1. Для блокировка используем

[a-zazell]

Здравствуйте, тема не нова, но все же. Для себя сформировал 3 основных варианта:

 

1. Блок по IP

2. DNS blackhole (ну это заводим зону с А 127.0.0.1)

3. DPI

 

3ий вариант точно не пройдет в силу масштаба предприятия.

2ой вариант пройдет, если прикрыть dns трафик наружу, ну как-то облачно и неуверенно.

 

Блокировка по IP - просто, быстро, надежно, НО!

Как происходит процедура (в моем случае): смотрим А запись, добавляем хост(ы) в табличку, форвардим все запросы на 80,443,8080 порты к хостам из таблички на нашу страничку с "Приветствием".

 

Но что мешает взять IP адреса популярных ресурсов, повесить как А запись на заблокированный домен,и угарать. Еще веселее, если идет блокировка всего трафика с IP.

 

Ждем 1го Ноября и реестра...

Edited February 12, 2014 by a-zazell

[Alex/AT]

Для того, что будет прописано в реестре как IP - блокировка по IP. Полная, без всяких портов.

Для того, что будет прописано как URL - по DNS, псевдозоной.

Заблокируют "популярные ресурсы" - ССЗБ, страничка однозначно будет выводить на сайт с указанием источника блокировки.

Edited October 29, 2012 by Alex/AT

[s.lobanov]

Можно комбинировать решения. Например IP+DNS+DPI, т.е. блокировать IP если явно указан IP, блокировать домен, если указан только домен и заворачивать на DPI трафик с тех IP, для которых указаны url, таким образом не придётся гнать весь трафик через DPI

[a-zazell]

Можно комбинировать решения. Например IP+DNS+DPI, т.е. блокировать IP если явно указан IP, блокировать домен, если указан только домен и заворачивать на DPI трафик с тех IP, для которых указаны url, таким образом не придётся гнать весь трафик через DPI

 

Да, спасибо, в этом направлении думал. Поднять зоны на DNS, что отсечет значительную часть запросов. А если идет запрос на хост из списка, то направлять его на squid (ipfw fwd), со сквидом не работал, тонкостей не знаю, будем читать...

 

Update: Вот тут обсуждалось кстати

Edited October 29, 2012 by a-zazell

[zoro]

Меня больше вот что интересует :)

"http://site1.ru/page1.html"

пример из

http://zapret-info.gov.ru/docs/description_for_operators_2012-10-26v1.2.pdf

 

<content id="1" includeTime="2012-01-01T01:01:01">

<decision date="2012-01-01" number="Решение №1" org="ФОИВ №1"/>

<url><![CDATA[http://site1.ru/page1.html]]></url>

<ip>1.1.1.1</ip>

</content>

[zoro]

Вопрос что у нас есть из программного DPI ?

напрмер под линукс?

[s.lobanov]

Вопрос что у нас есть из программного DPI ?

напрмер под линукс?

 

по сути, ничего серьёзного. есть простенький модуль string для iptables, который делает поиск подстроки в строке в пакете.

[ichthyandr]

моя имха - нужен аппаратный контент фильтр с анализом начала tcp соединения и http сессий, все остальное пляски с бубном. Если закон пройдет, скорее всего можно ожидать появления обязательной железки типа сорм-а

[bomberman]

нужен аппаратный контент фильтр с анализом

Так есть жеж..... ;)

DPI моей мечты

[ichthyandr]

Так есть жеж..... ;)

DPI моей мечты

спасибо за ссылку :)

[AlKov]

по сути, ничего серьёзного. есть простенький модуль string для iptables, который делает поиск подстроки в строке в пакете.

А возможно ли кроме блокировки с использованием string для iptables, сделать еще и редирект на страницу с уведомлением, почему "данный ресурс недоступен"?

А то ТП будет грустно объяснять каждому из "интересующихся", почему "не работает Интернет" (а в 90% случаев вопрос будет поставлен именно так).

 

P.S. Попытался реализовать сиё с помощью DNAT в цепочке PREROUTING, но как оказалось, string match "domain.ru" в ней не работает. Не ругается, но и не работает.. :(

[bomberman]

Что то не нравится мне эта фишка с string для iptables....

На сколько быстро это работает?

У кого то есть практика использования?

[AlKov]

Что то не нравится мне эта фишка с string для iptables....

На сколько быстро это работает?

У кого то есть практика использования?

Есть практика. Юзаю сиё для блокировки всяких "кавказов" (по прокуратурским постановлениям). В цепочке FORWARD работает.

Насчет насколько это быстро работает, сказать ничего не могу, не исследовал. При 800М на бордере с НАТ-ом проблем от этого не заметил.

Проблема в том, что в пользовательском браузере такая блокировка отображается как "недоступность" ресурса, что соотв. может вызвать "неадекватную реакцию" у юзеров..

Хотел вот прикрутить для редиректа на страницу с уведомлением, но как уже писал выше, не работает это в PREROUTING с DNAT-ом..

[ohfsgcscft]

Что то не нравится мне эта фишка с string для iptables....

На сколько быстро это работает?

У кого то есть практика использования?

Если запрос будет разбит на несколько пакетов большая вероятность пропустить то что нужно блокировать. Пока это не актуально, но кто знает какие плагины/локальные прокси народ себе понаставит.

[bomberman]

Хотел вот прикрутить для редиректа на страницу с уведомлением,

А если просто на оффсайте страничку, со списком блокируемых Вами URL. А потом уж что то додумать.

Если запрос будет разбит на несколько пакетов большая вероятность пропустить то что нужно блокировать. Пока это не актуально, но кто знает какие плагины/локальные прокси народ себе понаставит.

В том то и дело, что пока. Больше на заглушку временную похоже.

Тут наверное поможет лишь глубокий DPI. Уровня, примерно как я приводил ссылку )

Edited November 2, 2012 by bomberman

[AlKov]

А если просто на оффсайте страничку, со списком блокируемых Вами URL. А потом уж что то додумать.

Не вариант. Оффсайт посещают единицы, некоторые даже не знают о его существовании...

Больше на заглушку временную похоже.

Надеюсь, что так оно и будет.

Чиновники отчитаются об успешно проведённой операции под кодовым названием "Ветряные мельницы" , получат бабульки, отведенные на это дело и успокоятся до следующей "мусульманской кинЫ". ;)

Ну а сейчас хошь не хошь, надо как-то выкручиваться, особенно перед своими клиентами и постараться максимально свалить с себя ответственность за сей беспредел.

В глазах клиента всегда в первую очередь виноват провайдер последней мили..

[st_re]

А если просто на оффсайте страничку, со списком блокируемых Вами URL. А потом уж что то додумать.

Не вариант. Оффсайт посещают единицы, некоторые даже не знают о его существовании...

 

Очень даже вариант... Отдельные группы граждан будут благодарны списку с сайтами определенной тематики. Искать ничего не надо. А уж как пробраться через Ваш фильтр они найдут. Главное список есть и в гугле со странными запросами палиться не надо :)

 

Этакие Yellow Pages...

[kapa]

А если просто на оффсайте страничку, со списком блокируемых Вами URL. А потом уж что то додумать.

И сюда ссылку дайте, а то не все ещё с ЭЦП утрясли :)))

[bomberman]

Отдельные группы граждан будут благодарны списку с сайтами определенной тематики. Искать ничего не надо.

Ничего со временем это всё равно будет в сети. :)

А вообще, всё хорошо.... Какой закон, такое и решение )

[vop]

В том то и дело, что пока. Больше на заглушку временную похоже.

Тут наверное поможет лишь глубокий DPI. Уровня, примерно как я приводил ссылку )

 

Реально поможет только полицейский за спиной каждого интернет-пользователя. :)

[a-zazell]

В black-list более 70 доменов, сделал заглушку на DNS (ну понятно что для самых "простых" пользователей). По счетчикам за день (трафик до 1Гбит/с):

 

<rule number> 331 32731 fwd <ip>,403 tcp from any to table(125) dst-port 80 out xmit wan

А это снаружи к нам

<rule number>  3   132 deny tcp from table(125) 80,443 to any in recv wan

 

Правила для наглядности слегка изменены (=

На очереди squid transparent, при таком кол-ве пакетов думаю справится. А в табличке 125 все ip адреса из А записей.

[AlKov]

В black-list более 70 доменов...

...А в табличке 125 все ip адреса из А записей.

Гм.. Так получается самая что ни есть банальная блокировка по IP.

Для чего тут black-list с доменами? Только для того, чтобы выцепить нужные IP?

[a-zazell]

Гм.. Так получается самая что ни есть банальная блокировка по IP.

Для чего тут black-list с доменами? Только для того, чтобы выцепить нужные IP?

 

Это подготовка, идея такая

[6yktonox]

Хм. Кому-нибудь удалось корректно подружить tproxy и nginx(не в freebsd)?

[s.lobanov]

по сути, ничего серьёзного. есть простенький модуль string для iptables, который делает поиск подстроки в строке в пакете.

А возможно ли кроме блокировки с использованием string для iptables, сделать еще и редирект на страницу с уведомлением, почему "данный ресурс недоступен"?

А то ТП будет грустно объяснять каждому из "интересующихся", почему "не работает Интернет" (а в 90% случаев вопрос будет поставлен именно так).

 

P.S. Попытался реализовать сиё с помощью DNAT в цепочке PREROUTING, но как оказалось, string match "domain.ru" в ней не работает. Не ругается, но и не работает.. :(

 

1. это нельзя сделать силами только iptables и обычных веб-серверов по той причине, что сам HTTP-запрос делается уже после установления tcp-сессии. и если вы даже зарулите трафик на свой сервер, то он будет видеть просто какой-то трафик(у него не будет tcp-сессии)

 

2. поаккуратнее со string, если вы блокируется строчку "watch?v=XXX", то вы блокируете ещё и страничку, которая просто даёт ссылку(если искомая подстрока не будет в разных IP-пакетах)