Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

С чего бы? Минкомсвязи официально заявляло, что действующее законодательство не содержит запрета анонимайзеров и прокси.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотя в конфигурационных файлах nfqfilter`а все эти ссылки присутствуют. Трафик идет 100% через nfqfilter. В чем может быть проблемма?

 

Обновил конфигуратор, проверьте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С чего бы? Минкомсвязи официально заявляло, что действующее законодательство не содержит запрета анонимайзеров и прокси.

 

Запрета на анонимайзеры нет, а вот размещать инструкции на странице блокировки - есть. Одного такого ушлого провайдера уже нахлобучили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотя в конфигурационных файлах nfqfilter`а все эти ссылки присутствуют. Трафик идет 100% через nfqfilter. В чем может быть проблемма?

 

Обновил конфигуратор, проверьте.

Со своего ПК странички заблокировались. Подал запрос в РЧЦ на очередную тестовую прогонку всего реестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nma, так проверьте с помощью программы самостоятельно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно еще для верности запретить мелкие пакеты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Запрета на анонимайзеры нет, а вот размещать инструкции на странице блокировки - есть. Одного такого ушлого провайдера уже нахлобучили.

 

Есть ссылка почитать?

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, если чиновники из РКН поставят маленький MTU - то:

function init (args)
   local needs = {}
   needs["payload"] = tostring(true)
   math.randomseed(os.time())
   return needs
end


function printf(args)
io.write(string.format(args))
end

function match(args)
   	for k,v in pairs(args) do
	if tostring(k) == "payload" then
		a = tostring(v)
		if a:find("GET") and  a:find("Connection:") then
			return 0
		end
	return 1
	end
end
end 

return 0
--eof

Этот скрипт добавить в правила suricat'ы. Скоро я попробую tcp-reassembly на lua реализовать.

Этот скрипт блокирует мелкие пакеты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За то, что уже наказали это я поторопился, но это только начало. А по рекламу анонимайзера вот: http://www.rbc.ru/newspaper/2016/05/20/573c92b79a794780816dd29a

 

Тут даже круче, нахлобучивать смогут не только за станицу-заглушку, а за любое упоминание в любом месте сайта оператора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите годную чекалку по реестру.

Сам пользуюсь вот такой https://github.com/poohber/rknscan.

Еще сам писал на pycurl, но было много проблем с резолвингом хостов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

max1976, если смотреть видео с www.youtube.com в хроме , то nfqfilter пропускает блокируемые ссылки:

2016-06-24 09:16:00.004 [2846] Debug PktAnalyzer 1 - Not http protocol. Protocol is 0/188 from x:46740 to 173.194.71.198:443

2016-06-24 09:16:00.129 [2846] Debug PktAnalyzer 2 - Not http protocol. Protocol is 0/188 from x:46740 to 173.194.71.198:443

2016-06-24 09:16:00.154 [2846] Debug PktAnalyzer 2 - Not http protocol. Protocol is 0/188 from x:46740 to 173.194.71.198:443

 

Через firefox отлично блокирует. Может из-за особенностей QUIC?

Изменено пользователем nma

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прилетело сегодня от РКН:

 

Порядок блокирования запрещённых ресурсов, которые имеют соответствующие маркеры (флажки) "блокировать по доменному имени" или "блокировать по IP" должен соответствовать пунктам 6 и 7 Рекомендаций, которые утверждены распоряжением Роскомнадзора от 07.10.2015 №11 (есть на eais.rkn.gov.ru). Обращаю внимание, что согласно п.6 при отсутствии в выгрузке информации об указателе страницы (URL), необходимо ограничивать доступ ко всему ресурсу, вкл. доменные имена нижестоящего уровня. Например: в выгрузке - site.com, ограничению подлежат и site.com, и *.site.com (например: yaroslavl.site.com). А согласно п.7 при отсутствии в выгрузке информации об указателе страницы (URL) и о доменном имени и при наличии информации о сетевом адресе либо ip-подсети, операторам связи необходимо ограничивать доступ по указанному сетевому адресу либо ip-подсети, ВКЛЮЧАЯ ВСЕ СЕТЕВЫЕ ПОРТЫ (случай мобильных приложений).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну хорошо, TCP/UDP уже запретили, хотя бы остальные протоколы не трогайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прилетело сегодня от РКН:

 

Порядок блокирования запрещённых ресурсов, которые имеют соответствующие маркеры (флажки) "блокировать по доменному имени" или "блокировать по IP" должен соответствовать пунктам 6 и 7 Рекомендаций, которые утверждены распоряжением Роскомнадзора от 07.10.2015 №11 (есть на eais.rkn.gov.ru). Обращаю внимание, что согласно п.6 при отсутствии в выгрузке информации об указателе страницы (URL), необходимо ограничивать доступ ко всему ресурсу, вкл. доменные имена нижестоящего уровня. Например: в выгрузке - site.com, ограничению подлежат и site.com, и *.site.com (например: yaroslavl.site.com). А согласно п.7 при отсутствии в выгрузке информации об указателе страницы (URL) и о доменном имени и при наличии информации о сетевом адресе либо ip-подсети, операторам связи необходимо ограничивать доступ по указанному сетевому адресу либо ip-подсети, ВКЛЮЧАЯ ВСЕ СЕТЕВЫЕ ПОРТЫ (случай мобильных приложений).

 

Подскажите как выделить такие варианты доменов под подающие под п.6 и ip адреса под подающие под п.7 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Через firefox отлично блокирует. Может из-за особенностей QUIC?

 

Да, именно так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, было бы неплохо в sslips

 

Добавил данный функционал, можете проверить.

Пересобрал nfqfilter, добавил подсеть 52.0.0.0/8 в файл ssl_ips, но казино все равно открываются (разрезолвленный ip попадает в подсеть, но отдельно не прописан в файле).

Нужно что-то еще сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Завернуть трафик на фильтр

Об этом я не подумал, спасибо)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что-то я понять не могу куда нужно запихать сетку 52.0.0.0/8, чтобы make_files.pl по итогам своей работы провёл агрегацию и "выкосил" кучу единичных ip-адресов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что-то я понять не могу куда нужно запихать сетку 52.0.0.0/8, чтобы make_files.pl по итогам своей работы провёл агрегацию и "выкосил" кучу единичных ip-адресов.

А make_files.pl на это и не рассчитан, он берет данные из базы и их агрегирует. По сути, заворачивать нужно вручную на бордере с помощью PBR, т.к. статический маршрут здесь не спасет(маска очень мала, бордер не будет использовать этот маршрут при наличии более специфических, а они есть)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2oret, вот я и пытаюсь понять - куда его надо засунуть, чтоп make_files его увидел

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в мейк файле перед

@ip_list=$ip_cidr->list();

добавьте

$ip_cidr->add_any('2.2.2.2/24');

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Заворот подсети 52.0.0.0/8 на фильтр дал неожиданные результаты: казино заблокировались и это гуд, но при этом прилетело письмо от абонента с жалобой на недоступность части сервисов twitch.tv (и правда, даже на главной странице не работает прямая трансляция). Для себя пока отключил фильтрацию по подсетям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Весёлые историе экран покажет ваш" ))

 

Вчера всё обновил-таки (nfqfilter, zapret и config). Начались чудеса с пропусками.

 

Сегодня начал комбинировать:

nfqfilter мартовской сборки +zapret и config свежие.

 

Доступно согласно программе проверки:

http://bokep-tante.ga//video/-/Y2z4qxuaT-E TYPE

http://www.importers.com/chemicals-plastics/agrochemicals//Psychedelic-Odyssey-Inc-/ID.387265.TP.616642/Free-Samples-JWH-018-Purity-99-8-.html TYPE

c042dcf23f7aa37d7c2fd8d02eb3dc650da9f5b8 TYPE

http://www.memritv.org/player/largePlayer.php?&width=571&height=463&skin=memri_red&autoplay=1&clip_image=http://www.memritv.org/pic_clip/clip_intro_571_432.jpg&clipid=5148 TYPE

http://simg4.gelbooru.com//samples/4b/90/sample_4b90b49bcc67a940947e48c36544ada3.jpg?2704445 TYPE

http://img.booru.org/allgirl//images/41/13302d8ede5038c627483c2aacae9cb3e22e349a.jpg TYPE

http://img.booru.org/ii//images/7/2a36253ef67849913e2d7b1f846a8fff0180c6a8.png TYPE

http://img.booru.org/ii//images/2/e0e22f8e36393fe5008bddf8a62bf418da277d0e.jpg TYPE

 

 

nfqfilter свежий +свежие zapret и config

 

Доступно согласно программе проверки:

http://mp3-gid.ru/music/кафиры%20объединились%20против%20халифата

http://supermuzlo.com/getmuz/тимур_муцураев_единобожие

http://rappro.net/play-song/Тимур-Самашки

http://mp3shnik.com/muz/я%20ненавижу%20хачей

http://mp3skachat.com/mp3/огненный%20коловрат

http://luckymix2016.com/закладки-россыпь-Чита

Но в IE все ссылки упирались в заглушку

 

nfqfilter свежий +мартовские zapret и config

 

Доступно согласно программе проверки:

http://my-songspk.com/mp3-download/Y2z4qxuaT-E// TYPE

http://tv-show-best.ru/video/RUJXS0FOTm5EYVE= TYPE

http://multiki-pro-sobak.ru/video/RUJXS0FOTm5EYVE= TYPE

http://www.videomoviles.com/Y2z4qxuaT-E// TYPE

http://bokep-tante.ga//video/-/Y2z4qxuaT-E TYPE

http://megagosug.ru// TYPE

TYPE

TYPE

TYPE

TYPE

http://lenmay.sextgem.com/blog/1/__xtblog_entry/10931229-papa-to-sex-sonna-no-atarimae-k-ho-ch-c-a-a-b-m-c-i? TYPE

TYPE

http://azino8888.ru/? TYPE

http://ya888ya-2.ru/? TYPE

Ссылки открываются в IE и других браузерах

 

Мартовская сборка nfqfilter, zapret и config

Тест на win7 - всё закрыто.

Но при проверке "оттуда" почти всегда приходит отчёт с одним-двумя доступными ресурсами.

 

Дополнительным бонусом свежая версия нет-нет да повешает намертво виртуалку.

хотя используется одна очередь, но в конфиге указано

num_threads = 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

nfq.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.