1. Для блокировка используем

[Wingman]

Не нужно заниматься самодеятельностью.

Если в реестре указан домен или ссылка, то именно и их нужно блокировать, а не ресолвить IP-адрес.

СОРМ для других задач. Он не блокирует трафик, а осуществляет перехват трафика по заданным критериям.

 

Вы вот по своему опыту говорите, или исходя из "оно должно так быть"?

 

К нам когда проверка приходила - их интересует ТОЛЬКО результат, который покажет программка. Кто и что присылает, в какой форме, что и как резолвится - им плевать.

 

Но потом по желанию вы можете попробовать посудиться, да.

[Tracert]

Слушайте, а как проверка осуществляется? Просто как оно понимает, что вместо нужной страницы там заглушка? Я же перенаправил и выдаю обычную страницу с инфой о блокировке, ошибок нет, или обязательно выдавать с кодом 403 странички?

 

Резолвлю то я по доменному имени, просто чтобы не весь трафик отправлять на Squid то, хотя конечно первые ощущения от него что через него работает быстрее чем без него. Но это пока нагрузка минимальная.

[junjunk2]

Tracert

Нормой считается получения кода 301 или 302 Redirect. Нам выставляли претензию даже когда на сайте выходил 404 Not found.

[YuryD]

Слушайте, а как проверка осуществляется? Просто как оно понимает, что вместо нужной страницы там заглушка? Я же перенаправил и выдаю обычную страницу с инфой о блокировке, ошибок нет, или обязательно выдавать с кодом 403 странички?

 

Резолвлю то я по доменному имени, просто чтобы не весь трафик отправлять на Squid то, хотя конечно первые ощущения от него что через него работает быстрее чем без него. Но это пока нагрузка минимальная.

 

Пока я брал IP из реестра, и блочил по Ip из реестра - имел 96% блокировки. Я был рад, но радость была омрачена не РКН, а прокуратурой. Ей достаточно одного незаблоченного, чтобы выкатить предписание. Поэтому я, как ленивый админ, просто поставил dpi сторонний. Успел до роста бакса :)

[Tracert]

Так, а https то как с DPI для спокойствия совместим?

[Tracert]

Сделал страничку, сижу думаю, номер решение и дату и орган юзеру выдаю, и передупреждение о попытке доступа к запрещенной информации. Может еще приписочку сделать - Уважаемый Иван Иванович, не пытайтесь бежать, по вашему адресу уже выехала группа для задержания, соберите, мыло, тапочки и сухари и ждите никому не сообщая о произошедшем и не совершая никаких телефонных звонков (это чтобы техсапорт не задалбывали)... а че, данные по по юзеру то тоже есть. :)

[snvoronkov]

Может еще приписочку сделать - Уважаемый Иван Иванович, не пытайтесь бежать, по вашему адресу уже выехала группа для задержания...

Зря время потратите. Больше 90% блокировок - блокировка рекламы с баненых сайтов.

[Tracert]

Сижу и понимаю, что наряду со сканированием портов, можно точно так же банить и тестировальщиков "чистоты" инета, запросил c десяток подряд запрещенных ресурсов и в бан на час отправляйся. С оповещением админу емейлом. Что мол с такого-то абонента пытались сканировать реестр запрещенных ресурсов. ***, весь Ютюб бегает через проксю из-за двух роликов, одна Новодворская про Украину вещает, а другой чувак что-то там себе под нос рассказывает про Аллаха. Шиза косила их ряды похоже. Уже кажется что совсем горизонт планирования отсутствует у людей. Алкоголь 24 часа в Новосибирске, нет блин не закрыли сайт, не сделали контрольную закупку и не посадили, кто там закон нарушает - в реестр добавли и как бы проблема решена. Да еще и на русском языке внесли, отличились! Я серьезно не знал раньше, где купить наркоту в Инете, по поиску на Яндексе все это говно не находилось, вот теперь есть реестр особо-достойных сайтов. Продажи наверное поперли у людей...

[Tracert]

Прошла проверка, не было выявлено ни одного открытого сайта из реестра, странный у них софт, проблемы то на самом деле были. Нашел в момент проверки кое-какие свои косяки, забыл что в доменных именах может быть - (дефис). Смотрю навалилось в реестр новых блокировок ютба, все какой-то бред со 199 просомотрами, из которых 198 видимо уже после добавления произошли. Ну кроме последнего слова Навального в суде по делу Ив-Роше :)

[Megas]

Ну надеюсь вы понимаете зачем нужен был этот реестр.

[vop]

Вообще бред, вместо решения своих проблем, имея СОРМ на всех сетях связи, уже давно могли бы поименно переписать и поставить на учет всех, кто регулярно ходит на сайты с детской порнухой, и посадить тех кто туда по SSH ходит.

 

Не для этого огород городили. Цель немного другая - борьба с инакомыслием.

[Tracert]

Ну говна который надо подальше задвинуть там тоже много в реестре, но в моей голове диссонанс насчет зачем нужен СОРМ с таким реестром. Все вроде просто переписываем всех кто регулярно посещает сайты допустим с детской порнухой поименно, СОРМ это позволяет, создаем реестр неблагонадежных людей, чтобы в случае каких либо проблем в первую очередь искать среди этих людей. А если кто туда по SSH полез и успешно авторизовался - высылаете группу задержания, кладете на пол всех в помещение, изымаете компы и разбираетесь. Но смотря на статистику использования ТОР в России https://metrics.torproject.org/userstats-relay-country.html?graph=userstats-relay-country&start=2010-10-16&end=2015-01-14&country=ru&events=off понятно к чему приводят решения "партии и правительства". Еще немного работы в таком ключе и не смогут вообще искать людей, даже если очень захотят. Возможно запретят использование шифрования в сети и VPN, но как же тогда реестр то скачивать?! Он же с шифрованием выдается :) В общем государство, похоже, расписывается в собственном бессилии и нежелании ловить реальных преступников, да и похоже это им не важно, важнее всего предотвратить всякую навальщину, и на этом пути преград нет. Я послушал речь Навального на ютюбе, и искренне не понимаю, почему речь произнесенная в Суде, в присутствии большого количества людей и где оратора никто не одергивает а просто сидят и смотрят в стол вдруг оказывается "информацией распространение которой на территории РФ запрещено".

[SyJet]

Врядли удивлю - но tor нюхается

[Tracert]

Врядли удивлю - но tor нюхается

 

С Москвой - Питером наверное сложно, но вод представьте себе допустим 2012 год, Нижний Урюпинск, допустим украли ребенка, умные похитители решили спрятаться и общаются письмо о выкупе через TOR, просто когда пользователей этой сети в России было 50 тыс - вполне вероятно, что в эту сеть за последние сутки из этого города выходило не более 50 человек, была вероятность найти преступников через эту сеть изучив подробно, что это за 50 пользователей это были. Когда для просмотра Интернета штатным браузером станет TorBrowser, данная операция станет просто нереальной. Хоть уснифайся. Громкие блокировки, направленные на запугивание крупняка (Ютюб Фейсбук и тд) - были сильным катализатором роста пользователей ТОР сети. А попытки блокирования ТОР приведет в изменению алгоритма путем обфускации протокола, снифить и находить будет сложнее, полностью перекрыть его неудалось еще нигде, даже там где вообще запрещен SSL в масштабах страны.

 

Кстати то, о чем я пищу косвенно подтверждается этим - http://izvestia.ru/news/551271 , ФСБ уже мешает ТОР в работе, ранее они такие инициативы не высказывали, а из всех госорганов с которыми мы общаемся, ФСБ с наибольшем понимаем относится к своей проблематике, понятно что им надо и понятно как они это собираются достигать. Вот только не понятно почему СОРМ так дорого стоит, что у них есть проблемы с его установкой у большинства небольших операторов, хотя и это они тоже понимают. Такое ощущение, что интересы государственные просто меркнут перед коммерческими интересами некоторых особо приближенных господ.

 

Интернет разрабатывался для устойчивой работы в случае ядерной войны, конечно излишняя централизация у нас в России делает возможность убить его проще, но надо быть совсем зарвавшимся депутатом наверное, чтобы думать, что он сможет его оперативно и окончательно заткнуть, запретить и не пущать.

 

Но! Власти у нас умные, на самом деле, митинг против - вот вам митинг в поддержку, Навальный получил 30% в Москве - а вот он уже жалкий мошенник и жулик, проблемы с выборами - вот вам наш избирком и очень профессиональные зомботелеканалы. Вот люди оставляющие провластные комментарии на форумах и сайтах с 9 до 18 часов с пн по пятницу:) Но вот ум этот направлен это в основном в сторону удержания власти. В основном удается это блестяще! Попытки блокирования Интернета мне кажется неудачный опыт, кто ходил на грани или на каспарова, тот туда и ходит. А реестр стал - отличным подспорьем в поиске сайтов где "есть чё".

 

Я бы, конечно, хотел чтобы власти больше занимались проблемой поимки наркодельцов и обеспечением безопасности граждан, дорогами и развитием инфраструктуры, а не херней. И не тратили на это наши деньги не в смысле мифических налогов, а в смысле стоимости всего того железа которое операторы вынужденны ставить и обслуживать.

[shamani]

Уважаемый Wingman.

Не получается собрать под Ubuntu 14.10

версия libnetfilter-queue-dev (1.0.2-2)

CMake Error at CMakeLists.txt:22 (message):

libnetfilter_queue.h not found!

 

 

-- Configuring incomplete, errors occurred!

See also "/usr/src/nfq_filter/build/CMakeFiles/CMakeOutput.log".

See also "/usr/src/nfq_filter/build/CMakeFiles/CMakeError.log".

 

вот что пишет в CMakeError.log.

 

 

Determining if files libnetfilter_queue/libnetfilter_queue.h exist failed with the following output:

Change Dir: /usr/src/nfq_filter/build/CMakeFiles/CMakeTmp

 

Run Build Command:/usr/bin/make "cmTryCompileExec829022398/fast"

/usr/bin/make -f CMakeFiles/cmTryCompileExec829022398.dir/build.make CMakeFiles/cmTryCompileExec829022398.dir/build

make[1]: вход в каталог «/usr/src/nfq_filter/build/CMakeFiles/CMakeTmp»

/usr/bin/cmake -E cmake_progress_report /usr/src/nfq_filter/build/CMakeFiles/CMakeTmp/CMakeFiles 1

Building C object CMakeFiles/cmTryCompileExec829022398.dir/CheckIncludeFiles.c.o

/usr/bin/cc -o CMakeFiles/cmTryCompileExec829022398.dir/CheckIncludeFiles.c.o -c /usr/src/nfq_filter/build/CMakeFiles/CMakeTmp/CheckIncludeFiles.c

In file included from /usr/src/nfq_filter/build/CMakeFiles/CMakeTmp/CheckIncludeFiles.c:2:0:

/usr/include/libnetfilter_queue/libnetfilter_queue.h:60:11: error: unknown type name ‘uint32_t’

uint32_t mask, uint32_t flags);

^

/usr/include/libnetfilter_queue/libnetfilter_queue.h:60:26: error: unknown type name ‘uint32_t’

uint32_t mask, uint32_t flags);

^

/usr/include/libnetfilter_queue/libnetfilter_queue.h:137:50: error: unknown type name ‘uint16_t’

void nfq_nlmsg_cfg_put_cmd(struct nlmsghdr *nlh, uint16_t pf, uint8_t cmd);

^

/usr/include/libnetfilter_queue/libnetfilter_queue.h:137:63: error: unknown type name ‘uint8_t’

void nfq_nlmsg_cfg_put_cmd(struct nlmsghdr *nlh, uint16_t pf, uint8_t cmd);

^

/usr/include/libnetfilter_queue/libnetfilter_queue.h:138:53: error: unknown type name ‘uint8_t’

void nfq_nlmsg_cfg_put_params(struct nlmsghdr *nlh, uint8_t mode, int range);

^

/usr/include/libnetfilter_queue/libnetfilter_queue.h:139:54: error: unknown type name ‘uint32_t’

void nfq_nlmsg_cfg_put_qmaxlen(struct nlmsghdr *nlh, uint32_t qmaxlen);

^

/usr/include/libnetfilter_queue/libnetfilter_queue.h:142:55: error: unknown type name ‘uint32_t’

void nfq_nlmsg_verdict_put_mark(struct nlmsghdr *nlh, uint32_t mark);

^

/usr/include/libnetfilter_queue/libnetfilter_queue.h:143:71: error: unknown type name ‘uint32_t’

void nfq_nlmsg_verdict_put_pkt(struct nlmsghdr *nlh, const void *pkt, uint32_t pktlen);

^

CMakeFiles/cmTryCompileExec829022398.dir/build.make:57: ошибка выполнения рецепта для цели «CMakeFiles/cmTryCompileExec829022398.dir/CheckIncludeFiles.c.o»

make[1]: *** [CMakeFiles/cmTryCompileExec829022398.dir/CheckIncludeFiles.c.o] Ошибка 1

make[1]: выход из каталога «/usr/src/nfq_filter/build/CMakeFiles/CMakeTmp»

Makefile:114: ошибка выполнения рецепта для цели «cmTryCompileExec829022398/fast»

make: *** [cmTryCompileExec829022398/fast] Ошибка 2

 

Source:

/* */

#include <libnetfilter_queue/libnetfilter_queue.h>

 

 

int main(){return 0;}

 

сам файл libnetfilter_queue.h есть.

[Wingman]

Попробуйте добавить "#include <stdint.h>" в файл libnetfilter_queue.h

http://comments.gmane.org/gmane.linux.altlinux.sysadmins/19757

 

похоже на баг в nfqueue

[lumenok]

Wingman

А у меня такая беда на CentOS release 6.3

[root@saw build]# cmake ../
-- The C compiler identification is GNU 4.4.7
-- The CXX compiler identification is GNU 4.4.7
-- Check for working C compiler: /usr/bin/cc
-- Check for working C compiler: /usr/bin/cc -- works
-- Detecting C compiler ABI info
-- Detecting C compiler ABI info - done
-- Check for working CXX compiler: /usr/bin/c++
-- Check for working CXX compiler: /usr/bin/c++ -- works
-- Detecting CXX compiler ABI info
-- Detecting CXX compiler ABI info - done
-- Checking for C++11 compiler
-- Checking for C++11 compiler - unavailable
CMake Error at CMakeLists.txt:10 (message):
 c++11 compatible compiler not found!


-- Configuring incomplete, errors occurred!

 

Вроде все компиляторы поставил...

Не подскажите куда копнуть?

[^rage^]

 c++11 compatible compiler not found!

 

Вроде все компиляторы поставил...

Не подскажите куда копнуть?

перестать использовать окаменелость?

[lumenok]

Окаменелость в смысле CentOS release 6.3 ?

[^rage^]

Окаменелость в смысле CentOS release 6.3 ?

Именно. Либо ищите способ поставить свежий gcc/clang в centos.

[DimaM]

Установка родного свежего gсс на CentOS 6.x

wget http://people.centos.org/tru/devtools-2/devtools-2.repo -O /etc/yum.repos.d/devtools-2.repo

yum install devtoolset-2-gcc devtoolset-2-gcc-c++ devtoolset-2-binutils

scl enable devtoolset-2 bash

 

Последняя команда запустит bash в нужном окружении. Иначе будет активен старый компилер.

[lumenok]

Спасибо DimaM, собралось))

[lumenok]

Кто использует nfq_filter от Wingman, подскажите как побороть данную ошибку?

24.02.2015 10:37:16:	ERROR: ENOBUFS: App is not fast enough, increase socket buffer size by nfnl_rcvbufsiz()

[shamani]

Уважаемый Wingman.

У меня такая же ошибка временами проскакивает.

Пожалуйста прокомментируйте!

 

Кто использует nfq_filter от Wingman, подскажите как побороть данную ошибку?

24.02.2015 10:37:16:    ERROR: ENOBUFS: App is not fast enough, increase socket buffer size by nfnl_rcvbufsiz()

[QWE]

не стал просматривать ветку. Может кто и знает уже. Как обойти блокировку сайтов.

Заходим на google переводчик https://translate.google.ru/

выбираем перевод с украинского на русский

вбиваем запрещенную ссылку

читаем