Wingman Опубликовано 3 января, 2015 · Жалоба Не нужно заниматься самодеятельностью. Если в реестре указан домен или ссылка, то именно и их нужно блокировать, а не ресолвить IP-адрес. СОРМ для других задач. Он не блокирует трафик, а осуществляет перехват трафика по заданным критериям. Вы вот по своему опыту говорите, или исходя из "оно должно так быть"? К нам когда проверка приходила - их интересует ТОЛЬКО результат, который покажет программка. Кто и что присылает, в какой форме, что и как резолвится - им плевать. Но потом по желанию вы можете попробовать посудиться, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tracert Опубликовано 4 января, 2015 · Жалоба Слушайте, а как проверка осуществляется? Просто как оно понимает, что вместо нужной страницы там заглушка? Я же перенаправил и выдаю обычную страницу с инфой о блокировке, ошибок нет, или обязательно выдавать с кодом 403 странички? Резолвлю то я по доменному имени, просто чтобы не весь трафик отправлять на Squid то, хотя конечно первые ощущения от него что через него работает быстрее чем без него. Но это пока нагрузка минимальная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
junjunk2 Опубликовано 4 января, 2015 · Жалоба Tracert Нормой считается получения кода 301 или 302 Redirect. Нам выставляли претензию даже когда на сайте выходил 404 Not found. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 4 января, 2015 · Жалоба Слушайте, а как проверка осуществляется? Просто как оно понимает, что вместо нужной страницы там заглушка? Я же перенаправил и выдаю обычную страницу с инфой о блокировке, ошибок нет, или обязательно выдавать с кодом 403 странички? Резолвлю то я по доменному имени, просто чтобы не весь трафик отправлять на Squid то, хотя конечно первые ощущения от него что через него работает быстрее чем без него. Но это пока нагрузка минимальная. Пока я брал IP из реестра, и блочил по Ip из реестра - имел 96% блокировки. Я был рад, но радость была омрачена не РКН, а прокуратурой. Ей достаточно одного незаблоченного, чтобы выкатить предписание. Поэтому я, как ленивый админ, просто поставил dpi сторонний. Успел до роста бакса :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tracert Опубликовано 4 января, 2015 · Жалоба Так, а https то как с DPI для спокойствия совместим? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tracert Опубликовано 4 января, 2015 · Жалоба Сделал страничку, сижу думаю, номер решение и дату и орган юзеру выдаю, и передупреждение о попытке доступа к запрещенной информации. Может еще приписочку сделать - Уважаемый Иван Иванович, не пытайтесь бежать, по вашему адресу уже выехала группа для задержания, соберите, мыло, тапочки и сухари и ждите никому не сообщая о произошедшем и не совершая никаких телефонных звонков (это чтобы техсапорт не задалбывали)... а че, данные по по юзеру то тоже есть. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 4 января, 2015 · Жалоба Может еще приписочку сделать - Уважаемый Иван Иванович, не пытайтесь бежать, по вашему адресу уже выехала группа для задержания... Зря время потратите. Больше 90% блокировок - блокировка рекламы с баненых сайтов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tracert Опубликовано 5 января, 2015 · Жалоба Сижу и понимаю, что наряду со сканированием портов, можно точно так же банить и тестировальщиков "чистоты" инета, запросил c десяток подряд запрещенных ресурсов и в бан на час отправляйся. С оповещением админу емейлом. Что мол с такого-то абонента пытались сканировать реестр запрещенных ресурсов. ***, весь Ютюб бегает через проксю из-за двух роликов, одна Новодворская про Украину вещает, а другой чувак что-то там себе под нос рассказывает про Аллаха. Шиза косила их ряды похоже. Уже кажется что совсем горизонт планирования отсутствует у людей. Алкоголь 24 часа в Новосибирске, нет блин не закрыли сайт, не сделали контрольную закупку и не посадили, кто там закон нарушает - в реестр добавли и как бы проблема решена. Да еще и на русском языке внесли, отличились! Я серьезно не знал раньше, где купить наркоту в Инете, по поиску на Яндексе все это говно не находилось, вот теперь есть реестр особо-достойных сайтов. Продажи наверное поперли у людей... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tracert Опубликовано 14 января, 2015 · Жалоба Прошла проверка, не было выявлено ни одного открытого сайта из реестра, странный у них софт, проблемы то на самом деле были. Нашел в момент проверки кое-какие свои косяки, забыл что в доменных именах может быть - (дефис). Смотрю навалилось в реестр новых блокировок ютба, все какой-то бред со 199 просомотрами, из которых 198 видимо уже после добавления произошли. Ну кроме последнего слова Навального в суде по делу Ив-Роше :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 14 января, 2015 · Жалоба Ну надеюсь вы понимаете зачем нужен был этот реестр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 14 января, 2015 · Жалоба Вообще бред, вместо решения своих проблем, имея СОРМ на всех сетях связи, уже давно могли бы поименно переписать и поставить на учет всех, кто регулярно ходит на сайты с детской порнухой, и посадить тех кто туда по SSH ходит. Не для этого огород городили. Цель немного другая - борьба с инакомыслием. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tracert Опубликовано 14 января, 2015 · Жалоба Ну говна который надо подальше задвинуть там тоже много в реестре, но в моей голове диссонанс насчет зачем нужен СОРМ с таким реестром. Все вроде просто переписываем всех кто регулярно посещает сайты допустим с детской порнухой поименно, СОРМ это позволяет, создаем реестр неблагонадежных людей, чтобы в случае каких либо проблем в первую очередь искать среди этих людей. А если кто туда по SSH полез и успешно авторизовался - высылаете группу задержания, кладете на пол всех в помещение, изымаете компы и разбираетесь. Но смотря на статистику использования ТОР в России https://metrics.torproject.org/userstats-relay-country.html?graph=userstats-relay-country&start=2010-10-16&end=2015-01-14&country=ru&events=off понятно к чему приводят решения "партии и правительства". Еще немного работы в таком ключе и не смогут вообще искать людей, даже если очень захотят. Возможно запретят использование шифрования в сети и VPN, но как же тогда реестр то скачивать?! Он же с шифрованием выдается :) В общем государство, похоже, расписывается в собственном бессилии и нежелании ловить реальных преступников, да и похоже это им не важно, важнее всего предотвратить всякую навальщину, и на этом пути преград нет. Я послушал речь Навального на ютюбе, и искренне не понимаю, почему речь произнесенная в Суде, в присутствии большого количества людей и где оратора никто не одергивает а просто сидят и смотрят в стол вдруг оказывается "информацией распространение которой на территории РФ запрещено". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 14 января, 2015 · Жалоба Врядли удивлю - но tor нюхается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tracert Опубликовано 15 января, 2015 · Жалоба Врядли удивлю - но tor нюхается С Москвой - Питером наверное сложно, но вод представьте себе допустим 2012 год, Нижний Урюпинск, допустим украли ребенка, умные похитители решили спрятаться и общаются письмо о выкупе через TOR, просто когда пользователей этой сети в России было 50 тыс - вполне вероятно, что в эту сеть за последние сутки из этого города выходило не более 50 человек, была вероятность найти преступников через эту сеть изучив подробно, что это за 50 пользователей это были. Когда для просмотра Интернета штатным браузером станет TorBrowser, данная операция станет просто нереальной. Хоть уснифайся. Громкие блокировки, направленные на запугивание крупняка (Ютюб Фейсбук и тд) - были сильным катализатором роста пользователей ТОР сети. А попытки блокирования ТОР приведет в изменению алгоритма путем обфускации протокола, снифить и находить будет сложнее, полностью перекрыть его неудалось еще нигде, даже там где вообще запрещен SSL в масштабах страны. Кстати то, о чем я пищу косвенно подтверждается этим - http://izvestia.ru/news/551271 , ФСБ уже мешает ТОР в работе, ранее они такие инициативы не высказывали, а из всех госорганов с которыми мы общаемся, ФСБ с наибольшем понимаем относится к своей проблематике, понятно что им надо и понятно как они это собираются достигать. Вот только не понятно почему СОРМ так дорого стоит, что у них есть проблемы с его установкой у большинства небольших операторов, хотя и это они тоже понимают. Такое ощущение, что интересы государственные просто меркнут перед коммерческими интересами некоторых особо приближенных господ. Интернет разрабатывался для устойчивой работы в случае ядерной войны, конечно излишняя централизация у нас в России делает возможность убить его проще, но надо быть совсем зарвавшимся депутатом наверное, чтобы думать, что он сможет его оперативно и окончательно заткнуть, запретить и не пущать. Но! Власти у нас умные, на самом деле, митинг против - вот вам митинг в поддержку, Навальный получил 30% в Москве - а вот он уже жалкий мошенник и жулик, проблемы с выборами - вот вам наш избирком и очень профессиональные зомботелеканалы. Вот люди оставляющие провластные комментарии на форумах и сайтах с 9 до 18 часов с пн по пятницу:) Но вот ум этот направлен это в основном в сторону удержания власти. В основном удается это блестяще! Попытки блокирования Интернета мне кажется неудачный опыт, кто ходил на грани или на каспарова, тот туда и ходит. А реестр стал - отличным подспорьем в поиске сайтов где "есть чё". Я бы, конечно, хотел чтобы власти больше занимались проблемой поимки наркодельцов и обеспечением безопасности граждан, дорогами и развитием инфраструктуры, а не херней. И не тратили на это наши деньги не в смысле мифических налогов, а в смысле стоимости всего того железа которое операторы вынужденны ставить и обслуживать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shamani Опубликовано 7 февраля, 2015 · Жалоба Уважаемый Wingman. Не получается собрать под Ubuntu 14.10 версия libnetfilter-queue-dev (1.0.2-2) CMake Error at CMakeLists.txt:22 (message): libnetfilter_queue.h not found! -- Configuring incomplete, errors occurred! See also "/usr/src/nfq_filter/build/CMakeFiles/CMakeOutput.log". See also "/usr/src/nfq_filter/build/CMakeFiles/CMakeError.log". вот что пишет в CMakeError.log. Determining if files libnetfilter_queue/libnetfilter_queue.h exist failed with the following output: Change Dir: /usr/src/nfq_filter/build/CMakeFiles/CMakeTmp Run Build Command:/usr/bin/make "cmTryCompileExec829022398/fast" /usr/bin/make -f CMakeFiles/cmTryCompileExec829022398.dir/build.make CMakeFiles/cmTryCompileExec829022398.dir/build make[1]: вход в каталог «/usr/src/nfq_filter/build/CMakeFiles/CMakeTmp» /usr/bin/cmake -E cmake_progress_report /usr/src/nfq_filter/build/CMakeFiles/CMakeTmp/CMakeFiles 1 Building C object CMakeFiles/cmTryCompileExec829022398.dir/CheckIncludeFiles.c.o /usr/bin/cc -o CMakeFiles/cmTryCompileExec829022398.dir/CheckIncludeFiles.c.o -c /usr/src/nfq_filter/build/CMakeFiles/CMakeTmp/CheckIncludeFiles.c In file included from /usr/src/nfq_filter/build/CMakeFiles/CMakeTmp/CheckIncludeFiles.c:2:0: /usr/include/libnetfilter_queue/libnetfilter_queue.h:60:11: error: unknown type name ‘uint32_t’ uint32_t mask, uint32_t flags); ^ /usr/include/libnetfilter_queue/libnetfilter_queue.h:60:26: error: unknown type name ‘uint32_t’ uint32_t mask, uint32_t flags); ^ /usr/include/libnetfilter_queue/libnetfilter_queue.h:137:50: error: unknown type name ‘uint16_t’ void nfq_nlmsg_cfg_put_cmd(struct nlmsghdr *nlh, uint16_t pf, uint8_t cmd); ^ /usr/include/libnetfilter_queue/libnetfilter_queue.h:137:63: error: unknown type name ‘uint8_t’ void nfq_nlmsg_cfg_put_cmd(struct nlmsghdr *nlh, uint16_t pf, uint8_t cmd); ^ /usr/include/libnetfilter_queue/libnetfilter_queue.h:138:53: error: unknown type name ‘uint8_t’ void nfq_nlmsg_cfg_put_params(struct nlmsghdr *nlh, uint8_t mode, int range); ^ /usr/include/libnetfilter_queue/libnetfilter_queue.h:139:54: error: unknown type name ‘uint32_t’ void nfq_nlmsg_cfg_put_qmaxlen(struct nlmsghdr *nlh, uint32_t qmaxlen); ^ /usr/include/libnetfilter_queue/libnetfilter_queue.h:142:55: error: unknown type name ‘uint32_t’ void nfq_nlmsg_verdict_put_mark(struct nlmsghdr *nlh, uint32_t mark); ^ /usr/include/libnetfilter_queue/libnetfilter_queue.h:143:71: error: unknown type name ‘uint32_t’ void nfq_nlmsg_verdict_put_pkt(struct nlmsghdr *nlh, const void *pkt, uint32_t pktlen); ^ CMakeFiles/cmTryCompileExec829022398.dir/build.make:57: ошибка выполнения рецепта для цели «CMakeFiles/cmTryCompileExec829022398.dir/CheckIncludeFiles.c.o» make[1]: *** [CMakeFiles/cmTryCompileExec829022398.dir/CheckIncludeFiles.c.o] Ошибка 1 make[1]: выход из каталога «/usr/src/nfq_filter/build/CMakeFiles/CMakeTmp» Makefile:114: ошибка выполнения рецепта для цели «cmTryCompileExec829022398/fast» make: *** [cmTryCompileExec829022398/fast] Ошибка 2 Source: /* */ #include <libnetfilter_queue/libnetfilter_queue.h> int main(){return 0;} сам файл libnetfilter_queue.h есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 7 февраля, 2015 · Жалоба Попробуйте добавить "#include <stdint.h>" в файл libnetfilter_queue.h http://comments.gmane.org/gmane.linux.altlinux.sysadmins/19757 похоже на баг в nfqueue Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 20 февраля, 2015 · Жалоба Wingman А у меня такая беда на CentOS release 6.3 [root@saw build]# cmake ../ -- The C compiler identification is GNU 4.4.7 -- The CXX compiler identification is GNU 4.4.7 -- Check for working C compiler: /usr/bin/cc -- Check for working C compiler: /usr/bin/cc -- works -- Detecting C compiler ABI info -- Detecting C compiler ABI info - done -- Check for working CXX compiler: /usr/bin/c++ -- Check for working CXX compiler: /usr/bin/c++ -- works -- Detecting CXX compiler ABI info -- Detecting CXX compiler ABI info - done -- Checking for C++11 compiler -- Checking for C++11 compiler - unavailable CMake Error at CMakeLists.txt:10 (message): c++11 compatible compiler not found! -- Configuring incomplete, errors occurred! Вроде все компиляторы поставил... Не подскажите куда копнуть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 20 февраля, 2015 · Жалоба c++11 compatible compiler not found! Вроде все компиляторы поставил... Не подскажите куда копнуть? перестать использовать окаменелость? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 20 февраля, 2015 · Жалоба Окаменелость в смысле CentOS release 6.3 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 20 февраля, 2015 · Жалоба Окаменелость в смысле CentOS release 6.3 ? Именно. Либо ищите способ поставить свежий gcc/clang в centos. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 23 февраля, 2015 · Жалоба Установка родного свежего gсс на CentOS 6.x wget http://people.centos.org/tru/devtools-2/devtools-2.repo -O /etc/yum.repos.d/devtools-2.repo yum install devtoolset-2-gcc devtoolset-2-gcc-c++ devtoolset-2-binutils scl enable devtoolset-2 bash Последняя команда запустит bash в нужном окружении. Иначе будет активен старый компилер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 24 февраля, 2015 · Жалоба Спасибо DimaM, собралось)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 24 февраля, 2015 · Жалоба Кто использует nfq_filter от Wingman, подскажите как побороть данную ошибку? 24.02.2015 10:37:16: ERROR: ENOBUFS: App is not fast enough, increase socket buffer size by nfnl_rcvbufsiz() Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shamani Опубликовано 12 марта, 2015 · Жалоба Уважаемый Wingman. У меня такая же ошибка временами проскакивает. Пожалуйста прокомментируйте! Кто использует nfq_filter от Wingman, подскажите как побороть данную ошибку? 24.02.2015 10:37:16: ERROR: ENOBUFS: App is not fast enough, increase socket buffer size by nfnl_rcvbufsiz() Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
QWE Опубликовано 12 марта, 2015 · Жалоба не стал просматривать ветку. Может кто и знает уже. Как обойти блокировку сайтов. Заходим на google переводчик https://translate.google.ru/ выбираем перевод с украинского на русский вбиваем запрещенную ссылку читаем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...