Jump to content
Калькуляторы

Зачистка интернетов

Тогда не ясно почему операторы говорят о проблемах блокировки

Многие говорят о преблемах смотря в перспективу, а она мрачная.

 

Если закон применять буквально и по честному - то один запрос в гугл и миллионы ссылок. 10 специалистов на просмотр 30с на решение 8 часов в день 200 дней...

 

За год миллион строк в бан-листе - реально. А это очень тяжело технически.

Share this post


Link to post
Share on other sites

Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы?

Edited by Rivia

Share this post


Link to post
Share on other sites

Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы?

 

Только не делайте вид что не читали это: http://forum.nag.ru/forum/index.php?showtopic=80809

Share this post


Link to post
Share on other sites

Лично у меня бордер держит 32к ACL (из которых половина уже занята) и максимум, что я смогу "заблокировать на бордере" или отроутить на "тазик" это 15к IP... А далее только "ковровые бомбардировки" или серъезный апгрейд за счет клиентов...

Share this post


Link to post
Share on other sites

Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы?

 

Только не делайте вид что не читали это: http://forum.nag.ru/forum/index.php?showtopic=80809

Читал. Не понимаю где противоречия, поясните =)

Но я также принципиально против вмешательства в работу днс.

Edited by Rivia

Share this post


Link to post
Share on other sites

В реестре на сайте он еще есть. Похоже боятся его по IP блочить :D.

Share this post


Link to post
Share on other sites

В реестре для операторов адреса еще нет.

И почти уверен, что Тема не будет убирать этот стрип.

Share this post


Link to post
Share on other sites

Интересно сколько стоит внести станицу так в реестр что бы и на сайте реестра висеть и в блок не попадать. Это ж какой PR.

Share this post


Link to post
Share on other sites
В свете того, что операторов могут в ближайшем будущем обязать следить за трафиком пользователей

Ага, и потом в случае чего - именно оператора и обвинят в нарушении конституции.

 

На самом деле ситуация не однозначная в этом отношении. А как же СОРМ??? Получается не справляется с поставленными задачами и государство хочет нагнуть провайдеров еще и этим делом. Это же в действительности будет значительный удар по всей отрасли, многие просто закроются и никакое объединение не поможет. Может что-то типа решения "Безопасный интернет" подойдет для этих целей, но опять же это всё допрасходы, которые лягут прежде всего на плечи абонентов. Поживем, увидим.

Share this post


Link to post
Share on other sites

Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D

Share this post


Link to post
Share on other sites
Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D

Бот-троль с помощью этого сервиса может занять составителей списка на годы вперёд %)

Share this post


Link to post
Share on other sites

Читал. Не понимаю где противоречия, поясните =)

Но я также принципиально против вмешательства в работу днс.

 

Ну, во-первых для фильтрации по IP BGP спикер работает превосходно без вмешательства DNS, сводя конфигурацию к однократной настройке, вместо многократного повторения ACL на всех бордерах.

 

Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру.

 

В-третьих, безусловное использование DPI на всех точках выхода трафика является наиболее правильным способом. Но я считаю что идеальное исполнение бредового закона является двойным бредом, к которому стремится мозг некоторых не очень умных админов. Большая часть задач ISP должна делаться на совесть, но в данном случае нужно делать минимально требуемое с минимальными усилиями. Рамки минимального должны задавать руководители операторов.

Share this post


Link to post
Share on other sites
Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D

Бот-троль с помощью этого сервиса может занять составителей списка на годы вперёд %)

Неа, не займет. Они немножечко слоу.

Share this post


Link to post
Share on other sites

Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D

hangonet.dyndns.org внесен только

Share this post


Link to post
Share on other sites

Что-то я перегрелся. По BGP можно отфильтровать ~500т адресов. Но все равно есть предел, который может быть превзойден в течение года.

Share this post


Link to post
Share on other sites
По BGP можно отфильтровать ~500т адресов. Но все равно есть предел, который может быть превзойден в течение года.

А там перейдут на безопасный интернет для взрослых, а для белого списка столько адресов не нужно.

Share this post


Link to post
Share on other sites

Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру.

Sonne, прошу, перестань советовать откровенную чушь. Перехват DNS есть предоставление услуги ненадлежащего качества. Помимо отрезания слишком жирных тролльских доменов ты отрезаешь, например, тестирование личного сайта бложика перед выводом в свет на приватных ДНС-серверах. Тебе-то пофигу "оттуда", но местная шантропа ведется.

Share this post


Link to post
Share on other sites

Перехват DNS есть предоставление услуги ненадлежащего качества.

По-моему, Московский Акадо так с незапамятных времен для ШПД-шников делает. (Хотя может мне показалось.)

Share this post


Link to post
Share on other sites

Перехват DNS есть предоставление услуги ненадлежащего качества.

По-моему, Московский Акадо так с незапамятных времен для ШПД-шников делает. (Хотя может мне показалось.)

Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого.

Share this post


Link to post
Share on other sites

Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого.

Клавиатурный рэмбо? :)

Share this post


Link to post
Share on other sites

Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого.

Клавиатурный рэмбо? :)

СМАРТС (Ростелеком) пока обошелся без суда, пока что им хватило "ай-ай-ай" от РКН. Да, все действия на этом ограничились стучанием по клавиатуре, правда форма отправки жалобы на РКН кривущая. После только пришлось на почту сходить за заказным от РКН. А почему Вы спрашиваете? (тм)

Share this post


Link to post
Share on other sites

Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру.

Sonne, прошу, перестань советовать откровенную чушь. Перехват DNS есть предоставление услуги ненадлежащего качества. Помимо отрезания слишком жирных тролльских доменов ты отрезаешь, например, тестирование личного сайта бложика перед выводом в свет на приватных ДНС-серверах. Тебе-то пофигу "оттуда", но местная шантропа ведется.

 

Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом?

Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений,

можно даже с использованием столь любимого tproxy.

 

Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике.

В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью.

Share this post


Link to post
Share on other sites

Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом?

Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений,

можно даже с использованием столь любимого tproxy.

 

Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике.

В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью.

Нет, погоди. Приватный ДНС. Как твой проксик будет проксировать запрос (условимся, что легальный) на мой приватный ДНС? А если подписанный? DNS Query Message, насколько мне известно, не содержит информации о сервере, у которого запрашивается информация. Как tproxy узнает, где спрашивать? Или попрется в ROOT-SERVERS и далее по рекурсии, пока не упрется в NXDOMAIN? Или там врапперы хитрые предполагаются?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this