Heggi Опубликовано 20 января, 2015 · Жалоба Тот же github пока без Ipv6 адреса ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 20 января, 2015 · Жалоба Heggi чья это заморочка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 20 января, 2015 · Жалоба karpa13a А смотря с какой стороны смотреть. Вот когда github заблочат очередной раз, то это будет уже моя заморочка как на него попасть. И даже то, что я запилил Ipv6 - мне не поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 22 января, 2015 · Жалоба Не Роскомнадзор, а замглавы Рособрнадзора артикулирует запрет wiki... Интересно пойдет ли Роскомнадзор на подобную меру? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
abab Опубликовано 22 января, 2015 (изменено) · Жалоба То есть, ты считаешь что, великая страна победившая во второй мировой войне должна прогибаться под каждого студента придумавшего суперпупер крпитовалюту? Троллинг стал настолько толстым, что уже и не понятно, реально человек так думает или это просто сарказм. Я нипонял а отечественные билеты МММ чем данном случае принципиально хуже? Точно такое же платежное средство. Но я собственно не об этом кто знает комерческие/полукомерческие кошерные готовые (или с минимальной работой напильником) решения для блокировки некошерной/харамной инфо? Можно в личку Тут как то висела реклама чего то подобного в шапке форума но ссылку не сохранил! Изменено 22 января, 2015 пользователем abab Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 23 января, 2015 · Жалоба Еще одна инициатива в адрес провайдеров со стороны минкульта. Кто нибудь знает, что это за умники - группа компаний «Систематика» (ГКС)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 23 января, 2015 · Жалоба Еще одна инициатива в адрес провайдеров со стороны минкульта. Кто нибудь знает, что это за умники - группа компаний «Систематика» (ГКС)? https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0%D1%82%D0%B8%D0%BA%D0%B0_%28%D0%B3%D1%80%D1%83%D0%BF%D0%BF%D0%B0_%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D0%B9%29 Из известных мне подразделений (имели дело в том или ином виде) - "AND", "Энсис Технологии", "Стэп Лоджик Групп". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smoke Опубликовано 23 января, 2015 · Жалоба Еще одна инициатива в адрес провайдеров со стороны минкульта. Кто нибудь знает, что это за умники - группа компаний «Систематика» (ГКС)? Блин ну почему они не могут по такому госзаказу начать раутеры делать, хотябы класса микротиков. Реально бесят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 23 января, 2015 · Жалоба Еще одна инициатива в адрес провайдеров со стороны минкульта. Кто нибудь знает, что это за умники - группа компаний «Систематика» (ГКС)? Мне логика нравится: Организация по управлению правами на коллективной основе заключит с пользователями соглашение о предоставлении глобальной лицензии на контент. Они смогут скачивать его в интернете и записывать на электронные носители. Платить будут операторы... Организация будет приходить лично к каждому пользователю? А почему за пользователя должен платить я? Сколько же всего должен поставить несчастный, решивший стать провайдером... 1. Биллинг с хранением инфы в 3 года. 2. СОРМ (разумеется за счет казначейства...) 3. DPI-подобную хрень для фильтрации трафика. 4. Некую мифическую железяку от РКН для проверки п.3 5. DPI-подобную хрень для антипиратского начинание некоей группы компаний, которая решила лизнуть бесогона и срубить бабла... Я ничего не забыл? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GDCTester Опубликовано 27 января, 2015 · Жалоба Здравствуйте, уважаемые! Поиск по теме форума особо ничего не дал. Подскажите, пожалуйста, кто фильтрует через squid url_regex или dst. Какие ресурсы на это уходят: Тормозит безбожно - 2х xeon 5450 + 16GB RAM. Есть ли ускорение от применения rejik, dansguardian, squidguard по сравнению со стандартными url_regex? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 27 января, 2015 · Жалоба Здравствуйте, уважаемые! Поиск по теме форума особо ничего не дал. Подскажите, пожалуйста, кто фильтрует через squid url_regex или dst. Какие ресурсы на это уходят: Тормозит безбожно - 2х xeon 5450 + 16GB RAM. Есть ли ускорение от применения rejik, dansguardian, squidguard по сравнению со стандартными url_regex? А Вы весь трафик через сквид прогоняете или только те Ip ктр в реестре ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GDCTester Опубликовано 28 января, 2015 · Жалоба Весь. Совет Ваш понял. Подумаю. Кто еще как делает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 28 января, 2015 · Жалоба Подскажите, пожалуйста, кто фильтрует через squid url_regex или dst. Какие ресурсы на это уходят: Тормозит безбожно - 2х xeon 5450 + 16GB RAM. Есть ли ускорение от применения rejik, dansguardian, squidguard по сравнению со стандартными url_regex? squid url_regex на большом количестве url url_regex жестко тормозит (по опыту), в сквидовских мурзилках это тоже проскакивало. на малом количестве url_regex ведет себя нормально Итог: либо переходить на фильтр по dst_domain - и резать по доменам, сквид отрабатывет шустро либо squidguard/rejik. Squidguard работает нормально, rejik не пробовал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 28 января, 2015 · Жалоба Подскажите, пожалуйста, кто фильтрует через squid url_regex или dst. Какие ресурсы на это уходят: Тормозит безбожно - 2х xeon 5450 + 16GB RAM. Есть ли ускорение от применения rejik, dansguardian, squidguard по сравнению со стандартными url_regex? squid url_regex на большом количестве url url_regex жестко тормозит (по опыту), в сквидовских мурзилках это тоже проскакивало. на малом количестве url_regex ведет себя нормально Итог: либо переходить на фильтр по dst_domain - и резать по доменам, сквид отрабатывет шустро либо squidguard/rejik. Squidguard работает нормально, rejik не пробовал. А разве не корректно СНАЧАЛА пропускать ВЕСЬ поток наверх через фаервольные фильтры, и ТОЛЬКО ТО, что выцепилось по protocol==tcp И port==http И dstIP==IP_из_zapret.info уже заворачивать на Squid/proxy на проверку url_regexp и ТОЛЬКО при совпадении с URL_из_zapret.info перенаправлять на заглушку? Вроде для iptables есть такая штука ipset. Сам вручную не пробовал, у меня в Mikrotik уже есть списки IP-адресов -- через них одним правилом фильтруется. Потому что в запретах уже 3.5К записей (IP), и тенденции к уменьшению нет. Подсети они анонсировали, но пока тоже без экземпляров. Если же весь поток ДАЖЕ ТОЛЬКО HTTP заворачивать на прокси -- у мало-мальски нагруженного провайдера никаких ресурсов сервера не хватит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 28 января, 2015 · Жалоба А кто-нибудь эксплуатирует схему с L7 фильтром на микротике? Поделитесь фидбэком? Сам пока вижу вариант разворачивать ip-адреса разрезолвенных доменных имен расстрельного списка с помощью анонсов в ядро по IGP для транзита пользовательского трафика через выделенный под это дело микротик. Ну а там смотреть только http запросы и дропать неугодных. Бонусом видится нормальная производительность(необходимо проверять на практике), отсутствие проблем с подменой ip-адреса ну и байпас в случае застрела роутера. Минус вижу в том, что красивую картинку на забаненном URL показывать видимо не получится, будет просто недоступность страницы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 января, 2015 · Жалоба Бонусом видится нормальная производительность Не будет тут производительности. Фильтрация L7 на Микротике загнется уже на третьем десятке мегабит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 28 января, 2015 · Жалоба Народ, а кто поделится принципами блокировки https ? Ну понятно можно блокировать целыми доменами, но жалко Lostfilm :) Какие еще варианты ? (помимо грубых с отравлением DNS итд) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 28 января, 2015 · Жалоба Никаких нормальных вариантов нет. Из ненормальных - троян на пользовательские компьютеры или MITM-атака (трафик перенаправляется на провайдерский прокси-сервер, который выдает себя за чужой сайт и подсовывает самодельный сертификат). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pers123 Опубликовано 28 января, 2015 (изменено) · Жалоба Народ, а кто поделится принципами блокировки https ? Ну понятно можно блокировать целыми доменами, но жалко Lostfilm :) Какие еще варианты ? (помимо грубых с отравлением DNS итд) Операторского уровня нет более тонких решений, чем блокирование домена или сервера целиком. Единственным аттрибутом, к которому можно привязать фильтр выше IP уровня для протоколов SSL/TLS является certificate given name или иногда SNI - то есть, в любом случае это имя сервера или домена, на который выписан сертификат. В корпоративной сети можно завести свой внутренний корпоративный удостоверяющий центр и завести свой собственный SSL proxy директивно прописываемый клиентам с использованием корпоративного сертификата на внутреннем плече соединения. С точки зрения оператора и его клиента это фактически man-in-the-middle, потому, как никто не пропишет принудительно всем клиентам собственный сертификат для проксирования на проходе. Изменено 28 января, 2015 пользователем pers123 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 28 января, 2015 · Жалоба Бонусом видится нормальная производительность Не будет тут производительности. Фильтрация L7 на Микротике загнется уже на третьем десятке мегабит. А много ли там надо мегабит? На вскидку разве что ютьюб, но только новые tcp/80' сессии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 28 января, 2015 (изменено) · Жалоба Народ, а кто поделится принципами блокировки https ? Ну понятно можно блокировать целыми доменами, но жалко Lostfilm :) Какие еще варианты ? (помимо грубых с отравлением DNS итд) Операторского уровня нет более тонких решений, чем блокирование домена или сервера целиком. Единственным аттрибутом, к которому можно привязать фильтр выше IP уровня для протоколов SSL/TLS является certificate given name или иногда SNI - то есть, в любом случае это имя сервера или домена, на который выписан сертификат. В корпоративной сети можно завести свой внутренний корпоративный удостоверяющий центр и завести свой собственный SSL proxy директивно прописываемый клиентам с использованием корпоративного сертификата на внутреннем плече соединения. С точки зрения оператора и его клиента это фактически man-in-the-middle, потому, как никто не пропишет принудительно всем клиентам собственный сертификат для проксирования на проходе. Вот мне почему то тоже кажется, что придется городить огород с SSL прокси и самоподписанными сертификатами. Уверен, что: 1) Это не всегда сработает. 2) Появится формальный повод наехать на нас ибо никто из клиентов таких удовольствий не заказывал. С другой стороны вижу постоянный рост https сайтов в списке блокировки и рано или поздно все торговцы грибами и наркотой эту фишку просекут и переедут на этот протокол. И тогда вся наша возня с DPI окажется не имеющей смысла (ибо внутрь сессии https оно никак не залезет). Один хрен придется все лочить оптом по IP как Ростелеком (не к ночи будь упомянут). Я прав? Изменено 28 января, 2015 пользователем Ilya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 28 января, 2015 · Жалоба С другой стороны вижу постоянный рост https сайтов в списке блокировки и рано или поздно все торговцы грибами и наркотой эту фишку просекут и переедут на этот протокол. ну заблокируется целиком домен. ни какой разницы. даже торговцам хуже. так они http урл изменили и все. а этак после каждой блокировки https новый домен за деньги покупать и ждать когда dns расползется.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Опубликовано 28 января, 2015 · Жалоба С другой стороны вижу постоянный рост https сайтов в списке блокировки и рано или поздно все торговцы грибами и наркотой эту фишку просекут и переедут на этот протокол. ну заблокируется целиком домен. ни какой разницы. даже торговцам хуже. так они http урл изменили и все. а этак после каждой блокировки https новый домен за деньги покупать и ждать когда dns расползется.. Заблокируется однако не домен, а IP который завтра они тупо поменяют. И кстати купить домен - копеечное дело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 января, 2015 · Жалоба Напомнить, что с сайтом Навального делали? Домены третьего уровня - бесплатны. А корневой второго - вообще может ни во что не резолвится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 28 января, 2015 · Жалоба Заблокируется однако не домен, а IP который завтра они тупо поменяют. И кстати купить домен - копеечное дело. копеечное. но за деньги. фискальная операция. паспорт. все дела. и время. Домены третьего уровня - бесплатны. А корневой второго - вообще может ни во что не резолвится да. я об этом не подумал. третий уровень - как то "не солидно". а если длинный то вообще беспонтово. благодаря блокировкам я узнал что есть tld .xyz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...