Так "остального" там и нет, там весь информационный повод статьи в заголовке — "РКН заблокирован RIPE NCC!".

Без этого и повода нет.

[McSlash]

"рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016.

Кто-нибудь блокирует 53 порт в мир?

 

Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен?

Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен).

 

Вообще, очень тупая практика подмены ответа от DNS.

Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой.

[Ansy]

"рекомендуется ограничить доступ к доменному имени посредством фильтрации запросов ко всем серверам DNS" пункт 10 в распоряжении от 07.07.2016.

Кто-нибудь блокирует 53 порт в мир?

Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен?

Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен).

Вот когда вам начнут впаивать штрафы за каждый НЕЗАКОННО ЗАБЛОКИРОВАННЫЙ ресурс -- тогда и придется задаваться подобным вопросом.

Но сдается мне, что при текущей тенденции это не при моей жизни... или не в этом Интернете ;)

 

Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой.

Логично. Разумно. Так и делаем.

 

P.S. Есть мысль разрулить на несколько списков IP-адресов. Где в Реестре только http-порт -- блокировать по IP лишь TCP/80. Где требуют домен или какие-то левые порты -- резать весь IP целиком. Но сдается мне, что клиентам радости это не добавит, и потому заморачиваться тоже неразумно. Только в редких случаях, чтобы при одном запрещенном http-ресурсе на общем хостинге/IP оставить работать https-версии и другие невиновные протоколы, те же SSH/FTP для админов?

Edited July 29, 2016 by Ansy

[snik_1900]

А кто-то может объяснить чем блокировка типа daomain отличается от domain-mask?

[alibek]

Домен: в дампе есть "graniru.info", блокируем graniru.info, но не блокируем mirror667.graniru.info или другие поддомены.

Маска: в дампе есть "*.graniru.info", блокируем graniru.info и все поддомены.

[Tosha]

Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен?

Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен).

 

Вообще, очень тупая практика подмены ответа от DNS.

Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой.

А вот не факт. Когда соседним к заблокированному станет какой-нибудь популярный ресурс и Ваш конкурент не поленится фильтровать DNS запросы то как Вы думаете к кому пойдут абоненты?

[pers123]

Адресок 104.28.5.107 ни у кого под блокировки не попадает?

Возможно, что-то из https доменов в него резольвится.

на сайт http://www.rcrwireless.com timeout все время...

Через operaturbo доступен.

[Tosha]

<content id="138192" includeTime="2015-01-19T18:37:40" entryType="1" blockType="domain" hash="EFA7DC2AC86CD439C7F12DB3

39EA3A40">

<decision date="2015-01-14" number="2/1/11-31378" org="<D4><D1><CA><CD>"/>

<domain><![CDATA[legalrcm.com]]></domain>

<ip>104.28.4.107</ip>

<ip>104.28.5.107</ip>

<ip>104.31.90.180</ip>

<ip>104.31.91.180</ip>

</content>

 

Вопрос - закрывать ли этот домен по https? Те кто закрывают могут блочить по ip

[pers123]

Вот мой офисный провайдер блочит это по ip, в результате, прямо попасть на вразумительный сайт с полезной телеком информацией не получается.

Все для людей блин и чем дальше, тем такого будет больше.

[NN----NN]

Адресок 104.28.5.107 ни у кого под блокировки не попадает?

Возможно, что-то из https доменов в него резольвится.

на сайт http://www.rcrwireless.com timeout все время...

Через operaturbo доступен.

Через Ростелеком ("Волга") есть абонентский доступ на этот сайт, только что проверил

[snik_1900]

Домен: в дампе есть "graniru.info", блокируем graniru.info, но не блокируем mirror667.graniru.info или другие поддомены.

Маска: в дампе есть "*.graniru.info", блокируем graniru.info и все поддомены.

Т.е www.graniru.info в первом случае должен быть доступен? Зашибись. Маразм крепчает.....

 

Тоды ещё один вопрос: как BINDу объяснить сие отличие?

[Tosha]

Если задано "*.graniru.info" то как с "graniru.info" ?

Чую моя железка будет искать подстроку минимум вида ".graniru.info" :)

[snik_1900]

Особенно интересно посмотреть пример работающего конфига...

[pers123]

Адресок 104.28.5.107 ни у кого под блокировки не попадает?

Возможно, что-то из https доменов в него резольвится.

на сайт http://www.rcrwireless.com timeout все время...

Через operaturbo доступен.

Через Ростелеком ("Волга") есть абонентский доступ на этот сайт, только что проверил

В Москве Комкор/Акадо блокирует по IP

[Ansy]

Как связать запрос к DNS с https запросом к ip, на котором один https-сайт запрещён, а второй должен быть доступен?

Как веб-мастерам не отрезать доступ до чужих DNS'ок(nslookup становится бесполезен).

 

Вообще, очень тупая практика подмены ответа от DNS.

Уж лучше блокировать ip, чем нагружать железо бестолковой и вредной работой.

А вот не факт. Когда соседним к заблокированному станет какой-нибудь популярный ресурс и Ваш конкурент не поленится фильтровать DNS запросы то как Вы думаете к кому пойдут абоненты?

Да его полстраны заблокирует по IP еще на аплинках. Уходить-то не к кому особо, кроме двух столиц да мож еще сотовых операторов. У локальных же конкурентов тоже не всё так весело, как вы думаете. В тысячах мелких населенных пунктов и выбор операторов невелик, и у этих же невеликих операторов не настолько много платежеспособных жирных клиентов, чтоб окупить полноценное DPI. Потому блокируются или у аплинков, или кто как сумеет.

 

Жду, жду -- когда же наконец ЭТО случится? Или РКН таки сцыкует ютубчик какой-нить прижать, или успевают пока полюбовно договориться о контенте. Кароч, мутно всё.

[SergoINFOLAN]

Ждём блокировки ВК, YouTube и прочих популярных ресурсов! лучше бы их блокирнули ЦЕЛИКОМ!!! Белые списки уже пора вводить!

[ayf]

 

Жду, жду -- когда же наконец ЭТО случится? Или РКН таки сцыкует ютубчик какой-нить прижать, или успевают пока полюбовно договориться о контенте. Кароч, мутно всё.

 

У Ютуба больше 300 ссылок уже в реестре.

[Sergey Gilfanov]

У Ютуба больше 300 ссылок уже в реестре.

И старательно избегаемым https. Учитывая то, что ютуб уже вовсю HSTS использует - это очень весело. Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть. Путем ручного открытия ссылок. Сам Надзор пока, я так понимаю, старательно делает вид, что все нормально. И его система мониторинга на это не реагирует.

[Tosha]

И старательно избегаемым https. Учитывая то, что ютуб уже вовсю HSTS использует - это очень весело. Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть. Путем ручного открытия ссылок. Сам Надзор пока, я так понимаю, старательно делает вид, что все нормально. И его система мониторинга на это не реагирует.

Ага. Медведев вобьет ссылку, она у него через HSTS откроется через HTTPS и задаст вопрос: "Почему открывается?" :)

 

Что-то грядет. Не зря в рекомендациях расписали подробно как блокировать https ссылки. Грубо говоря блокировать домен, и если не получится прямо - то заблокировать в DNS

 

И у них будет отмазка. Мы, типа, ютуб не требовали заблочить. Только 300 отдельных страниц. Это все ленивый провайдер виноват - не хочет работать...

[alibek]

Ну строго говоря, кроме HSTS есть еще много чего.

Есть мобильная версия сайта (m.youtube.com), есть параметры в URL (...&t=378).

Я вообще не вижу смысла в призывах к митингам, саботажу и прочим «сейчас как сделаем, пусть подавятся».

Есть требования — их нужно исполнять, без домысливаний и отсебятины.

Есть рекомендации — им по возможности желательно следовать, по крайней мере в той части, которая не требует чего-то очень сложного или дорогого.

 

Надо ждать, когда кто-нибудь из проверяющих решит проверить доступность всего того, что недоступно должно быть.

В конце августа напишу, что получилось.

[Sergey Gilfanov]

И у них будет отмазка. Мы, типа, ютуб не требовали заблочить. Только 300 отдельных страниц. Это все ленивый провайдер виноват - не хочет работать...

После чего абонент попытается найти неленивого провайдера и у него ничего не получится. У абонента будут вопросы, нет?