Перейти к содержимому
Калькуляторы

Тогда не ясно почему операторы говорят о проблемах блокировки

Многие говорят о преблемах смотря в перспективу, а она мрачная.

 

Если закон применять буквально и по честному - то один запрос в гугл и миллионы ссылок. 10 специалистов на просмотр 30с на решение 8 часов в день 200 дней...

 

За год миллион строк в бан-листе - реально. А это очень тяжело технически.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы?

Изменено пользователем Rivia

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы?

 

Только не делайте вид что не читали это: http://forum.nag.ru/forum/index.php?showtopic=80809

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лично у меня бордер держит 32к ACL (из которых половина уже занята) и максимум, что я смогу "заблокировать на бордере" или отроутить на "тазик" это 15к IP... А далее только "ковровые бомбардировки" или серъезный апгрейд за счет клиентов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аплинки на нескольких узлах. Ставить тазик и маршрутизировать интересующий трафик туди и обратно? Предусматривать большую пропускную, увеличивать задержки при передаче? Или ставить несколько тазиков на каждом узле? Реестр растет - количество заблокированных увеличивается, фильтрация по L7 - дело затратное, нужно больше тазиков. А если оператор не мелкий и тазиками не обойдется? И вообще ничего такоо в том, что лезем в личные данные пользователя? Следующий шаг в законодательстве - оператор хранит список посещаемых пользователем ресурсов и блокирует все нелегитимные протоколы?

 

Только не делайте вид что не читали это: http://forum.nag.ru/forum/index.php?showtopic=80809

Читал. Не понимаю где противоречия, поясните =)

Но я также принципиально против вмешательства в работу днс.

Изменено пользователем Rivia

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В реестре на сайте он еще есть. Похоже боятся его по IP блочить :D.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В реестре для операторов адреса еще нет.

И почти уверен, что Тема не будет убирать этот стрип.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно сколько стоит внести станицу так в реестр что бы и на сайте реестра висеть и в блок не попадать. Это ж какой PR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В свете того, что операторов могут в ближайшем будущем обязать следить за трафиком пользователей

Ага, и потом в случае чего - именно оператора и обвинят в нарушении конституции.

 

На самом деле ситуация не однозначная в этом отношении. А как же СОРМ??? Получается не справляется с поставленными задачами и государство хочет нагнуть провайдеров еще и этим делом. Это же в действительности будет значительный удар по всей отрасли, многие просто закроются и никакое объединение не поможет. Может что-то типа решения "Безопасный интернет" подойдет для этих целей, но опять же это всё допрасходы, которые лягут прежде всего на плечи абонентов. Поживем, увидим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D

Бот-троль с помощью этого сервиса может занять составителей списка на годы вперёд %)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Читал. Не понимаю где противоречия, поясните =)

Но я также принципиально против вмешательства в работу днс.

 

Ну, во-первых для фильтрации по IP BGP спикер работает превосходно без вмешательства DNS, сводя конфигурацию к однократной настройке, вместо многократного повторения ACL на всех бордерах.

 

Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру.

 

В-третьих, безусловное использование DPI на всех точках выхода трафика является наиболее правильным способом. Но я считаю что идеальное исполнение бредового закона является двойным бредом, к которому стремится мозг некоторых не очень умных админов. Большая часть задач ISP должна делаться на совесть, но в данном случае нужно делать минимально требуемое с минимальными усилиями. Рамки минимального должны задавать руководители операторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D

Бот-троль с помощью этого сервиса может занять составителей списка на годы вперёд %)

Неа, не займет. Они немножечко слоу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все уже обратили внимание, на ***.dyndns.org в реестре? :D :D :D

hangonet.dyndns.org внесен только

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то я перегрелся. По BGP можно отфильтровать ~500т адресов. Но все равно есть предел, который может быть превзойден в течение года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По BGP можно отфильтровать ~500т адресов. Но все равно есть предел, который может быть превзойден в течение года.

А там перейдут на безопасный интернет для взрослых, а для белого списка столько адресов не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру.

Sonne, прошу, перестань советовать откровенную чушь. Перехват DNS есть предоставление услуги ненадлежащего качества. Помимо отрезания слишком жирных тролльских доменов ты отрезаешь, например, тестирование личного сайта бложика перед выводом в свет на приватных ДНС-серверах. Тебе-то пофигу "оттуда", но местная шантропа ведется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перехват DNS есть предоставление услуги ненадлежащего качества.

По-моему, Московский Акадо так с незапамятных времен для ШПД-шников делает. (Хотя может мне показалось.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перехват DNS есть предоставление услуги ненадлежащего качества.

По-моему, Московский Акадо так с незапамятных времен для ШПД-шников делает. (Хотя может мне показалось.)

Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого.

Клавиатурный рэмбо? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наслышан об их качестве сервиса. Желания становиться их клиентом, даже для того, чтобы показательно нагнуть, нет никакого.

Клавиатурный рэмбо? :)

СМАРТС (Ростелеком) пока обошелся без суда, пока что им хватило "ай-ай-ай" от РКН. Да, все действия на этом ограничились стучанием по клавиатуре, правда форма отправки жалобы на РКН кривущая. После только пришлось на почту сходить за заказным от РКН. А почему Вы спрашиваете? (тм)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во-вторых, для фильтрации по доменному имени или URL достаточно так же кидать IP в BGP. Перехват DNS нужен лишь для того, чтобы исключить возможность использования общедоступных DNS для обхода фильтра и упрощения конфигурации. Я думаю, что такой перехват не нужен, потому что господин инспектор будет проверять стандартные настройки. В любом случае решать провайдеру.

Sonne, прошу, перестань советовать откровенную чушь. Перехват DNS есть предоставление услуги ненадлежащего качества. Помимо отрезания слишком жирных тролльских доменов ты отрезаешь, например, тестирование личного сайта бложика перед выводом в свет на приватных ДНС-серверах. Тебе-то пофигу "оттуда", но местная шантропа ведется.

 

Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом?

Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений,

можно даже с использованием столь любимого tproxy.

 

Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике.

В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом?

Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений,

можно даже с использованием столь любимого tproxy.

 

Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике.

В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью.

Нет, погоди. Приватный ДНС. Как твой проксик будет проксировать запрос (условимся, что легальный) на мой приватный ДНС? А если подписанный? DNS Query Message, насколько мне известно, не содержит информации о сервере, у которого запрашивается информация. Как tproxy узнает, где спрашивать? Или попрется в ROOT-SERVERS и далее по рекурсии, пока не упрется в NXDOMAIN? Или там врапперы хитрые предполагаются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.