Перейти к содержимому
Калькуляторы

Когда собираешь под фрёй сквид, там опции: ипфв, пф - они для того, чтобы при завороте коннекта сквид дёргал у них из таблицы трансляций ориг адрес. Это насколько я разобрался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделал фильтрацию на cisco 3945. Проверяю - не работает. Оказалось, часть доменов уже сменила IP. Вроде требования выполнены, но страница не заблокирована получается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде требования выполнены, но страница не заблокирована получается.

Вот-вот, а если ссылаться на тупой дроп IP, то этот аргумент отпадает. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хватит уже курить эту дрянь. Мозг не понимает разницу между проксированием и дропом?

Запросы которые не содержат запрещенную информацию должны передаваться без всяких изменений,

можно даже с использованием столь любимого tproxy.

 

Другое дело что правильно сделать это достаточно трудно. Самый простой способ работает на микротике.

В любом случае нежелание и неумение разобраться в задаче - не повод называть это чушью.

Нет, погоди. Приватный ДНС. Как твой проксик будет проксировать запрос (условимся, что легальный) на мой приватный ДНС? А если подписанный? DNS Query Message, насколько мне известно, не содержит информации о сервере, у которого запрашивается информация. Как tproxy узнает, где спрашивать? Или попрется в ROOT-SERVERS и далее по рекурсии, пока не упрется в NXDOMAIN? Или там врапперы хитрые предполагаются?

 

Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС.

 

Только нельзя давать этот выбор инженерам или юристам. И те и другие в задачах оценки рисков впадают в неадекватные крайности.

 

Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить. Если не работает (в силу фильтрации Source IP) то можно извратиться с tproxy. Как именно - не знаю, мне эта сугубо теоретическая операция не интересна.

 

В бизнесе очень редко бывает выбор между хорошим и плохим, никогда не бывает выбора между ужасным и идеальным. Чаще всего выбираем из плохого и не очень плохого. Не будет работать хитрожопая конфигурация с приватным ДНС? Страшно? А вы в курсе что уже 10 лет у большинства провайдеров на сети тупо зафильтрован 445 и 137-139 порты? И никто не умер. Человек способный настроить приватный DNS сообразит в чем дело и догадается как настроить настроить VPN. Остальные ничего не заметят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Человек способный настроить приватный DNS сообразит в чем дело и догадается как настроить настроить VPN. Остальные ничего не заметят.

А может оказаться лидером и увести за собой всю свою группу влияния. Очень часто такие гики оказываются авторитетными советчиками для своих друзей по выбору гаджетов и провайдеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ, в реестре изменения есть? А то мне уже несколько дней никаких изменений нету...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имхуется мне, что реестр свою роль выполнил.

Бабло попилено, перед зарубежными наблюдателями помахали, что мы такие распушистые и блокируем педофилию...

И всё.

Больше он не нужен.

Изменений так же не вижу. ((=

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имхуется мне, что реестр свою роль выполнил.

Бабло попилено, перед зарубежными наблюдателями помахали, что мы такие распушистые и блокируем педофилию...

И всё.

Больше он не нужен.

Изменений так же не вижу. ((=

и снова выступлю в роли пророка - ждем выходных :)

у них часты "технические сбои" в это время, не иначе в пятницу техника уходит бухать :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС.

В случае "фильтрации 100% пользователей" гарантия оказаться пи**расом 146%-ная. В первом случае РКН нагнет по "услуге ненадлежащего качества" (ну или не РКН, а уже суд), РКН нагнет за невыполнение мизулькиной грамоты.

 

Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить.
Я вообще никакой связи с NAT в обсуждаемом ключе не увидел. NAT - L3, DNS, пусть будет L7. libresolv.so про такую гиковскую хреновину, как NAT, вообще не знает ничего, а гиковская хреновина в ядре ОС, которая знает про NAT всё, и местами даже немного больше, не знает ничего про DNS. Потому мне хотелось от тебя как раз узнать, раз ты такую штуку советуешь, как там всё реализовано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и снова выступлю в роли пророка - ждем выходных :)

И я тоже. Пока Костику М. не до фильтров, там никто шевелиться не будет. Вот попустит его СК, тогда снова возьмется за свой хитрый план. *скорчил конспирологически правильное выражение морды лица*

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI, но ломаете сервис для 0,1% гиков наподобие обсуждаемого примера. Либо вы настраиваете фильтрацию только для своих ДНС, намеренно оставля дыру для 10% умных, которые в состоянии вбить руками паблик ДНС.

В случае "фильтрации 100% пользователей" гарантия оказаться пи**расом 146%-ная. В первом случае РКН нагнет по "услуге ненадлежащего качества" (ну или не РКН, а уже суд), РКН нагнет за невыполнение мизулькиной грамоты.

 

Обернуться простыней и ползти на кладбище.

 

Ну вообще чувствуется что вы с надзорными органами мало общались, а тему фильтрации вобще первый раз подняли. Вы занимались вопросом школьной фильтраци раньше? Если не занимались, то первая аксиома звучит так - невозможно сделать полную фильтрацию. Дальше идет задача оптимизации как с надежностью. За каждую следующю 9 грубо говоря вам нужно заплатить в 10 раз больше денег.

 

 

Теперь возращаемся к нашем примеру. Приватный ДНС работает через NAT? Если да, то никаких проблем не будет - ДНС запросы можно просто занатить.
Я вообще никакой связи с NAT в обсуждаемом ключе не увидел. NAT - L3, DNS, пусть будет L7. libresolv.so про такую гиковскую хреновину, как NAT, вообще не знает ничего, а гиковская хреновина в ядре ОС, которая знает про NAT всё, и местами даже немного больше, не знает ничего про DNS. Потому мне хотелось от тебя как раз узнать, раз ты такую штуку советуешь, как там всё реализовано.

 

Я про ДНС ничего не советую, просто сказал о приницпиальной возможности. Ярассказывал об URL фильтрации в работоспособности которой уверено на 100%. Все что вы закинете на тазик с Nginx я отработаю. Что вы туда закинете 80% трафика или 99 или 99,999 - ваш выбор. Правильного решения не существует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А тем временем в Британии

Ministers have rejected plans to automatically block internet access to pornography on all computers, saying the move is not widely supported.

http://www.bbc.co.uk/news/uk-politics-20738746

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы должны сделать выбор - либо вы проксируете ДНС запросы, тогда обеспечиваете выполнение фильтрации для 100% пользователей, экономите тыщщи денег на DPI

Я про ДНС ничего не советую

 

Извини, я в растерянности. Но, если твой посыл был в том, что написать днс-рекурсер, умеющий дергать из ядра ОС таблицы NAT-маппинга и сопоставлять с запросами, принципиальных трудностей не составит, тогда да, возражений нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маразм крепчает!

Чудо письмо, в котором предлагают закрыть доступ к ресурсам:

narod.ru

lurkmore.to

my.mail.ru

blogspot.ru

smotri.com

post-86441-067118100 1356343292_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ниче, что почти половина сайтов хостятся в РУ и/или имеют домены в зоне РУ и прокурорские могли бы с ними пообщаться напрямую, не напрягая непричастных ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ты чо?.. это же надо что-то делать... кудато там звонить, писать, пытаться понять, что тебе ответили. Нашёл идиотов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Звиздец. А встречный вопрос к ним - если уж ввели этот реестр, то нельзя ли тогда по всем ресурсам, попадающим под действие закона о реестре, обращаться к РКН, чтобы они внесли эти ресурсы в реестр, а не судебные иски от прокуратуры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все провайдеры Армавиа отписались что заблокировали сайты, но 6 сайтов из этого списка не могут заблокировать потому что ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да заблокировали бы, чего уж там... Глядишь, Mail.RU что-нибудь официально высказал бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все провайдеры Армавиа отписались что заблокировали сайты, но 6 сайтов из этого списка не могут заблокировать потому что ...

А вот кстати. Какую можно логичную причину придумать, объясняющую это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какую можно логичную причину придумать, объясняющую это?

ну не причину, а потянуть время:

истребовать разъяснений в контексте ФЗ о блокировках:

типа в соответствии с ФЗ мы можем блокировать по ипе - сообщите список.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

ну не причину, а потянуть время:

истребовать разъяснений в контексте ФЗ о блокировках:

типа в соответствии с ФЗ мы можем блокировать по ипе - сообщите список.

 

Если уж ФЗ, то ... наша система в автоматическом режиме блокирует по реестру запрещенных сайтов. Ваших сайтов там нет, потому и не блокирует. Передайте Ваш список туда. Не прокатит... ?

 

Мне вот интересно, за подрыв Невского экспресса они почему-то посадили не начальника поезда и не проводницу, а стали искать кого то еще.. Почему тут не ищут, а бегут к стрелочнику?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пришло нам письмо из Надзора. У одного частного лица, нашего абонента, свой сайт на домашнем сервачке.

Описание запрещенной информации: на страница http://www.tfo.su/modules.php?name=News&file=view&news_id=25323 представлен форум под заголовком "Изощренные способы самоубийства или Суицид с извращениями".Разместил пользователь "Harley",2011-04-14 17:16:00.Перечислены 18 способов совершения самоубийства: "Вдохнуть концентрированную синильную кислоту","Отравление метанолом (метиловый или древесный спирт)","Отравление ртутью (растворимые соли, сулема)" и др. Информация размещена на всей странице.

 

Материал абонент удалил, но он его к себе, есссно, копипастил просто.

Какими же нужно быть экспертами идиотами, чтоб посчитать что данный материал содержит "информацию о способах совершения самоубийства, призывы к совершению самоубийства"?

Копий в интернете много, вот ссылка на первоисточник:

http://www.pobedish.ru/main/suicide_methods?id=65.

Но его тоже радостно закрыли....

15 ноября 2012.

Роскомнадзор закрыл раздел нашего сайта

 

Роскомнадзор потребовал закрыть раздел о способах самоубийства на нашем сайте. В случае отказа – блокировка всего проекта. Следствием этого решения будет падение посещаемости сайта примерно на треть и увеличение числа суицидов примерно на 5 в день. Будем рады помощи юристов, журналистов, с целью того, чтобы Роскомнадзор более внимательно изучил нашу работу и отменил свое постановление.

 

Ну и абонент не смог пройти мимо чиновничьей глупости и написал заметку:

http://www.tfo.su/modules.php?name=News&file=view&news_id=28307

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это наверно ребят обязывают что нибудь найти и что нибудь прикрыть. С каждого по сайту. Иначе как объяснить что прокуроры разом во всех регионах пресылают такие требования. Никак наверно опять какой нить министр сменился. Нас например попросили прикрыть что то типа ютуба - название запямятовал. При этом ограничив доступ к сайту по ип мы не то что Федеральный закон - мы конституцию нарушаем (право знать и распространять информацию) - это естественно касаеться отстальных пользователей типа ютуба. Предалагаю чтобы медленно не париться и не разочаровываться - может вместо черного списка сайтов - введём белый и на этом проблема решиться раз и навсегда (кремлин.ру президент.ру 1тв.ру и т.п. - их легче перечислить и будет у нас что то типа сети северокорейской Квамён. Полнейший квамён :)

 

Фильм один смотрел- в сша типа служба есть "Кибер няня" - тупо сидят круглые сутки и гуглят порно сайты, суицидников и экстремистов выципляют - потом значком в рожу хостеру бац, мы типа почти ФБР "сайт удалить, хостинг данному сайту прекрыть, пользователя вообще посадить", те которые не могут достать по каким либо причинам хакают или досят-и всё нет сайта не проблемы. Вот еслиб такая слжба обратилась к нам типа у вас в сети внутри дурень один распространяет странный материал - мы бы по шапке ему бы надавали (а так наши абоенты святые люди), а косикопоры во вне - почему ими должны мы заниматься(должен заниматься тот проф у которого находится этот косячник-под пристальным вниманием такой службы). Ну и впринципе такая служба и может вести реестр заблоченных сайтов. Покрайней мере при такой схеме будет меньше забаненых ип. А то таким макаром так и айпишников не останеться в инете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.