Ivan_83 Опубликовано 13 декабря, 2012 · Жалоба Когда собираешь под фрёй сквид, там опции: ипфв, пф - они для того, чтобы при завороте коннекта сквид дёргал у них из таблицы трансляций ориг адрес. Это насколько я разобрался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 13 декабря, 2012 · Жалоба Сделал фильтрацию на cisco 3945. Проверяю - не работает. Оказалось, часть доменов уже сменила IP. Вроде требования выполнены, но страница не заблокирована получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Антон Богатов Опубликовано 13 декабря, 2012 · Жалоба Вроде требования выполнены, но страница не заблокирована получается. Вот-вот, а если ссылаться на тупой дроп IP, то этот аргумент отпадает. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 13 декабря, 2012 · Жалоба Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом? Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений, можно даже с использованием столь любимого tproxy. Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике. В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью. Нет, погоди. Приватный ДНС. Как твой проксик будет проксировать запрос (условимся, что легальный) на мой приватный ДНС? А если подписанный? DNS Query Message, насколько мне известно, не содержит информации о сервере, у которого запрашивается информация. Как tproxy узнает, где спрашивать? Или попрется в ROOT-SERVERS и далее по рекурсии, пока не упрется в NXDOMAIN? Или там врапперы хитрые предполагаются? Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС. Только нельзя давать этот выбор инженерам или юристам. И те и другие в задачах оценки рисков впадают в неадекватные крайности. Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить. Если не работает (в силу фильтрации Source IP) то можно извратиться с tproxy. Как именно - не знаю, мне эта сугубо теоретическая операция не интересна. В бизнесе очень редко бывает выбор между хорошим и плохим, никогда не бывает выбора между ужасным и идеальным. Чаще всего выбираем из плохого и не очень плохого. Не будет работать хитрожопая конфигурация с приватным ДНС? Страшно? А вы в курсе что уже 10 лет у большинства провайдеров на сети тупо зафильтрован 445 и 137-139 порты? И никто не умер. Человек способный настроить приватный DNS сообразит в чем дело и догадается как настроить настроить VPN. Остальные ничего не заметят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 13 декабря, 2012 · Жалоба Человек способный настроить приватный DNS сообразит в чем дело и догадается как настроить настроить VPN. Остальные ничего не заметят. А может оказаться лидером и увести за собой всю свою группу влияния. Очень часто такие гики оказываются авторитетными советчиками для своих друзей по выбору гаджетов и провайдеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
с3845 Опубликовано 14 декабря, 2012 · Жалоба Народ, в реестре изменения есть? А то мне уже несколько дней никаких изменений нету... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pilorama Опубликовано 14 декабря, 2012 · Жалоба Имхуется мне, что реестр свою роль выполнил. Бабло попилено, перед зарубежными наблюдателями помахали, что мы такие распушистые и блокируем педофилию... И всё. Больше он не нужен. Изменений так же не вижу. ((= Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
elcambino Опубликовано 14 декабря, 2012 · Жалоба Имхуется мне, что реестр свою роль выполнил. Бабло попилено, перед зарубежными наблюдателями помахали, что мы такие распушистые и блокируем педофилию... И всё. Больше он не нужен. Изменений так же не вижу. ((= и снова выступлю в роли пророка - ждем выходных :) у них часты "технические сбои" в это время, не иначе в пятницу техника уходит бухать :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 14 декабря, 2012 · Жалоба Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС. В случае "фильтрации 100% пользователей" гарантия оказаться пи**расом 146%-ная. В первом случае РКН нагнет по "услуге ненадлежащего качества" (ну или не РКН, а уже суд), РКН нагнет за невыполнение мизулькиной грамоты. Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить. Я вообще никакой связи с NAT в обсуждаемом ключе не увидел. NAT - L3, DNS, пусть будет L7. libresolv.so про такую гиковскую хреновину, как NAT, вообще не знает ничего, а гиковская хреновина в ядре ОС, которая знает про NAT всё, и местами даже немного больше, не знает ничего про DNS. Потому мне хотелось от тебя как раз узнать, раз ты такую штуку советуешь, как там всё реализовано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wanderer_from Опубликовано 14 декабря, 2012 · Жалоба и снова выступлю в роли пророка - ждем выходных :) И я тоже. Пока Костику М. не до фильтров, там никто шевелиться не будет. Вот попустит его СК, тогда снова возьмется за свой хитрый план. *скорчил конспирологически правильное выражение морды лица* Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 14 декабря, 2012 · Жалоба Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС. В случае "фильтрации 100% пользователей" гарантия оказаться пи**расом 146%-ная. В первом случае РКН нагнет по "услуге ненадлежащего качества" (ну или не РКН, а уже суд), РКН нагнет за невыполнение мизулькиной грамоты. Обернуться простыней и ползти на кладбище. Ну вообще чувствуется что вы с надзорными органами мало общались, а тему фильтрации вобще первый раз подняли. Вы занимались вопросом школьной фильтраци раньше? Если не занимались, то первая аксиома звучит так - невозможно сделать полную фильтрацию. Дальше идет задача оптимизации как с надежностью. За каждую следующю 9 грубо говоря вам нужно заплатить в 10 раз больше денег. Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить. Я вообще никакой связи с NAT в обсуждаемом ключе не увидел. NAT - L3, DNS, пусть будет L7. libresolv.so про такую гиковскую хреновину, как NAT, вообще не знает ничего, а гиковская хреновина в ядре ОС, которая знает про NAT всё, и местами даже немного больше, не знает ничего про DNS. Потому мне хотелось от тебя как раз узнать, раз ты такую штуку советуешь, как там всё реализовано. Я про ДНС ничего не советую, просто сказал о приницпиальной возможности. Ярассказывал об URL фильтрации в работоспособности которой уверено на 100%. Все что вы закинете на тазик с Nginx я отработаю. Что вы туда закинете 80% трафика или 99 или 99,999 - ваш выбор. Правильного решения не существует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ohfsgcscft Опубликовано 16 декабря, 2012 · Жалоба А тем временем в Британии Ministers have rejected plans to automatically block internet access to pornography on all computers, saying the move is not widely supported. http://www.bbc.co.uk/news/uk-politics-20738746 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 17 декабря, 2012 · Жалоба Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI Я про ДНС ничего не советую Извини, я в растерянности. Но, если твой посыл был в том, что написать днс-рекурсер, умеющий дергать из ядра ОС таблицы NAT-маппинга и сопоставлять с запросами, принципиальных трудностей не составит, тогда да, возражений нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yxzz Опубликовано 24 декабря, 2012 · Жалоба Маразм крепчает! Чудо письмо, в котором предлагают закрыть доступ к ресурсам: narod.ru lurkmore.to my.mail.ru blogspot.ru smotri.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 24 декабря, 2012 · Жалоба А первый сайт уже оперативно заблочен, да? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 24 декабря, 2012 · Жалоба А ниче, что почти половина сайтов хостятся в РУ и/или имеют домены в зоне РУ и прокурорские могли бы с ними пообщаться напрямую, не напрягая непричастных ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 декабря, 2012 · Жалоба Ты чо?.. это же надо что-то делать... кудато там звонить, писать, пытаться понять, что тебе ответили. Нашёл идиотов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 24 декабря, 2012 · Жалоба Звиздец. А встречный вопрос к ним - если уж ввели этот реестр, то нельзя ли тогда по всем ресурсам, попадающим под действие закона о реестре, обращаться к РКН, чтобы они внесли эти ресурсы в реестр, а не судебные иски от прокуратуры? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 24 декабря, 2012 · Жалоба Все провайдеры Армавиа отписались что заблокировали сайты, но 6 сайтов из этого списка не могут заблокировать потому что ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 декабря, 2012 · Жалоба Да заблокировали бы, чего уж там... Глядишь, Mail.RU что-нибудь официально высказал бы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 24 декабря, 2012 · Жалоба Все провайдеры Армавиа отписались что заблокировали сайты, но 6 сайтов из этого списка не могут заблокировать потому что ... А вот кстати. Какую можно логичную причину придумать, объясняющую это? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 25 декабря, 2012 · Жалоба Какую можно логичную причину придумать, объясняющую это? ну не причину, а потянуть время: истребовать разъяснений в контексте ФЗ о блокировках: типа в соответствии с ФЗ мы можем блокировать по ипе - сообщите список. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 декабря, 2012 · Жалоба ну не причину, а потянуть время: истребовать разъяснений в контексте ФЗ о блокировках: типа в соответствии с ФЗ мы можем блокировать по ипе - сообщите список. Если уж ФЗ, то ... наша система в автоматическом режиме блокирует по реестру запрещенных сайтов. Ваших сайтов там нет, потому и не блокирует. Передайте Ваш список туда. Не прокатит... ? Мне вот интересно, за подрыв Невского экспресса они почему-то посадили не начальника поезда и не проводницу, а стали искать кого то еще.. Почему тут не ищут, а бегут к стрелочнику? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 25 декабря, 2012 · Жалоба Пришло нам письмо из Надзора. У одного частного лица, нашего абонента, свой сайт на домашнем сервачке. Описание запрещенной информации: на страница http://www.tfo.su/modules.php?name=News&file=view&news_id=25323 представлен форум под заголовком "Изощренные способы самоубийства или Суицид с извращениями".Разместил пользователь "Harley",2011-04-14 17:16:00.Перечислены 18 способов совершения самоубийства: "Вдохнуть концентрированную синильную кислоту","Отравление метанолом (метиловый или древесный спирт)","Отравление ртутью (растворимые соли, сулема)" и др. Информация размещена на всей странице. Материал абонент удалил, но он его к себе, есссно, копипастил просто. Какими же нужно быть экспертами идиотами, чтоб посчитать что данный материал содержит "информацию о способах совершения самоубийства, призывы к совершению самоубийства"? Копий в интернете много, вот ссылка на первоисточник: http://www.pobedish.ru/main/suicide_methods?id=65. Но его тоже радостно закрыли.... 15 ноября 2012.Роскомнадзор закрыл раздел нашего сайта Роскомнадзор потребовал закрыть раздел о способах самоубийства на нашем сайте. В случае отказа – блокировка всего проекта. Следствием этого решения будет падение посещаемости сайта примерно на треть и увеличение числа суицидов примерно на 5 в день. Будем рады помощи юристов, журналистов, с целью того, чтобы Роскомнадзор более внимательно изучил нашу работу и отменил свое постановление. Ну и абонент не смог пройти мимо чиновничьей глупости и написал заметку: http://www.tfo.su/modules.php?name=News&file=view&news_id=28307 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rom Опубликовано 11 января, 2013 · Жалоба Это наверно ребят обязывают что нибудь найти и что нибудь прикрыть. С каждого по сайту. Иначе как объяснить что прокуроры разом во всех регионах пресылают такие требования. Никак наверно опять какой нить министр сменился. Нас например попросили прикрыть что то типа ютуба - название запямятовал. При этом ограничив доступ к сайту по ип мы не то что Федеральный закон - мы конституцию нарушаем (право знать и распространять информацию) - это естественно касаеться отстальных пользователей типа ютуба. Предалагаю чтобы медленно не париться и не разочаровываться - может вместо черного списка сайтов - введём белый и на этом проблема решиться раз и навсегда (кремлин.ру президент.ру 1тв.ру и т.п. - их легче перечислить и будет у нас что то типа сети северокорейской Квамён. Полнейший квамён :) Фильм один смотрел- в сша типа служба есть "Кибер няня" - тупо сидят круглые сутки и гуглят порно сайты, суицидников и экстремистов выципляют - потом значком в рожу хостеру бац, мы типа почти ФБР "сайт удалить, хостинг данному сайту прекрыть, пользователя вообще посадить", те которые не могут достать по каким либо причинам хакают или досят-и всё нет сайта не проблемы. Вот еслиб такая слжба обратилась к нам типа у вас в сети внутри дурень один распространяет странный материал - мы бы по шапке ему бы надавали (а так наши абоенты святые люди), а косикопоры во вне - почему ими должны мы заниматься(должен заниматься тот проф у которого находится этот косячник-под пристальным вниманием такой службы). Ну и впринципе такая служба и может вести реестр заблоченных сайтов. Покрайней мере при такой схеме будет меньше забаненых ип. А то таким макаром так и айпишников не останеться в инете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...