[Andrei]

А подумать? Например тупо - периодически проверять не сменился ли IP домена, на котором есть блокируемый URI и тупо менять IP, трафик на которые направляется через DPI. И это - не единственный вариант.

Вообще в текущей ситуации лучше не "додумывать реестр" - там написан URL и IP, где он находится, вот их и блоикровать. А если соответствие URL - IP в реале поменялось, а в реестре нет, то телодвижений делать не надо. И себе лишний гемморой, и нарушение правил работы с реестром.

[Дятел]

Я тут с вами открытие сделал: наркотики, оказывается, закупаются в интернет-магазинах. И чего вся служба ФСКН на местах делает все эти годы - непонятно. Одним махом перекрыли основной канал, ага.....

[GateKeeper]

А подумать? Например тупо - периодически проверять не сменился ли IP домена, на котором есть блокируемый URI и тупо менять IP, трафик на которые направляется через DPI. И это - не единственный вариант.

Он вообще каждый раз новый отдается. Причем на том конце какой-нибудь мегахостер с отдельной AS и /12 чисто под cdn-ы.

[Irsi]

При попытке зайти на половину сайтов из списка, вылазит баннер МТС с "ата-та!". Так что и магистрали блочат тоже. К сети МТС прямого подсоединения не имеем, только через аплинков.

Но сайтов, а не страниц (как утверждает Irsi). Мы тоже блочим, в том числе и даунлинкам.

Страниц-страниц - я подключен к МТС как клиент. Например вся лурка у меня прекрасно открывалась даже до смены им IP, а вот страница из реестра - нет, получал сообщение о блокировке.

[elcambino]

Я тут с вами открытие сделал: наркотики, оказывается, закупаются в интернет-магазинах. И чего вся служба ФСКН на местах делает все эти годы - непонятно. Одним махом перекрыли основной канал, ага.....

Сталбыть, до появления интернета наркотиков не было !

[Irsi]

А подумать? Например тупо - периодически проверять не сменился ли IP домена, на котором есть блокируемый URI и тупо менять IP, трафик на которые направляется через DPI. И это - не единственный вариант.

Он вообще каждый раз новый отдается. Причем на том конце какой-нибудь мегахостер с отдельной AS и /12 чисто под cdn-ы.

Вообще-то нет. То есть можно так сделать, но обычно IP один и тот же для одного и того же домена.

Хотя разумеется - это только первый этап внедрения. Годика через пол наберется статисткика, какие хостеры реагируют мухой, какие игнорят... И соответственно некоторые блоки IP можно будет записать в подозрительные или благонадежные на постоянной основе. :)

[GateKeeper]

Если есть вариант завернуть весь 53-й порт на свой кеширующий DNS, можно вставить callback в оный, где все новые и обновляющиеся записи будут проверяться на список, и если есть соответствие - будет дополняться список блокировок.

Вся беда в том, что как только заворачивание на свой кеширующий днс сделает мне "невозможно открыть страницу" на домен, который нигде не зарегистрирован и вообще у меня чисто для тестов используется, оператор очень рискует нарваться на "услуга ненадлежащего качества". Таким образом, "ой".

 

Он вообще каждый раз новый отдается. Причем на том конце какой-нибудь мегахостер с отдельной AS и /12 чисто под cdn-ы.

Вообще-то нет. То есть можно так сделать, но обычно IP один и тот же для одного и того же домена.

Хотя разумеется - это только первый этап внедрения. Годика через пол наберется статисткика, какие хостеры реагируют мухой, какие игнорят... И соответственно некоторые блоки IP можно будет записать в подозрительные или благонадежные на постоянной основе. :)

То есть, при попытке попросить тебя предложить решение для вот прямо сейчас существующей проблемы (имя которой CDN), ты тупо отрицаешь существование проблемы? Ну чо, инженегрный, наверное, подход. С такими инженеграми по пути только телефонисту-мегачемпиону да влютый интернет-провайдинг.

 

Роутить IP-адреса блоченых ресурсов на тазик, на нем HTTP-проксю и уже на ней фильтровать урлы. Самое простое что можно придумать.

Я выше рассказывал, почему не сработает. Вернее, может не сработать, и шанс примерно 50/50.

 

0. Весь абонентский DNS трафик заворачивается на resolver's оператора.

Уже с этого места схема - говно полное.

[Irsi]

То есть, при попытке попросить тебя предложить решение для вот прямо сейчас существующей проблемы (имя которой CDN), ты тупо отрицаешь существование проблемы?

Я просто не вижу проблемы, вот извини.

[GateKeeper]

Вообще в текущей ситуации лучше не "додумывать реестр" - там написан URL и IP, где он находится, вот их и блоикровать. А если соответствие URL - IP в реале поменялось, а в реестре нет, то телодвижений делать не надо.

Проверяющий придет и будет смотреть не в твою распечатку иптаблеса, а в браузер. И опций в акте у него всего две: отображается/заблокировано. И срать ему на то, что айпишник поменялся. Есть урл. В браузере набран он, страница показана. Вуаля, ловко и непринужденно пред очи директора всплывает голографический радиобаттон: * Заплатить взятку o Лишиться лицензии

 

То есть, при попытке попросить тебя предложить решение для вот прямо сейчас существующей проблемы (имя которой CDN), ты тупо отрицаешь существование проблемы?

Я просто не вижу проблемы, вот извини.

Срочно гугли "блокирование аськи" на предприятиях (т.е. лютый тырпрайз, прикрытый всеми бумажками от директора) примерно первой половины 2000х. Про дпи не рассказывай, сразу говорю.

[Sergey Gilfanov]

Проверяющий придет и будет смотреть не в твою распечатку иптаблеса, а в браузер. И опций в акте у него всего две: отображается/заблокировано. И срать ему на то, что айпишник поменялся. Есть урл. В браузере набран он, страница показана. Вуаля, ловко и непринужденно пред очи директора всплывает голографический радиобаттон: * Заплатить взятку o Лишиться лицензии

Разработчки закона, кажется, утверждали, что он был придуман как раз для того, чтобы такому проверяющему можно было сказать, что он не прав.

 

И провайдерам уже давно пора требовать с министерства утвержденную методику тестирования блокировки.

[[S]]

Прикольно, с мобильного Билайн сабж блочит и выдает, что заблочен ТТК :)

[yandrey]

' timestamp='1352790414' post=773530]

Прикольно, с мобильного Билайн сабж блочит и выдает, что заблочен ТТК :)

просто билайновские днсы отправляют на тткшную заглушку, по 178.248.235.44 lurkmore.to доступен

[[S]]

просто билайновские днсы отправляют на тткшную заглушку

Это выглядит как минимум некрасиво, вроде интернет от Билайн, а тут какое-то ТТК ;)

[stas_k]

Роутить IP-адреса блоченых ресурсов на тазик, на нем HTTP-проксю и уже на ней фильтровать урлы. Самое простое что можно придумать.

Красиво. А с тем же урлом, но по https что делать?

[GateKeeper]

Разработчки закона, кажется, утверждали, что он был придуман как раз для того, чтобы такому проверяющему можно было сказать, что он не прав.

 

И провайдерам уже давно пора требовать с министерства утвержденную методику тестирования блокировки.

Вот местный "человек-ирси" утверждает, что надо решать проблемы по мере их поступления. Методики на данный момент нет, так что исходить надо из самого пессимистичного варианта. И решать этот вариант надо сейчас. Когда будет методика - тогда и корректировать в соответствии с ней.

[Irsi]

Срочно гугли "блокирование аськи" на предприятиях (т.е. лютый тырпрайз, прикрытый всеми бумажками от директора) примерно первой половины 2000х. Про дпи не рассказывай, сразу говорю.

Типовая задача, решается на раз-два. Не вижу проблемы, извини.

Вот местный "человек-ирси" утверждает, что надо решать проблемы по мере их поступления. Методики на данный момент нет, так что исходить надо из самого пессимистичного варианта. И решать этот вариант надо сейчас. Когда будет методика - тогда и корректировать в соответствии с ней.

Да-да, именно так - проблемы решаются по мере поступления. :) Но есть маленькое но - надо понимать как работает бюрократия, чтоб понять что уже является проблемой, а что нет. Пока нет методики - нет проблемы, ибо без методики проводить проверку невозможно. :)

Предусмотреть возможные варианты разумеется уже надо сейчас. Но еще раз, с вашими любимыми CDN - посмотрите какие из уже заблокированных сайтов используют данную технологию... Сколько в %? Правильно - 0%. Нету проблемы.

[Sergey Gilfanov]

Вот местный "человек-ирси" утверждает, что надо решать проблемы по мере их поступления. Методики на данный момент нет, так что исходить надо из самого пессимистичного варианта. И решать этот вариант надо сейчас. Когда будет методика - тогда и корректировать в соответствии с ней.

А упреждать развитие ситуации?

 

Пока, я так понимаю, никто с проверками не ходит. Пока они не появились, надо эту методику требовать. А то такое ощущение, что с оператора кучу денег за переписку с его родным министерством просят.

[taf_321]

Я тут с вами открытие сделал: наркотики, оказывается, закупаются в интернет-магазинах. И чего вся служба ФСКН на местах делает все эти годы - непонятно. Одним махом перекрыли основной канал, ага.....

 

Значит что-то таки делают, раз торговля на сайты перебралась. Опять же, по интернет-магазинам работают средний и мелкий опт. Или вы предлагаете на них забить, нехай торгуют и поднимают благосостояние платежами хостеру?

[Irsi]

Вот местный "человек-ирси" утверждает, что надо решать проблемы по мере их поступления. Методики на данный момент нет, так что исходить надо из самого пессимистичного варианта. И решать этот вариант надо сейчас. Когда будет методика - тогда и корректировать в соответствии с ней.

А упреждать развитие ситуации?

 

Пока, я так понимаю, никто с проверками не ходит. Пока они не появились, надо эту методику требовать. А то такое ощущение, что с оператора кучу денег за переписку с его родным министерством просят.

А кстати - умный подход.

[Andrei]

Вообще в текущей ситуации лучше не "додумывать реестр" - там написан URL и IP, где он находится, вот их и блоикровать. А если соответствие URL - IP в реале поменялось, а в реестре нет, то телодвижений делать не надо.

Проверяющий придет и будет смотреть не в твою распечатку иптаблеса, а в браузер. И опций в акте у него всего две: отображается/заблокировано. И срать ему на то, что айпишник поменялся. Есть урл. В браузере набран он, страница показана. Вуаля, ловко и непринужденно пред очи директора всплывает голографический радиобаттон: * Заплатить взятку o Лишиться лицензии

Мы с проверящим вместе будем смотреть в реестр, а не в iptables. А в реестре указаны и ip, и url. Если что-то одно не совпадает, блокировать права не имеем.

[yandrey]

' timestamp='1352791032' post='773534']

просто билайновские днсы отправляют на тткшную заглушку

Это выглядит как минимум некрасиво, вроде интернет от Билайн, а тут какое-то ТТК ;)

мобильный билайн выдает первым днс ттк, как минимум ip принадлежит ему

Nov 13 10:01:50 int pppd[5888]: primary   DNS address 217.150.35.129
Nov 13 10:01:50 int pppd[5888]: secondary DNS address 217.118.66.244

nslookup lurkmore.to 217.150.35.129
Server:         217.150.35.129
Address:        217.150.35.129#53

Name:   lurkmore.to
Address: 217.150.32.86
Name:   lurkmore.to
Address: 217.150.32.85

nslookup lurkmore.to 217.118.66.244
Server:         217.118.66.244
Address:        217.118.66.244#53

Non-authoritative answer:
Name:   lurkmore.to
Address: 178.248.235.44

:)

[taf_321]

Сталбыть, до появления интернета наркотиков не было !

 

Все-таки не будем вносить путаницу, небыло такого канала распространения. Небыло такой массовой торговли синтетикой. Небыло предварительной агрессивной многолетней рекламы.

[Темный]

Странно, у меня с 3G Билайна открываются и либрусек и луркмор.

[Irsi]

Вообще в текущей ситуации лучше не "додумывать реестр" - там написан URL и IP, где он находится, вот их и блоикровать. А если соответствие URL - IP в реале поменялось, а в реестре нет, то телодвижений делать не надо.

Проверяющий придет и будет смотреть не в твою распечатку иптаблеса, а в браузер. И опций в акте у него всего две: отображается/заблокировано. И срать ему на то, что айпишник поменялся. Есть урл. В браузере набран он, страница показана. Вуаля, ловко и непринужденно пред очи директора всплывает голографический радиобаттон: * Заплатить взятку o Лишиться лицензии

Мы с проверящим вместе будем смотреть в реестр, а не в iptables. А в реестре указаны и ip, и url. Если что-то одно не совпадает, блокировать права не имеем.

Я уже поднимал этот вопрос на счет толкования реестра - "url или ip" или "url и ip"? Понятно что подразумевали "или", но как я понимаю в результате недоработок получилось "и"? С юристом консультировались?

[elcambino]

http://lenta.ru/news/2012/11/13/lurk/

 

Вместе с "Луркоморьем" в реестр запрещенных сайтов по заявке ФСКН была включена онлайн-библиотека "Либрусек" - за рецепт супа из конопли, приведенный в "Поваренной книге анархиста". О ее удалении из списка выложенных на сайте книг пока не сообщалось.