[Heggi]

Тот же github пока без Ipv6 адреса (

[karpa13a]

Heggi чья это заморочка?

[Heggi]

karpa13a

А смотря с какой стороны смотреть.

Вот когда github заблочат очередной раз, то это будет уже моя заморочка как на него попасть. И даже то, что я запилил Ipv6 - мне не поможет.

[pers123]

Не Роскомнадзор, а замглавы Рособрнадзора артикулирует запрет wiki...

Интересно пойдет ли Роскомнадзор на подобную меру?

[abab]

То есть, ты считаешь что, великая страна победившая во второй мировой войне должна прогибаться под каждого студента придумавшего суперпупер крпитовалюту?

 

Троллинг стал настолько толстым, что уже и не понятно, реально человек так думает или это просто сарказм.

Я нипонял а отечественные билеты МММ чем данном случае принципиально хуже? Точно такое же платежное средство.

 

Но я собственно не об этом кто знает комерческие/полукомерческие кошерные готовые (или с минимальной работой напильником) решения для блокировки некошерной/харамной инфо?

Можно в личку

Тут как то висела реклама чего то подобного в шапке форума но ссылку не сохранил!

Изменено 22 января, 2015 пользователем abab

[pers123]

Еще одна инициатива в адрес провайдеров со стороны минкульта.

Кто нибудь знает, что это за умники - группа компаний «Систематика» (ГКС)?

[snvoronkov]

Еще одна инициатива в адрес провайдеров со стороны минкульта.

Кто нибудь знает, что это за умники - группа компаний «Систематика» (ГКС)?

https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0%D1%82%D0%B8%D0%BA%D0%B0_%28%D0%B3%D1%80%D1%83%D0%BF%D0%BF%D0%B0_%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D0%B9%29

 

Из известных мне подразделений (имели дело в том или ином виде) - "AND", "Энсис Технологии", "Стэп Лоджик Групп".

[Smoke]

Еще одна инициатива в адрес провайдеров со стороны минкульта.

Кто нибудь знает, что это за умники - группа компаний «Систематика» (ГКС)?

Блин ну почему они не могут по такому госзаказу начать раутеры делать, хотябы класса микротиков. Реально бесят.

[ayf]

Еще одна инициатива в адрес провайдеров со стороны минкульта.

Кто нибудь знает, что это за умники - группа компаний «Систематика» (ГКС)?

 

Мне логика нравится: Организация по управлению правами на коллективной основе заключит с пользователями соглашение о предоставлении глобальной лицензии на контент. Они смогут скачивать его в интернете и записывать на электронные носители. Платить будут операторы... Организация будет приходить лично к каждому пользователю? А почему за пользователя должен платить я?

 

Сколько же всего должен поставить несчастный, решивший стать провайдером...

1. Биллинг с хранением инфы в 3 года.

2. СОРМ (разумеется за счет казначейства...)

3. DPI-подобную хрень для фильтрации трафика.

4. Некую мифическую железяку от РКН для проверки п.3

5. DPI-подобную хрень для антипиратского начинание некоей группы компаний, которая решила лизнуть бесогона и срубить бабла...

 

Я ничего не забыл?

[GDCTester]

Здравствуйте, уважаемые!

Поиск по теме форума особо ничего не дал. Подскажите, пожалуйста, кто фильтрует через squid url_regex или dst. Какие ресурсы на это уходят: Тормозит безбожно - 2х xeon 5450 + 16GB RAM. Есть ли ускорение от применения rejik, dansguardian, squidguard по сравнению со стандартными url_regex?

[Tem]

Здравствуйте, уважаемые!

Поиск по теме форума особо ничего не дал. Подскажите, пожалуйста, кто фильтрует через squid url_regex или dst. Какие ресурсы на это уходят: Тормозит безбожно - 2х xeon 5450 + 16GB RAM. Есть ли ускорение от применения rejik, dansguardian, squidguard по сравнению со стандартными url_regex?

 

А Вы весь трафик через сквид прогоняете или только те Ip ктр в реестре ?

[GDCTester]

Весь. Совет Ваш понял. Подумаю. Кто еще как делает?

[AN111]

Подскажите, пожалуйста, кто фильтрует через squid url_regex или dst. Какие ресурсы на это уходят: Тормозит безбожно - 2х xeon 5450 + 16GB RAM. Есть ли ускорение от применения rejik, dansguardian, squidguard по сравнению со стандартными url_regex?

squid url_regex на большом количестве url url_regex жестко тормозит (по опыту), в сквидовских мурзилках это тоже проскакивало.

на малом количестве url_regex ведет себя нормально

 

Итог:

либо переходить на фильтр по dst_domain - и резать по доменам, сквид отрабатывет шустро

либо squidguard/rejik. Squidguard работает нормально, rejik не пробовал.

[Ansy]

Подскажите, пожалуйста, кто фильтрует через squid url_regex или dst. Какие ресурсы на это уходят: Тормозит безбожно - 2х xeon 5450 + 16GB RAM. Есть ли ускорение от применения rejik, dansguardian, squidguard по сравнению со стандартными url_regex?

squid url_regex на большом количестве url url_regex жестко тормозит (по опыту), в сквидовских мурзилках это тоже проскакивало.

на малом количестве url_regex ведет себя нормально

 

Итог:

либо переходить на фильтр по dst_domain - и резать по доменам, сквид отрабатывет шустро

либо squidguard/rejik. Squidguard работает нормально, rejik не пробовал.

А разве не корректно СНАЧАЛА пропускать ВЕСЬ поток наверх через фаервольные фильтры, и ТОЛЬКО ТО, что выцепилось по

 

protocol==tcp И port==http И dstIP==IP_из_zapret.info

 

уже заворачивать на Squid/proxy на проверку url_regexp и ТОЛЬКО при совпадении с URL_из_zapret.info перенаправлять на заглушку?

 

Вроде для iptables есть такая штука ipset.

Сам вручную не пробовал, у меня в Mikrotik уже есть списки IP-адресов -- через них одним правилом фильтруется.

 

Потому что в запретах уже 3.5К записей (IP), и тенденции к уменьшению нет. Подсети они анонсировали, но пока тоже без экземпляров.

Если же весь поток ДАЖЕ ТОЛЬКО HTTP заворачивать на прокси -- у мало-мальски нагруженного провайдера никаких ресурсов сервера не хватит.

[KaraVan]

А кто-нибудь эксплуатирует схему с L7 фильтром на микротике? Поделитесь фидбэком?

 

Сам пока вижу вариант разворачивать ip-адреса разрезолвенных доменных имен расстрельного списка с помощью анонсов в ядро по IGP для транзита пользовательского трафика через выделенный под это дело микротик.

Ну а там смотреть только http запросы и дропать неугодных.

Бонусом видится нормальная производительность(необходимо проверять на практике), отсутствие проблем с подменой ip-адреса ну и байпас в случае застрела роутера.

 

Минус вижу в том, что красивую картинку на забаненном URL показывать видимо не получится, будет просто недоступность страницы.

[alibek]

Бонусом видится нормальная производительность

Не будет тут производительности.

Фильтрация L7 на Микротике загнется уже на третьем десятке мегабит.

[Ilya]

Народ, а кто поделится принципами блокировки https ? Ну понятно можно блокировать целыми доменами, но жалко Lostfilm :)

Какие еще варианты ? (помимо грубых с отравлением DNS итд)

[alibek]

Никаких нормальных вариантов нет.

Из ненормальных - троян на пользовательские компьютеры или MITM-атака (трафик перенаправляется на провайдерский прокси-сервер, который выдает себя за чужой сайт и подсовывает самодельный сертификат).

[pers123]

Народ, а кто поделится принципами блокировки https ? Ну понятно можно блокировать целыми доменами, но жалко Lostfilm :)

Какие еще варианты ? (помимо грубых с отравлением DNS итд)

Операторского уровня нет более тонких решений, чем блокирование домена или сервера целиком.

Единственным аттрибутом, к которому можно привязать фильтр выше IP уровня для протоколов SSL/TLS является certificate given name или иногда SNI -

то есть, в любом случае это имя сервера или домена, на который выписан сертификат.

В корпоративной сети можно завести свой внутренний корпоративный удостоверяющий центр и завести свой собственный SSL proxy директивно прописываемый клиентам

с использованием корпоративного сертификата на внутреннем плече соединения.

С точки зрения оператора и его клиента это фактически man-in-the-middle, потому, как никто не пропишет принудительно всем клиентам собственный сертификат

для проксирования на проходе.

Изменено 28 января, 2015 пользователем pers123

[KaraVan]

Бонусом видится нормальная производительность

Не будет тут производительности.

Фильтрация L7 на Микротике загнется уже на третьем десятке мегабит.

А много ли там надо мегабит?

На вскидку разве что ютьюб, но только новые tcp/80' сессии.

[Ilya]

Народ, а кто поделится принципами блокировки https ? Ну понятно можно блокировать целыми доменами, но жалко Lostfilm :)

Какие еще варианты ? (помимо грубых с отравлением DNS итд)

Операторского уровня нет более тонких решений, чем блокирование домена или сервера целиком.

Единственным аттрибутом, к которому можно привязать фильтр выше IP уровня для протоколов SSL/TLS является certificate given name или иногда SNI -

то есть, в любом случае это имя сервера или домена, на который выписан сертификат.

В корпоративной сети можно завести свой внутренний корпоративный удостоверяющий центр и завести свой собственный SSL proxy директивно прописываемый клиентам

с использованием корпоративного сертификата на внутреннем плече соединения.

С точки зрения оператора и его клиента это фактически man-in-the-middle, потому, как никто не пропишет принудительно всем клиентам собственный сертификат

для проксирования на проходе.

Вот мне почему то тоже кажется, что придется городить огород с SSL прокси и самоподписанными сертификатами. Уверен, что:

1) Это не всегда сработает.

2) Появится формальный повод наехать на нас ибо никто из клиентов таких удовольствий не заказывал.

 

С другой стороны вижу постоянный рост https сайтов в списке блокировки и рано или поздно все торговцы грибами и наркотой эту фишку просекут и переедут на этот протокол.

И тогда вся наша возня с DPI окажется не имеющей смысла (ибо внутрь сессии https оно никак не залезет). Один хрен придется все лочить оптом по IP как Ростелеком (не к ночи будь упомянут).

 

Я прав?

Изменено 28 января, 2015 пользователем Ilya

[stas_k]

С другой стороны вижу постоянный рост https сайтов в списке блокировки и рано или поздно все торговцы грибами и наркотой эту фишку просекут и переедут на этот протокол.

ну заблокируется целиком домен. ни какой разницы.

даже торговцам хуже. так они http урл изменили и все. а этак после каждой блокировки https новый домен за деньги покупать и ждать когда dns расползется..

[Ilya]

С другой стороны вижу постоянный рост https сайтов в списке блокировки и рано или поздно все торговцы грибами и наркотой эту фишку просекут и переедут на этот протокол.

ну заблокируется целиком домен. ни какой разницы.

даже торговцам хуже. так они http урл изменили и все. а этак после каждой блокировки https новый домен за деньги покупать и ждать когда dns расползется..

 

Заблокируется однако не домен, а IP который завтра они тупо поменяют. И кстати купить домен - копеечное дело.

[Sergey Gilfanov]

Напомнить, что с сайтом Навального делали? Домены третьего уровня - бесплатны. А корневой второго - вообще может ни во что не резолвится.

[stas_k]

Заблокируется однако не домен, а IP который завтра они тупо поменяют. И кстати купить домен - копеечное дело.

копеечное. но за деньги. фискальная операция. паспорт. все дела.

и время.

Домены третьего уровня - бесплатны. А корневой второго - вообще может ни во что не резолвится

да. я об этом не подумал. третий уровень - как то "не солидно". а если длинный то вообще беспонтово.

 

благодаря блокировкам я узнал что есть tld .xyz