[Serhio Go]

Провел небольшое исследование по эффективности блокировки.

 

В реестре на данный момент 77 позиций, мои аплинки блочат по IP, я также блокирую по IP

запускаю бразуер проверяю доступность ресурсов: 41 ссылка доступна, 2 явно заблокированы хостером, 1 хз то-ли домен то-ли еще что (лень смотреть)

итого: 53% запрещенного контента доступно при соблюдении правил блокировки

Одному мне кажется, что тут в этом никто и не сомневался ;) ?

 

Думаю что с ростом кол-ва заблокированных ресурсов общий процент "мимо кассы" будет только расти )))

Количество - да, процент - вряд ли сильно. А вот потери среди мирного населения попавших под раздачу невиноватых соседей посчитать бы...

[alks]

Роскомнадзор признал небезупречность реестра запрещенных сайтов

 

http://lenta.ru/news/2012/11/28/noban/

 

Как отмечают "Ведомости", 27 ноября при подведении итогов работы реестра представитель российского Google Алла Забровская предложила внести в закон поправку, устраняющую проблему блокировки по IP-адресу. Из-за этого в реестр попадают добропорядочные сайты, отметила она. IP-адреса самого Google уже дважды по ошибке вносили в "черный список". Роскомнадзор пообещал рекомендовать операторам связи воздержаться от блокировки по IP.

 

По состоянию на 27 ноября в реестр запрещенных сайтов было внесено 595 записей, в том числе 77 - с IP-адресами сайтов-нарушителей. Всего же за четыре недели на сайт поступило 17840 жалоб.

----

 

Щас будет следующее

1. Роскомнадзору надо будет прикрыть свою жопу на предмет воплей блокировки по IP когда туда попадают валидные сайты CDN и прочее

2. Надо спихнуть ответственность на ISP

 

Реализация:

Получим очередные письма счастья в которых будет следующее:

1. Роскомнадзор настоятельно рекомендует не использовать блокировку по IP

2. Об исполнении доложить

[Ivan_83]

Zyxel P660, например. Вполне себе открытый DNS-сервер при настройке на работу по IPoA.

Это не серьёзно.

Опенднс, кисковские днс, днс американских провов, гуголь - у них и канал шире и адрес не меняется и железо вполне. Те они пригодны для постоянного использования.

[Serhio Go]

Думаю что с ростом кол-ва заблокированных ресурсов общий процент "мимо кассы" будет только расти )))

Количество - да, процент - вряд ли сильно. А вот потери среди мирного населения попавших под раздачу невиноватых соседей посчитать бы...

Лучше б не считал...

Больше 4000.

[drdaeman]

А про URL, домен, IP было на онлайн-конференции РКН. Блокировать по тому, по чему можем.

 

Т.е. там предлагается:

• Резать IP целиком.
  
• Резать домен целиком.
  
• Резать URL.
  

 

Вариант "резат конкретный URL на заданном IP" в комментариях РКН не рассматривается.

А URL к IP отношения не имеет ведь. Так можно дойти до того, что любой хост может быть отдатчиком этого URL'а. Любой же может прописать в hosts, некое 192.0.43.10 foo.example.org. Да и в DNS всякий load-balancing случается. В общем, такими умозаключениями получится, что надо весь HTTP-трафик фильтровать на любые порты, которые встречаются в реестре (пока, к счастью, только 80).

[snvoronkov]

А URL к IP отношения не имеет ведь. Так можно дойти до того, что любой хост может быть отдатчиком этого URL'а. Любой же может прописать в hosts, некое 192.0.43.10 foo.example.org. Да и в DNS всякий load-balancing случается. В общем, такими умозаключениями получится, что надо весь HTTP-трафик фильтровать на любые порты, которые встречаются в реестре (пока, к счастью, только 80).

 

С учетом ротации адреесов и распределения нагрузки таки да, URL к IP частенько отношения мало имеет. И таки да, фильтровать надо ВЕСЬ HTTP-трафик.

 

Если реализуете URL-фильтрацию и не хотите под раздачу проверяющих попасть, то делать надо именно так.

[yegorov-p]

Думаю что с ростом кол-ва заблокированных ресурсов общий процент "мимо кассы" будет только расти )))

Количество - да, процент - вряд ли сильно. А вот потери среди мирного населения попавших под раздачу невиноватых соседей посчитать бы...

Лучше б не считал...

Больше 4000.

Я туда еще дописывал получалку pr/тиц, для пущего трагизму =)

[sirmax]

Парни, а никто не думал продавать услугу "мимо кассы"?

 

openVpn в {your_hosting_in_USA}

локальные маршруты в тунель на зафильтрованные адреса.

Обновлять список маршрутов я сложностей не вижу.

 

Я не вижу технических проблем, и думаю такие услуги появятся очень скоро если список будет рости. Запихнуть это все в софтинку под винду - не знаю насколько сложно, но для *nix не вижу вообще никакой сложности.

DNS весь гонять через тунель, вероятно.

 

PS

Мне оно не нужно, т.к. на Украине пока что такого нет, но это можно реализовывать даже на уровне прошивок роутеров? Тогда еще проще - можно даже не весь ДНС траффик гонять в тунель.

[alks]

Парни, а никто не думал продавать услугу "мимо кассы"?

 

Вы@бут, потом перекурят и повторят

 

НО, возникла мысль что можно попытаться продавать некий qos в трубе клиента для vpn, а куда уж он там ломится его личное дело

[drdaeman]

Парни, а никто не думал продавать услугу "мимо кассы"?

Тут не услуга нужна (тем более мимо кассы, это ж вообще АТАТАТ будет), а открытое биллинговое API (как у вконтакта того же, где сторонние приложения могут устраивать подписки-платежи за внутренние тугрики) и подключившаяся компания-«партнер» из цивилизованного мира.

 

Но все равно отсодомируют, наверное.

[retimer]

Парни, а никто не думал продавать услугу "мимо кассы"?

Я думал, но не о продаже. Уверен, что такие сервисы уже готовятся на европейских и юсовских ресурсах. И при грамотной раскрутке они и денег срубят, и рекламу запрещенным сайтам сделают...

Изменено 28 ноября, 2012 пользователем retimer

[karpa13a]

и денег срубят, и рекламу запрещенным сайтам сделают...

... и информацией о пассажирах поделятся)

[Ivan_83]

Всяких впн платных и до этого хватало.

[drdaeman]

Всяких впн платных и до этого хватало.

Это да, но я так понял, фича тут в том, что провайдер тут проводит акцию, «купи VPN (услугой прямо через родной биллинг) и ходи без проблем на географически недоступные ресурсы типа Луркмора, Либрусека и Гугла Хулы с Пандорой», т.е. иметь с продаж VPNов.

Изменено 28 ноября, 2012 пользователем drdaeman

[Irsi]

На счет VPN и особенно SSL изучайте - http://www.manavski.com/downloads/PID505889.pdf

Пригодится когда их фильтровать заставят. :)

[drdaeman]

На счет VPN и особенно SSL изучайте - http://www.manavski.com/downloads/PID505889.pdf

Пригодится когда их фильтровать заставят. :)

1/10. Там блоуфиш обычно, ибо OpenVPN (где по дефолту он) самое популярное решение.

Да и чем такие-то видеокарты закупать, явно дешевле будет у китайцев закупить вагон ASIC'ов, заточенных под AES.

 

IPsec'овые VPN'ы, где чаще AES (хотя может быть и BF), в основном корпоративные, интересу не представляют.

А PPTP с MS-CHAPv2+MPPE опосля последнего CCC за шифрование можно не считать.

Изменено 28 ноября, 2012 пользователем drdaeman

[Irsi]

drdaeman, вопрос в основном в ssl как сам понимаешь. Да и согласен - это только разве что для мелочи, у которой и бордер слеплена на коленке, из писюка с линаксом. :)

[drdaeman]

drdaeman, вопрос в основном в ssl как сам понимаешь.

Там самое дорогое — хендшейк, вариант Диффи-Хельмана и RSA. AES на фоне этого — чепушинка, разбираться с ним — premature optimization.

 

Да и согласен - это только разве что для мелочи, у которой и бордер слеплена на коленке, из писюка с линаксом. :)

Ну, эту шушеру уже быстро сейчас позакрывают. Придет проверка, как написано — потребуют показать пограничный маршрутизатор. Маршрутизатор, а не всякую пионерию непонятную. Не смогут показать — вот лицензию на стол и пинок под задницу.

[yegorov-p]

Придет проверка, как написано — потребуют показать пограничный маршрутизатор. Маршрутизатор, а не всякую пионерию непонятную.

По фотографии будут сличать, али как?

[elcambino]

Придет проверка, как написано — потребуют показать пограничный маршрутизатор. Маршрутизатор, а не всякую пионерию непонятную.

По фотографии будут сличать, али как?

На устройстве должна быть наклейка "ПОГРАНИЧНЫЙ МАРШРУТИЗАТОР"

можно рядом поставить маленькую коробочку и на ней писать "СТОРОЖЕВОЙ ПЕС МУХТАР", чтобы поддерживать градус неадеквата

[Tosha]

А открытых DNS - пруд пруди...

Не так уж много, я порядка 50 нашёл, когда озадачился, за год или два список уменьшился почти в два раза.

Легко можно свой DNS сервер поставить. У меня стоит.

[retimer]

Ребят, а у многих вообще есть пограничные маршрутизаторы?

Сей девайс, имхо, и не нужен абсолютному большинству маленьких провов (<10 килоабонентов).

А про фразу "ограничить доступ путем блокировки IP-адреса ресурса на пограничном маршрутизаторе" я спрашивал в прокуратуре. Мне ответили так: "Ну, вы ж понимаете, что у нас нет технических специалистов, вот и пишем всегда одинаково". Занавес!

 

PS. А может этот закон пролоббирован тандемом Cisco-Juniper для увеличения продаж дорогих маршрутизаторов в РФ? :)

[rm_]

Ребят, а у многих вообще есть пограничные маршрутизаторы?

Пограничный маршрутизатор.

Граница (между двумя сетями) есть? Есть. Маршрутизатор? Да.

Что все так возбудились из-за этого словосочетания, совершенно не пойму.

 

Или сомнения что "тазик" прокатит как маршрутизатор? "Используемый в сети маршрутизатор представляет собой программно-аппаратный комплекс на базе ПЭВМ с операционной системой GNU/Linux".

[Sergey Gilfanov]

Или сомнения что "тазик" прокатит как маршрутизатор? "Используемый в сети маршрутизатор представляет собой программно-аппаратный комплекс на базе ПЭВМ с операционной системой GNU/Linux".

Мне казалось, что сертифицирование оборудования связи еще не отменили? В проекте сети так и написано?

[yegorov-p]

Блин, а я могу карманизатор трафика назначить пограничным маршрутизатором?