Jump to content
Калькуляторы

Зачистка интернетов

Когда собираешь под фрёй сквид, там опции: ипфв, пф - они для того, чтобы при завороте коннекта сквид дёргал у них из таблицы трансляций ориг адрес. Это насколько я разобрался.

Share this post


Link to post
Share on other sites

Сделал фильтрацию на cisco 3945. Проверяю - не работает. Оказалось, часть доменов уже сменила IP. Вроде требования выполнены, но страница не заблокирована получается.

Share this post


Link to post
Share on other sites

Вроде требования выполнены, но страница не заблокирована получается.

Вот-вот, а если ссылаться на тупой дроп IP, то этот аргумент отпадает. :)

Share this post


Link to post
Share on other sites

Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом?

Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений,

можно даже с использованием столь любимого tproxy.

 

Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике.

В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью.

Нет, погоди. Приватный ДНС. Как твой проксик будет проксировать запрос (условимся, что легальный) на мой приватный ДНС? А если подписанный? DNS Query Message, насколько мне известно, не содержит информации о сервере, у которого запрашивается информация. Как tproxy узнает, где спрашивать? Или попрется в ROOT-SERVERS и далее по рекурсии, пока не упрется в NXDOMAIN? Или там врапперы хитрые предполагаются?

 

Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС.

 

Только нельзя давать этот выбор инженерам или юристам. И те и другие в задачах оценки рисков впадают в неадекватные крайности.

 

Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить. Если не работает (в силу фильтрации Source IP) то можно извратиться с tproxy. Как именно - не знаю, мне эта сугубо теоретическая операция не интересна.

 

В бизнесе очень редко бывает выбор между хорошим и плохим, никогда не бывает выбора между ужасным и идеальным. Чаще всего выбираем из плохого и не очень плохого. Не будет работать хитрожопая конфигурация с приватным ДНС? Страшно? А вы в курсе что уже 10 лет у большинства провайдеров на сети тупо зафильтрован 445 и 137-139 порты? И никто не умер. Человек способный настроить приватный DNS сообразит в чем дело и догадается как настроить настроить VPN. Остальные ничего не заметят.

Share this post


Link to post
Share on other sites

Человек способный настроить приватный DNS сообразит в чем дело и догадается как настроить настроить VPN. Остальные ничего не заметят.

А может оказаться лидером и увести за собой всю свою группу влияния. Очень часто такие гики оказываются авторитетными советчиками для своих друзей по выбору гаджетов и провайдеров.

Share this post


Link to post
Share on other sites

Народ, в реестре изменения есть? А то мне уже несколько дней никаких изменений нету...

Share this post


Link to post
Share on other sites

Имхуется мне, что реестр свою роль выполнил.

Бабло попилено, перед зарубежными наблюдателями помахали, что мы такие распушистые и блокируем педофилию...

И всё.

Больше он не нужен.

Изменений так же не вижу. ((=

Share this post


Link to post
Share on other sites

Имхуется мне, что реестр свою роль выполнил.

Бабло попилено, перед зарубежными наблюдателями помахали, что мы такие распушистые и блокируем педофилию...

И всё.

Больше он не нужен.

Изменений так же не вижу. ((=

и снова выступлю в роли пророка - ждем выходных :)

у них часты "технические сбои" в это время, не иначе в пятницу техника уходит бухать :-)

Share this post


Link to post
Share on other sites

 

Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС.

В случае "фильтрации 100% пользователей" гарантия оказаться пи**расом 146%-ная. В первом случае РКН нагнет по "услуге ненадлежащего качества" (ну или не РКН, а уже суд), РКН нагнет за невыполнение мизулькиной грамоты.

 

Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить.
Я вообще никакой связи с NAT в обсуждаемом ключе не увидел. NAT - L3, DNS, пусть будет L7. libresolv.so про такую гиковскую хреновину, как NAT, вообще не знает ничего, а гиковская хреновина в ядре ОС, которая знает про NAT всё, и местами даже немного больше, не знает ничего про DNS. Потому мне хотелось от тебя как раз узнать, раз ты такую штуку советуешь, как там всё реализовано.

Share this post


Link to post
Share on other sites

и снова выступлю в роли пророка - ждем выходных :)

И я тоже. Пока Костику М. не до фильтров, там никто шевелиться не будет. Вот попустит его СК, тогда снова возьмется за свой хитрый план. *скорчил конспирологически правильное выражение морды лица*

Share this post


Link to post
Share on other sites

 

Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС.

В случае "фильтрации 100% пользователей" гарантия оказаться пи**расом 146%-ная. В первом случае РКН нагнет по "услуге ненадлежащего качества" (ну или не РКН, а уже суд), РКН нагнет за невыполнение мизулькиной грамоты.

 

Обернуться простыней и ползти на кладбище.

 

Ну вообще чувствуется что вы с надзорными органами мало общались, а тему фильтрации вобще первый раз подняли. Вы занимались вопросом школьной фильтраци раньше? Если не занимались, то первая аксиома звучит так - невозможно сделать полную фильтрацию. Дальше идет задача оптимизации как с надежностью. За каждую следующю 9 грубо говоря вам нужно заплатить в 10 раз больше денег.

 

 

Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить.
Я вообще никакой связи с NAT в обсуждаемом ключе не увидел. NAT - L3, DNS, пусть будет L7. libresolv.so про такую гиковскую хреновину, как NAT, вообще не знает ничего, а гиковская хреновина в ядре ОС, которая знает про NAT всё, и местами даже немного больше, не знает ничего про DNS. Потому мне хотелось от тебя как раз узнать, раз ты такую штуку советуешь, как там всё реализовано.

 

Я про ДНС ничего не советую, просто сказал о приницпиальной возможности. Ярассказывал об URL фильтрации в работоспособности которой уверено на 100%. Все что вы закинете на тазик с Nginx я отработаю. Что вы туда закинете 80% трафика или 99 или 99,999 - ваш выбор. Правильного решения не существует.

Share this post


Link to post
Share on other sites

Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI

Я про ДНС ничего не советую

 

Извини, я в растерянности. Но, если твой посыл был в том, что написать днс-рекурсер, умеющий дергать из ядра ОС таблицы NAT-маппинга и сопоставлять с запросами, принципиальных трудностей не составит, тогда да, возражений нет.

Share this post


Link to post
Share on other sites

Маразм крепчает!

Чудо письмо, в котором предлагают закрыть доступ к ресурсам:

narod.ru

lurkmore.to

my.mail.ru

blogspot.ru

smotri.com

post-86441-067118100 1356343292_thumb.jpg

Share this post


Link to post
Share on other sites

А ниче, что почти половина сайтов хостятся в РУ и/или имеют домены в зоне РУ и прокурорские могли бы с ними пообщаться напрямую, не напрягая непричастных ?

Share this post


Link to post
Share on other sites

Ты чо?.. это же надо что-то делать... кудато там звонить, писать, пытаться понять, что тебе ответили. Нашёл идиотов...

Share this post


Link to post
Share on other sites

Звиздец. А встречный вопрос к ним - если уж ввели этот реестр, то нельзя ли тогда по всем ресурсам, попадающим под действие закона о реестре, обращаться к РКН, чтобы они внесли эти ресурсы в реестр, а не судебные иски от прокуратуры?

Share this post


Link to post
Share on other sites

Все провайдеры Армавиа отписались что заблокировали сайты, но 6 сайтов из этого списка не могут заблокировать потому что ...

Share this post


Link to post
Share on other sites

Да заблокировали бы, чего уж там... Глядишь, Mail.RU что-нибудь официально высказал бы.

Share this post


Link to post
Share on other sites

Все провайдеры Армавиа отписались что заблокировали сайты, но 6 сайтов из этого списка не могут заблокировать потому что ...

А вот кстати. Какую можно логичную причину придумать, объясняющую это?

Share this post


Link to post
Share on other sites

Какую можно логичную причину придумать, объясняющую это?

ну не причину, а потянуть время:

истребовать разъяснений в контексте ФЗ о блокировках:

типа в соответствии с ФЗ мы можем блокировать по ипе - сообщите список.

Share this post


Link to post
Share on other sites

 

ну не причину, а потянуть время:

истребовать разъяснений в контексте ФЗ о блокировках:

типа в соответствии с ФЗ мы можем блокировать по ипе - сообщите список.

 

Если уж ФЗ, то ... наша система в автоматическом режиме блокирует по реестру запрещенных сайтов. Ваших сайтов там нет, потому и не блокирует. Передайте Ваш список туда. Не прокатит... ?

 

Мне вот интересно, за подрыв Невского экспресса они почему-то посадили не начальника поезда и не проводницу, а стали искать кого то еще.. Почему тут не ищут, а бегут к стрелочнику?

Share this post


Link to post
Share on other sites

Пришло нам письмо из Надзора. У одного частного лица, нашего абонента, свой сайт на домашнем сервачке.

Описание запрещенной информации: на страница http://www.tfo.su/modules.php?name=News&file=view&news_id=25323 представлен форум под заголовком "Изощренные способы самоубийства или Суицид с извращениями".Разместил пользователь "Harley",2011-04-14 17:16:00.Перечислены 18 способов совершения самоубийства: "Вдохнуть концентрированную синильную кислоту","Отравление метанолом (метиловый или древесный спирт)","Отравление ртутью (растворимые соли, сулема)" и др. Информация размещена на всей странице.

 

Материал абонент удалил, но он его к себе, есссно, копипастил просто.

Какими же нужно быть экспертами идиотами, чтоб посчитать что данный материал содержит "информацию о способах совершения самоубийства, призывы к совершению самоубийства"?

Копий в интернете много, вот ссылка на первоисточник:

http://www.pobedish.ru/main/suicide_methods?id=65.

Но его тоже радостно закрыли....

15 ноября 2012.

Роскомнадзор закрыл раздел нашего сайта

 

Роскомнадзор потребовал закрыть раздел о способах самоубийства на нашем сайте. В случае отказа – блокировка всего проекта. Следствием этого решения будет падение посещаемости сайта примерно на треть и увеличение числа суицидов примерно на 5 в день. Будем рады помощи юристов, журналистов, с целью того, чтобы Роскомнадзор более внимательно изучил нашу работу и отменил свое постановление.

 

Ну и абонент не смог пройти мимо чиновничьей глупости и написал заметку:

http://www.tfo.su/modules.php?name=News&file=view&news_id=28307

Share this post


Link to post
Share on other sites

Это наверно ребят обязывают что нибудь найти и что нибудь прикрыть. С каждого по сайту. Иначе как объяснить что прокуроры разом во всех регионах пресылают такие требования. Никак наверно опять какой нить министр сменился. Нас например попросили прикрыть что то типа ютуба - название запямятовал. При этом ограничив доступ к сайту по ип мы не то что Федеральный закон - мы конституцию нарушаем (право знать и распространять информацию) - это естественно касаеться отстальных пользователей типа ютуба. Предалагаю чтобы медленно не париться и не разочаровываться - может вместо черного списка сайтов - введём белый и на этом проблема решиться раз и навсегда (кремлин.ру президент.ру 1тв.ру и т.п. - их легче перечислить и будет у нас что то типа сети северокорейской Квамён. Полнейший квамён :)

 

Фильм один смотрел- в сша типа служба есть "Кибер няня" - тупо сидят круглые сутки и гуглят порно сайты, суицидников и экстремистов выципляют - потом значком в рожу хостеру бац, мы типа почти ФБР "сайт удалить, хостинг данному сайту прекрыть, пользователя вообще посадить", те которые не могут достать по каким либо причинам хакают или досят-и всё нет сайта не проблемы. Вот еслиб такая слжба обратилась к нам типа у вас в сети внутри дурень один распространяет странный материал - мы бы по шапке ему бы надавали (а так наши абоенты святые люди), а косикопоры во вне - почему ими должны мы заниматься(должен заниматься тот проф у которого находится этот косячник-под пристальным вниманием такой службы). Ну и впринципе такая служба и может вести реестр заблоченных сайтов. Покрайней мере при такой схеме будет меньше забаненых ип. А то таким макаром так и айпишников не останеться в инете.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this