Andrei Опубликовано 13 ноября, 2012 · Жалоба А подумать? Например тупо - периодически проверять не сменился ли IP домена, на котором есть блокируемый URI и тупо менять IP, трафик на которые направляется через DPI. И это - не единственный вариант. Вообще в текущей ситуации лучше не "додумывать реестр" - там написан URL и IP, где он находится, вот их и блоикровать. А если соответствие URL - IP в реале поменялось, а в реестре нет, то телодвижений делать не надо. И себе лишний гемморой, и нарушение правил работы с реестром. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 13 ноября, 2012 · Жалоба Я тут с вами открытие сделал: наркотики, оказывается, закупаются в интернет-магазинах. И чего вся служба ФСКН на местах делает все эти годы - непонятно. Одним махом перекрыли основной канал, ага..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 13 ноября, 2012 · Жалоба А подумать? Например тупо - периодически проверять не сменился ли IP домена, на котором есть блокируемый URI и тупо менять IP, трафик на которые направляется через DPI. И это - не единственный вариант. Он вообще каждый раз новый отдается. Причем на том конце какой-нибудь мегахостер с отдельной AS и /12 чисто под cdn-ы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 13 ноября, 2012 · Жалоба При попытке зайти на половину сайтов из списка, вылазит баннер МТС с "ата-та!". Так что и магистрали блочат тоже. К сети МТС прямого подсоединения не имеем, только через аплинков. Но сайтов, а не страниц (как утверждает Irsi). Мы тоже блочим, в том числе и даунлинкам. Страниц-страниц - я подключен к МТС как клиент. Например вся лурка у меня прекрасно открывалась даже до смены им IP, а вот страница из реестра - нет, получал сообщение о блокировке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
elcambino Опубликовано 13 ноября, 2012 · Жалоба Я тут с вами открытие сделал: наркотики, оказывается, закупаются в интернет-магазинах. И чего вся служба ФСКН на местах делает все эти годы - непонятно. Одним махом перекрыли основной канал, ага..... Сталбыть, до появления интернета наркотиков не было ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 13 ноября, 2012 · Жалоба А подумать? Например тупо - периодически проверять не сменился ли IP домена, на котором есть блокируемый URI и тупо менять IP, трафик на которые направляется через DPI. И это - не единственный вариант. Он вообще каждый раз новый отдается. Причем на том конце какой-нибудь мегахостер с отдельной AS и /12 чисто под cdn-ы. Вообще-то нет. То есть можно так сделать, но обычно IP один и тот же для одного и того же домена. Хотя разумеется - это только первый этап внедрения. Годика через пол наберется статисткика, какие хостеры реагируют мухой, какие игнорят... И соответственно некоторые блоки IP можно будет записать в подозрительные или благонадежные на постоянной основе. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 13 ноября, 2012 · Жалоба Если есть вариант завернуть весь 53-й порт на свой кеширующий DNS, можно вставить callback в оный, где все новые и обновляющиеся записи будут проверяться на список, и если есть соответствие - будет дополняться список блокировок. Вся беда в том, что как только заворачивание на свой кеширующий днс сделает мне "невозможно открыть страницу" на домен, который нигде не зарегистрирован и вообще у меня чисто для тестов используется, оператор очень рискует нарваться на "услуга ненадлежащего качества". Таким образом, "ой". Он вообще каждый раз новый отдается. Причем на том конце какой-нибудь мегахостер с отдельной AS и /12 чисто под cdn-ы. Вообще-то нет. То есть можно так сделать, но обычно IP один и тот же для одного и того же домена. Хотя разумеется - это только первый этап внедрения. Годика через пол наберется статисткика, какие хостеры реагируют мухой, какие игнорят... И соответственно некоторые блоки IP можно будет записать в подозрительные или благонадежные на постоянной основе. :) То есть, при попытке попросить тебя предложить решение для вот прямо сейчас существующей проблемы (имя которой CDN), ты тупо отрицаешь существование проблемы? Ну чо, инженегрный, наверное, подход. С такими инженеграми по пути только телефонисту-мегачемпиону да влютый интернет-провайдинг. Роутить IP-адреса блоченых ресурсов на тазик, на нем HTTP-проксю и уже на ней фильтровать урлы. Самое простое что можно придумать. Я выше рассказывал, почему не сработает. Вернее, может не сработать, и шанс примерно 50/50. 0. Весь абонентский DNS трафик заворачивается на resolver's оператора. Уже с этого места схема - говно полное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 13 ноября, 2012 · Жалоба То есть, при попытке попросить тебя предложить решение для вот прямо сейчас существующей проблемы (имя которой CDN), ты тупо отрицаешь существование проблемы? Я просто не вижу проблемы, вот извини. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 13 ноября, 2012 · Жалоба Вообще в текущей ситуации лучше не "додумывать реестр" - там написан URL и IP, где он находится, вот их и блоикровать. А если соответствие URL - IP в реале поменялось, а в реестре нет, то телодвижений делать не надо. Проверяющий придет и будет смотреть не в твою распечатку иптаблеса, а в браузер. И опций в акте у него всего две: отображается/заблокировано. И срать ему на то, что айпишник поменялся. Есть урл. В браузере набран он, страница показана. Вуаля, ловко и непринужденно пред очи директора всплывает голографический радиобаттон: * Заплатить взятку o Лишиться лицензии То есть, при попытке попросить тебя предложить решение для вот прямо сейчас существующей проблемы (имя которой CDN), ты тупо отрицаешь существование проблемы? Я просто не вижу проблемы, вот извини. Срочно гугли "блокирование аськи" на предприятиях (т.е. лютый тырпрайз, прикрытый всеми бумажками от директора) примерно первой половины 2000х. Про дпи не рассказывай, сразу говорю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 13 ноября, 2012 · Жалоба Проверяющий придет и будет смотреть не в твою распечатку иптаблеса, а в браузер. И опций в акте у него всего две: отображается/заблокировано. И срать ему на то, что айпишник поменялся. Есть урл. В браузере набран он, страница показана. Вуаля, ловко и непринужденно пред очи директора всплывает голографический радиобаттон: * Заплатить взятку o Лишиться лицензии Разработчки закона, кажется, утверждали, что он был придуман как раз для того, чтобы такому проверяющему можно было сказать, что он не прав. И провайдерам уже давно пора требовать с министерства утвержденную методику тестирования блокировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[S] Опубликовано 13 ноября, 2012 · Жалоба Прикольно, с мобильного Билайн сабж блочит и выдает, что заблочен ТТК :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yandrey Опубликовано 13 ноября, 2012 · Жалоба ' timestamp='1352790414' post=773530]Прикольно, с мобильного Билайн сабж блочит и выдает, что заблочен ТТК :) просто билайновские днсы отправляют на тткшную заглушку, по 178.248.235.44 lurkmore.to доступен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[S] Опубликовано 13 ноября, 2012 · Жалоба просто билайновские днсы отправляют на тткшную заглушку Это выглядит как минимум некрасиво, вроде интернет от Билайн, а тут какое-то ТТК ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 13 ноября, 2012 · Жалоба Роутить IP-адреса блоченых ресурсов на тазик, на нем HTTP-проксю и уже на ней фильтровать урлы. Самое простое что можно придумать. Красиво. А с тем же урлом, но по https что делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 13 ноября, 2012 · Жалоба Разработчки закона, кажется, утверждали, что он был придуман как раз для того, чтобы такому проверяющему можно было сказать, что он не прав. И провайдерам уже давно пора требовать с министерства утвержденную методику тестирования блокировки. Вот местный "человек-ирси" утверждает, что надо решать проблемы по мере их поступления. Методики на данный момент нет, так что исходить надо из самого пессимистичного варианта. И решать этот вариант надо сейчас. Когда будет методика - тогда и корректировать в соответствии с ней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 13 ноября, 2012 · Жалоба Срочно гугли "блокирование аськи" на предприятиях (т.е. лютый тырпрайз, прикрытый всеми бумажками от директора) примерно первой половины 2000х. Про дпи не рассказывай, сразу говорю. Типовая задача, решается на раз-два. Не вижу проблемы, извини. Вот местный "человек-ирси" утверждает, что надо решать проблемы по мере их поступления. Методики на данный момент нет, так что исходить надо из самого пессимистичного варианта. И решать этот вариант надо сейчас. Когда будет методика - тогда и корректировать в соответствии с ней. Да-да, именно так - проблемы решаются по мере поступления. :) Но есть маленькое но - надо понимать как работает бюрократия, чтоб понять что уже является проблемой, а что нет. Пока нет методики - нет проблемы, ибо без методики проводить проверку невозможно. :) Предусмотреть возможные варианты разумеется уже надо сейчас. Но еще раз, с вашими любимыми CDN - посмотрите какие из уже заблокированных сайтов используют данную технологию... Сколько в %? Правильно - 0%. Нету проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 13 ноября, 2012 · Жалоба Вот местный "человек-ирси" утверждает, что надо решать проблемы по мере их поступления. Методики на данный момент нет, так что исходить надо из самого пессимистичного варианта. И решать этот вариант надо сейчас. Когда будет методика - тогда и корректировать в соответствии с ней. А упреждать развитие ситуации? Пока, я так понимаю, никто с проверками не ходит. Пока они не появились, надо эту методику требовать. А то такое ощущение, что с оператора кучу денег за переписку с его родным министерством просят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 13 ноября, 2012 · Жалоба Я тут с вами открытие сделал: наркотики, оказывается, закупаются в интернет-магазинах. И чего вся служба ФСКН на местах делает все эти годы - непонятно. Одним махом перекрыли основной канал, ага..... Значит что-то таки делают, раз торговля на сайты перебралась. Опять же, по интернет-магазинам работают средний и мелкий опт. Или вы предлагаете на них забить, нехай торгуют и поднимают благосостояние платежами хостеру? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 13 ноября, 2012 · Жалоба Вот местный "человек-ирси" утверждает, что надо решать проблемы по мере их поступления. Методики на данный момент нет, так что исходить надо из самого пессимистичного варианта. И решать этот вариант надо сейчас. Когда будет методика - тогда и корректировать в соответствии с ней. А упреждать развитие ситуации? Пока, я так понимаю, никто с проверками не ходит. Пока они не появились, надо эту методику требовать. А то такое ощущение, что с оператора кучу денег за переписку с его родным министерством просят. А кстати - умный подход. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 ноября, 2012 · Жалоба Вообще в текущей ситуации лучше не "додумывать реестр" - там написан URL и IP, где он находится, вот их и блоикровать. А если соответствие URL - IP в реале поменялось, а в реестре нет, то телодвижений делать не надо. Проверяющий придет и будет смотреть не в твою распечатку иптаблеса, а в браузер. И опций в акте у него всего две: отображается/заблокировано. И срать ему на то, что айпишник поменялся. Есть урл. В браузере набран он, страница показана. Вуаля, ловко и непринужденно пред очи директора всплывает голографический радиобаттон: * Заплатить взятку o Лишиться лицензии Мы с проверящим вместе будем смотреть в реестр, а не в iptables. А в реестре указаны и ip, и url. Если что-то одно не совпадает, блокировать права не имеем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yandrey Опубликовано 13 ноября, 2012 · Жалоба ' timestamp='1352791032' post='773534'] просто билайновские днсы отправляют на тткшную заглушку Это выглядит как минимум некрасиво, вроде интернет от Билайн, а тут какое-то ТТК ;) мобильный билайн выдает первым днс ттк, как минимум ip принадлежит ему Nov 13 10:01:50 int pppd[5888]: primary DNS address 217.150.35.129 Nov 13 10:01:50 int pppd[5888]: secondary DNS address 217.118.66.244 nslookup lurkmore.to 217.150.35.129 Server: 217.150.35.129 Address: 217.150.35.129#53 Name: lurkmore.to Address: 217.150.32.86 Name: lurkmore.to Address: 217.150.32.85 nslookup lurkmore.to 217.118.66.244 Server: 217.118.66.244 Address: 217.118.66.244#53 Non-authoritative answer: Name: lurkmore.to Address: 178.248.235.44 :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 13 ноября, 2012 · Жалоба Сталбыть, до появления интернета наркотиков не было ! Все-таки не будем вносить путаницу, небыло такого канала распространения. Небыло такой массовой торговли синтетикой. Небыло предварительной агрессивной многолетней рекламы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Темный Опубликовано 13 ноября, 2012 · Жалоба Странно, у меня с 3G Билайна открываются и либрусек и луркмор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irsi Опубликовано 13 ноября, 2012 · Жалоба Вообще в текущей ситуации лучше не "додумывать реестр" - там написан URL и IP, где он находится, вот их и блоикровать. А если соответствие URL - IP в реале поменялось, а в реестре нет, то телодвижений делать не надо. Проверяющий придет и будет смотреть не в твою распечатку иптаблеса, а в браузер. И опций в акте у него всего две: отображается/заблокировано. И срать ему на то, что айпишник поменялся. Есть урл. В браузере набран он, страница показана. Вуаля, ловко и непринужденно пред очи директора всплывает голографический радиобаттон: * Заплатить взятку o Лишиться лицензии Мы с проверящим вместе будем смотреть в реестр, а не в iptables. А в реестре указаны и ip, и url. Если что-то одно не совпадает, блокировать права не имеем. Я уже поднимал этот вопрос на счет толкования реестра - "url или ip" или "url и ip"? Понятно что подразумевали "или", но как я понимаю в результате недоработок получилось "и"? С юристом консультировались? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
elcambino Опубликовано 13 ноября, 2012 · Жалоба http://lenta.ru/news/2012/11/13/lurk/ Вместе с "Луркоморьем" в реестр запрещенных сайтов по заявке ФСКН была включена онлайн-библиотека "Либрусек" - за рецепт супа из конопли, приведенный в "Поваренной книге анархиста". О ее удалении из списка выложенных на сайте книг пока не сообщалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...