Tosha Опубликовано 10 декабря, 2012 · Жалоба Тогда не ясно почему операторы говорят о проблемах блокировки Многие говорят о преблемах смотря в перспективу, а она мрачная. Если закон применять буквально и по честному - то один запрос в гугл и миллионы ссылок. 10 специалистов на просмотр 30с на решение 8 часов в день 200 дней... За год миллион строк в бан-листе - реально. А это очень тяжело технически. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 10 декабря, 2012 (изменено) · Жалоба Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы? Изменено 10 декабря, 2012 пользователем Rivia Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 10 декабря, 2012 · Жалоба Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы? Только не делайте вид что не читали это: http://forum.nag.ru/forum/index.php?showtopic=80809 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 11 декабря, 2012 · Жалоба Лично у меня бордер держит 32к ACL (из которых половина уже занята) и максимум, что я смогу "заблокировать на бордере" или отроутить на "тазик" это 15к IP... А далее только "ковровые бомбардировки" или серъезный апгрейд за счет клиентов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 11 декабря, 2012 (изменено) · Жалоба Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы? Только не делайте вид что не читали это: http://forum.nag.ru/forum/index.php?showtopic=80809 Читал. Не понимаю где противоречия, поясните =) Но я также принципиально против вмешательства в работу днс. Изменено 11 декабря, 2012 пользователем Rivia Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 11 декабря, 2012 · Жалоба Что-то так и не блочат Тему по IP... :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Red911 Опубликовано 11 декабря, 2012 · Жалоба А Тему вообще блочат? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 11 декабря, 2012 · Жалоба В реестре на сайте он еще есть. Похоже боятся его по IP блочить :D. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 11 декабря, 2012 · Жалоба В реестре для операторов адреса еще нет. И почти уверен, что Тема не будет убирать этот стрип. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Red911 Опубликовано 11 декабря, 2012 · Жалоба Интересно сколько стоит внести станицу так в реестр что бы и на сайте реестра висеть и в блок не попадать. Это ж какой PR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvk Опубликовано 11 декабря, 2012 · Жалоба В свете того, что операторов могут в ближайшем будущем обязать следить за трафиком пользователей Ага, и потом в случае чего - именно оператора и обвинят в нарушении конституции. На самом деле ситуация не однозначная в этом отношении. А как же СОРМ??? Получается не справляется с поставленными задачами и государство хочет нагнуть провайдеров еще и этим делом. Это же в действительности будет значительный удар по всей отрасли, многие просто закроются и никакое объединение не поможет. Может что-то типа решения "Безопасный интернет" подойдет для этих целей, но опять же это всё допрасходы, которые лягут прежде всего на плечи абонентов. Поживем, увидим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 11 декабря, 2012 · Жалоба Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 декабря, 2012 · Жалоба Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D Бот-троль с помощью этого сервиса может занять составителей списка на годы вперёд %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 11 декабря, 2012 · Жалоба Читал. Не понимаю где противоречия, поясните =) Но я также принципиально против вмешательства в работу днс. Ну, во-первых для фильтрации по IP BGP спикер работает превосходно без вмешательства DNS, сводя конфигурацию к однократной настройке, вместо многократного повторения ACL на всех бордерах. Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру. В-третьих, безусловное использование DPI на всех точках выхода трафика является наиболее правильным способом. Но я считаю что идеальное исполнение бредового закона является двойным бредом, к которому стремится мозг некоторых не очень умных админов. Большая часть задач ISP должна делаться на совесть, но в данном случае нужно делать минимально требуемое с минимальными усилиями. Рамки минимального должны задавать руководители операторов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 11 декабря, 2012 · Жалоба Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D Бот-троль с помощью этого сервиса может занять составителей списка на годы вперёд %) Неа, не займет. Они немножечко слоу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 12 декабря, 2012 · Жалоба Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D hangonet.dyndns.org внесен только Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 12 декабря, 2012 · Жалоба Что-то я перегрелся. По BGP можно отфильтровать ~500т адресов. Но все равно есть предел, который может быть превзойден в течение года. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 декабря, 2012 · Жалоба По BGP можно отфильтровать ~500т адресов. Но все равно есть предел, который может быть превзойден в течение года. А там перейдут на безопасный интернет для взрослых, а для белого списка столько адресов не нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 12 декабря, 2012 · Жалоба Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру. Sonne, прошу, перестань советовать откровенную чушь. Перехват DNS есть предоставление услуги ненадлежащего качества. Помимо отрезания слишком жирных тролльских доменов ты отрезаешь, например, тестирование личного сайта бложика перед выводом в свет на приватных ДНС-серверах. Тебе-то пофигу "оттуда", но местная шантропа ведется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 12 декабря, 2012 · Жалоба Перехват DNS есть предоставление услуги ненадлежащего качества. По-моему, Московский Акадо так с незапамятных времен для ШПД-шников делает. (Хотя может мне показалось.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 12 декабря, 2012 · Жалоба Перехват DNS есть предоставление услуги ненадлежащего качества. По-моему, Московский Акадо так с незапамятных времен для ШПД-шников делает. (Хотя может мне показалось.) Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 12 декабря, 2012 · Жалоба Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого. Клавиатурный рэмбо? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 12 декабря, 2012 · Жалоба Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого. Клавиатурный рэмбо? :) СМАРТС (Ростелеком) пока обошелся без суда, пока что им хватило "ай-ай-ай" от РКН. Да, все действия на этом ограничились стучанием по клавиатуре, правда форма отправки жалобы на РКН кривущая. После только пришлось на почту сходить за заказным от РКН. А почему Вы спрашиваете? (тм) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 12 декабря, 2012 · Жалоба Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру. Sonne, прошу, перестань советовать откровенную чушь. Перехват DNS есть предоставление услуги ненадлежащего качества. Помимо отрезания слишком жирных тролльских доменов ты отрезаешь, например, тестирование личного сайта бложика перед выводом в свет на приватных ДНС-серверах. Тебе-то пофигу "оттуда", но местная шантропа ведется. Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом? Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений, можно даже с использованием столь любимого tproxy. Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике. В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 13 декабря, 2012 · Жалоба Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом? Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений, можно даже с использованием столь любимого tproxy. Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике. В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью. Нет, погоди. Приватный ДНС. Как твой проксик будет проксировать запрос (условимся, что легальный) на мой приватный ДНС? А если подписанный? DNS Query Message, насколько мне известно, не содержит информации о сервере, у которого запрашивается информация. Как tproxy узнает, где спрашивать? Или попрется в ROOT-SERVERS и далее по рекурсии, пока не упрется в NXDOMAIN? Или там врапперы хитрые предполагаются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...