[Wingman]

но вот опять таки возвращаясь к баранам - ответственности за неблокировку нет. никакой.

Тут вопрос, не равняется ли "никакой" - "любой" =)

[visir]

Вы на 100% уверены, что пришедший с проверкой прокурор будет знать, что такое ip-адрес? И что он хотя бы выслушает ваши обьяснения, когда первая попавшаяся ссылка из реестра у него откроется?

Пусть даже вас потом в суде оправдают - стоит оно кучи времени и нервов?

Окей, приходит прокурор со своим ноутом, включается в вашу сеть и начинает проверять.

Но! В настройках у него не ваш DNS, а свой. Или, скажем, гугловский 8.8.8.8. И отрезолвится у него кавказцентр совсем не в тот IP, что резолвится через ваши DNS-ы. ;)

[Wingman]

visir, ну да, хреновый вариант :)

Но наиболее вероятное развитие событий - придёт, включит компьютер с настройками из вашей сети, и попробует открыть сайт. Защититься от этого - дело двух минут и трёх строк кода. Почему бы нет-то?

 

А так-то может и прокси вбить и впн поднять, да

[woddy]

Но! В настройках у него не ваш DNS, а свой. Или, скажем, гугловский 8.8.8.8.

ага. а в настройках браузера прокси

[Sonne]

Вы на 100% уверены, что пришедший с проверкой прокурор будет знать, что такое ip-адрес? И что он хотя бы выслушает ваши обьяснения, когда первая попавшаяся ссылка из реестра у него откроется?

Пусть даже вас потом в суде оправдают - стоит оно кучи времени и нервов?

Окей, приходит прокурор со своим ноутом, включается в вашу сеть и начинает проверять.

Но! В настройках у него не ваш DNS, а свой. Или, скажем, гугловский 8.8.8.8. И отрезолвится у него кавказцентр совсем не в тот IP, что резолвится через ваши DNS-ы. ;)

 

Первое что нужно сделать при использовании DNS фильтрации - прозрачно завернуть все запросы к DNS на себя.

[vIv]

... таким способом вы сможете познакомить свою техподдержку со всеми сисадминами, кто удалённо настраивает/поддерживает DNS. А также с их словарным запасом.

[CoMax]

Мы вот тоже на стороне формального подхода - блокировать пару IP + url из реестра. Если пытаться сделать так, чтобы "мышь не проскочила" - то действительно "не имеем технической возможности", так как https, vpn, proxy, top, и т.д.

 

Причем на этот подход нас навели не просто наши внутренние раздумья, а встреча с представителями мин. связи накануне вступления в силу закона, с операторами НАДИКС.

 

Так вот там в вольном пересказе был как раз предложен метод - загоняете по BGP на фильтр те IP, которые в реестре, а уж там фильтруете по URL малую долю трафика, причем только исходящего. Так и делаем. Бегать за DNS не вижу смысла, можно только хуже сделать - проверяющий придет и скажет: "Вот почему тот IP, что в реестре, не заблокирован, и когда я в hosts прописываю, у меня дети голые открываются, что за вольности вы тут себе позволяете, где вы такое вычитали?"

 

Далее было сказано, что они там в министерстве хотят "оценить" масштабы такого DPI на весь рунет, заказать его разработку, и потом поставить его у себя, подняв со всеми провайдерами BGP...

 

Но вот что законодатели придумают, когда им доложат про CDN - мне страшно представить. Там видимо по /12 всяких hetzner будем заворачивать на DPI...но пока об этом ТАМ никто не подумал.

[Wingman]

"Вот почему тот IP, что в реестре, не заблокирован, и когда я в hosts прописываю, у меня дети голые открываются, что за вольности вы тут себе позволяете, где вы такое вычитали?"

Дык ясен пень, мы заворачиваем на проксю тот ип, что в реестре, плюс резолв

[vIv]

"Вот почему тот IP, что в реестре, не заблокирован, и когда я в hosts прописываю, у меня дети голые открываются, что за вольности вы тут себе позволяете, где вы такое вычитали?"

"А с какой целью вы предпринимаете меры с целью нарушения законодательства РФ? Вы хотите совершить преступление?"

[Sonne]

Кстати при реверс-просировании https фильтруется как два пальца обоссать. Только сертификат будет по понятным причинам ругаться.

[elcambino]

Оказывается Irsi еще и большой спец по наркоте :))

Извините за оффтоп, но мне нужен совет бывалых. В игровой клуб ходят нарки за скайпом:

Есть ли смысл пытаться (и, вообще, такая возможность) прикрыть лавочку торговца наркотой? Звонил в ФСКН, обещал опер приехать, пообщаться, но не приехал. В доле он там что-ли?

Пишите вашему депутату чтобы запретили скайп

[ohfsgcscft]

Кстати при реверс-просировании https фильтруется как два пальца обоссать. Только сертификат будет по понятным причинам ругаться.

Кстати это в чистом виде уголовка, перехват защищенного соединения.

[visir]

Кстати при реверс-просировании https фильтруется как два пальца обоссать. Только сертификат будет по понятным причинам ругаться.

Кстати это в чистом виде уголовка, перехват защищенного соединения.

Не считается! - там же криптография не по ГОСТу. :D

[LuckySB]

Статья немного о другом, хотя для целей фильтрации нужно сделать все тоже самое + дополнительные вещи.

Вообще говоря статья не про фильтрацию, а про способ ее обхода. Вопрос был задан про настройку nginx.

 

таки определитесь про фильтрацию или способ ее обхода ?

 

то позвольте мне самому определять темы моих статей и впредь

 

Ну чего вы на пустом месте то возбудились ? Все я вам позволяю. Определяйтесь как хотите.

и ни в коем случае не хотел заставлять вас писать какие либо модули на какой-либо основе.

 

 

[taf_321]

Вы на 100% уверены, что пришедший с проверкой прокурор будет знать, что такое ip-адрес? И что он хотя бы выслушает ваши обьяснения, когда первая попавшаяся ссылка из реестра у него откроется?

Пусть даже вас потом в суде оправдают - стоит оно кучи времени и нервов? Мы выиграли два суда с требованиями блокировок казино - круто, да, но вы думаете, сам процесс хоть какое-то удовольствие доставляет? А ведь во всех законах и нормах на то время тоже было, цитирую, "четко сказано чья это поляна, и кто за нее отвечает".

 

А на противоположной чаше весов - пара строк в коде скрипта, проверяющего реестр, для резолва актуальных ипов.

 

 

Вот ради интереса - поговорите со своим директором, каково его мнение? Только не говорите сходу "это они обязаны, а мы не при чем", а изложите ещё и вариант тупого прокурора-проверяльщика

 

В списке прописан конкретный адрес. С этим спорить будете?

 

Далее, ведение списка это прерогатива конкретной организации. Только она в праве вносить-удалять-изменять его. Теперь вопрос - является ли провайдер Верхнего Гадюкина этой самой уполномоченной организацией, которая по своему произволу вносит изменения в заверенный ЭЦП список?

 

Вылюбят и высушат вас не за то, что спущенный на вас список уже не соответствует реальности, а за то, что вы поклали на него, и занялись самоуправством.

 

Конечно, это все для случая, когда фильтарция по IP. В случае использования DPI адрес IP не актуален.

 

Про закидоны прокуроров-проверяльщиков известно из первых рук. Они нам тут всучили иск из-за того, что нашим клиентам доступны сайты Мавроди и его МММ. Вот так вот. "Наносит вред, виноват провайдер". От такой шизы даже судья офигел.

[taf_321]

Но! В настройках у него не ваш DNS, а свой. Или, скажем, гугловский 8.8.8.8. И отрезолвится у него кавказцентр совсем не в тот IP, что резолвится через ваши DNS-ы. ;)

 

Вот по гавгавцентру есть предписание с печатями и подписями, где явно указан IP, ессно этот IP забанен. И, скорее всего, он давно уже не актуальный.

 

Проверяющему показывается соотвествующая бумага с печатями, и предлагается оформить процедуру по новой и прислать новое постановление с новым IP.

[Дятел]

Про закидоны прокуроров-проверяльщиков известно из первых рук. Они нам тут всучили иск из-за того, что нашим клиентам доступны сайты Мавроди и его МММ. Вот так вот. "Наносит вред, виноват провайдер". От такой шизы даже судья офигел.

 

Новый перл:

http://forum.nag.ru/forum/index.php?showtopic=70188&view=findpost&p=774000

[visir]

Вот по гавгавцентру есть предписание с печатями и подписями, где явно указан IP, ессно этот IP забанен. И, скорее всего, он давно уже не актуальный.

 

Проверяющему показывается соотвествующая бумага с печатями, и предлагается оформить процедуру по новой и прислать новое постановление с новым IP.

Вот сразу видно, что Вы не пробовали.

[Irsi]

Оказывается Irsi еще и большой спец по наркоте :))

Извините за оффтоп, но мне нужен совет бывалых. В игровой клуб ходят нарки за скайпом:

Есть ли смысл пытаться (и, вообще, такая возможность) прикрыть лавочку торговца наркотой? Звонил в ФСКН, обещал опер приехать, пообщаться, но не приехал. В доле он там что-ли?

ФСКН в доле. Пиши заяву в отделении милиции, не принимаю - звони 112 и сообщай им об этом.

[straus]

ФСКН в доле. Пиши заяву в отделении милиции, не принимаю - звони 112 и сообщай им об этом.

Ага. Чтобы потом поломанными руками выбитые зубы собирать. В лучшем случае...

[karpa13a]

Ага. Чтобы потом поломанными руками выбитые зубы собирать. В лучшем случае...

круто

номер планеты в системе назовите

[straus]

Ага. Чтобы потом поломанными руками выбитые зубы собирать. В лучшем случае...

круто

номер планеты в системе назовите

Россия, Украина, далее по тексту...

Можно погуглить на слово "индило", так там просто чувак воткнулся с молодым участковым. И его просто убили в райотделе. А тут предлагается завалить налаженный бизнес, курируемый коррумпированным ФСКН. И втыкаться с ними посоветовал тот, кто в других случаях советует булки раздвигать и не выпендриваться. Симптоматично.

[karpa13a]

Можно погуглить ...

во всей России так?

каждый день с каждым заявителем?

[Irsi]

karpa13a, да забей ты - видишь чувак полностью неадекватен.

Все эти свободолюбивые борцуны за свободу - сильны и смелы только в интернетах. И то только потому что настолько глупы, что верят в анонимность. А IRL - у них сразу ножки подгибаются, ибо понимают что за свои поступки придется отвечать. За любые - хорошие и плохие...

А в ФСКН - да реально, бизнес налажен. Только вот друг-друга они сливают с радостью, ибо раз был настолько глуп что запалился - сам виноват, никто не будет спасать другого и рисковать при этом своим бизнесом...

[bl-antidot]

http://www.rsoc.ru/n...c/news17332.htm

А вы говорили - не будет работать сей закон. Работает же! :)

такое ощущение, что события 12-13-14 ноября с блокировкой были просто показательной поркой.

Просто взълюбнули кого придется, чтобы боялись, и не более.

Или же намеренно провели абсурдные блокировки, чтобы показать косность государственного регулирования и дать повод назначить реестро-оператором некое НКО, как это прописано в законе.

 

На эту мысль наталкивает не абсурдность блокировок сама по себе, но их непоследовательность. Вот Вы привели ссылку из которой явствует, что Лурк удалил страницу (поставил заглушку) и потому его из реестра исключили. А мне в ЖЖ скинули ссылку на Лурк - как минимум статья про коноплю просто перенесена на новый адрес. Не считая того, что Лурк работает на Wiki-движке и заботливо сохраняет историю правок - и в страницах с историей правок якобы удаленная статья вполне себе доступна.

И даже более того: азмъ, многогрешный, самолично настучал на Лурк - есть там страница с фотографиями несовершеннолетнего мальчика, во всяких разных позах, с обнаженными, пардон, ягодицами, и торчащими из оных обнаженных, пардон, ягодиц флажком. Детская порнография это или нет судить экспертам, но признаки имеются.

Попутно были найдены цитаты из "Поваренной книги анархиста" на Я.Ру и ВКонтакте, на них тоже последовал стук.

И... и никакой реакции. Абсолютно. Раньше, если работники реестра приходили к выводу, что контент не содержит нарушений на e-mail приходило соответствующее типовое оповещение.

На вышеупомянутые стуки на сомнительные фото и рецпты блюд из конопли ответов нет никаких - и материалы доступны по прежнему.

 

Что и наводит на мысль - это не закон работает, это устроили показательную порку в каких-то посторонних целях.