Sergey Gilfanov Опубликовано 2 апреля, 2014 · Жалоба спасибо за идею. надо еще на нестандартных портах несколько зеркал разместить Сразу на всех? Делаем dnat с localhost:1000-65000 на localhost:80, где проксирующий nginx живет. или что-то похожее. И да, IPv6 тоже не забываем. Так, чтобы было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 2 апреля, 2014 · Жалоба С чего вы вообще взяли, что не нужно блокировать не-HTTP? Где об этом написано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 2 апреля, 2014 · Жалоба С чего вы вообще взяли, что не нужно блокировать не-HTTP? Где об этом написано? А где написано, что нужно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 2 апреля, 2014 · Жалоба С чего вы вообще взяли, что не нужно блокировать не-HTTP? Где об этом написано? А где написано, что нужно? 10. В течение суток с момента включения в реестр сетевого адреса, позволяющего идентифицировать сайт в сети "Интернет", содержащий информацию, распространение которой в Российской Федерации запрещено, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому сайту в сети "Интернет".13) сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается через сеть "Интернет" по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет"; Не вижу упоминаний протокола/порта или каких-то иных определяющих критериев, кроме доменное имя/сетевой адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
booster75 Опубликовано 2 апреля, 2014 (изменено) · Жалоба Что делать абоненту, если провайдер блокирует адреса не внесенные в реестр? МГТС стал блокировать зерклала блога Навального, в качестве примера - http://6iflp.***rkn.me/ В реестре запрещенных сайтов адрес не значится, но при попытке открыть получаем: ======= Уважаемый абонент! Доступ к запрашиваемому Вами Интернет-ресурсу ограничен в соответствии с требованиями законодательства и/или во исполнение решения суда. ======= Требования каких отраслевых НПА нарушает провайдер отказывая в доступе к официально незаблокированным ресурсам? Писать в Роспотребназдор об оказании услуг ненадлежащего качества? Изменено 2 апреля, 2014 пользователем booster75 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 2 апреля, 2014 · Жалоба Ну если под этим углом смотреть, то возможно и да, нужно блокировать все. Вот только им (a) не пользуются и (b) оно кривое до невозможности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 2 апреля, 2014 · Жалоба Что делать абоненту, если провайдер блокирует адреса не внесенные в реестр? МГТС стал блокировать зерклала блога Навального, в качестве примера - http://6iflp.***rkn.me/'>http://6iflp.***rkn.me/ а? оно есть в реестре 2014-04-02T15:12:11;75996;188.226.197.161;6iflp.***rkn.me;http://6iflp.***rkn.me 2014-04-02T15:12:11;75996;188.226.202.246;6iflp.***rkn.me;http://6iflp.***rkn.me Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 2 апреля, 2014 · Жалоба неужели никто еще не догадался внести *.***rkn.me в DNS записи (со стороны "борцов" вгести)? я так понимаю механизм блокировок не подразумевает wildcard А юзерам сказать - набирать <случайноеслово>.***rkn.me IP адрес можно менять оперативно, cdn сейчас много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 2 апреля, 2014 · Жалоба неужели никто еще не догадался внести *.***rkn.me в DNS записи (со стороны "борцов" вгести)? я так понимаю механизм блокировок не подразумевает wildcard А разве эти wildcard снаружи видны? Это не внутреннее дело сервера зоны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Солнечный КОТ Опубликовано 2 апреля, 2014 · Жалоба >> Не сомневаюсь что суд именно так и посчитает, но по факту это просчет схемы. И абсолютно правильно сделает. И статейки УК под это есть вполне себе соответствующие, надо просто провести соответствующие экспертизы правильно. А сочувствующие будут вполне обыденно раздавленны толпой обездоленных вконтактиков. А чего он VK.COM то не поставит? Ссыт Лешенька? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 2 апреля, 2014 · Жалоба И абсолютно правильно сделает. И статейки УК под это есть вполне себе соответствующие, надо просто провести соответствующие экспертизы правильно. А тех, кто все эти *.***rkn.me в реестр внес - как соучастники пойдут? Без их участия тоже весь этот бардак не получился бы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Солнечный КОТ Опубликовано 2 апреля, 2014 · Жалоба Не знаю. Замочить таким образом - проще всего владельца домена. Остальное - умысел доказывать надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 2 апреля, 2014 · Жалоба Конституционный суд Турции постановил разблокировать Twitter Читать полностью: http://kommersant.ru/doc/2443948 Турецкий конституционный суд в среду признал незаконным решение правительства заблокировать доступ к Twitter, сообщает AFP. В постановлении суда говорится, что власти Турции должны разблокировать доступ к Интернет-ресурсу. Доступ к социальной сети Twitter на территории Турции был заблокирован 21 марта по решению правительства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 2 апреля, 2014 · Жалоба Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи? Потому что там пытаются решать политические задачи техническими средствами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 2 апреля, 2014 · Жалоба Не знаю. Замочить таким образом - проще всего владельца домена. Остальное - умысел доказывать надо. С владельца домена взятки гладки, - что хочу, то и пишу, оно в CNAME даже валидным быть не обязано. В лучшем случае можно подтянуть зарегистрированную торговую марку, если зарегистрировали именно такой набор символов, да и то сомнительно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 2 апреля, 2014 · Жалоба 13) сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается через сеть "Интернет" по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет"; Не вижу упоминаний протокола/порта или каких-то иных определяющих критериев, кроме доменное имя/сетевой адрес. Кстати, вся подлянка с корневыми серверами - наглядный пример того, что закон применяется неправильно. Оказывается, что в данном случае пара (имя, адрес) не идентифицирует сайт. Хотели указать на нарушителя, а попали на элемент критической инфраструктуры. Если же закон применять как написано, те только для идентифицирующих пар (имя, адрес), что требует проверки соответствия в обе стороны - то подлянки не получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 2 апреля, 2014 · Жалоба А разве эти wildcard снаружи видны? Это не внутреннее дело сервера зоны? Внутреннее, но это значит, что РКН будет занят не очень полезной работой :) Все возможные варианты точно не влезут в DPI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 2 апреля, 2014 · Жалоба Внутреннее, но это значит, что РКН будет занят не очень полезной работой :) Все возможные варианты точно не влезут. Похоже, что они это сделали. Во всяком случае, у меня резолвится произвольный домен из *.***rkn.me host `cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1`.***rkn.me Кто там про 250k записей для DPI что-то говорил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LuckySB Опубликовано 2 апреля, 2014 · Жалоба Роскомнадзор полагает что фильтруемого трафика будет не много. Но учел ли Роскомнадзор, что таким образом можно направить на DPI большой объем трафика от легальных сайтов? Вот возьмем например Вконтакте, состоит он из множества серверов, какие-то отвечают за отдачу HTML-кода (который не дает много трафика), это сам vk.com, а есть и отдельные сервера отдающие медиаконтент (картинки, музыка и видео) и вот они то дадут существенный поток трафика если их направить на DPI (прим. о чем некоторые и сообщают http://forum.nag.ru/...ndpost&p=951292 , но им повезло что это был только vk.com, а не его медиа-контент) ССЗБ Если вы направляете в DPI входящий трафик - то так вам и надо. прилично настроенные бюджетные DPI смотрят только в пакеты с dst-port 80 Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи? Специалисты есть. только вот все работают за деньги, а не за идею ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 2 апреля, 2014 · Жалоба прилично настроенные бюджетные DPI смотрят только в пакеты с dst-port 80 т.е. я правильно предложил перевесить на случайный порт сайт? чтоб за***сь не расслаблялись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LuckySB Опубликовано 2 апреля, 2014 · Жалоба ] т.е. я правильно предложил перевесить на случайный порт сайт? чтоб за***сь не расслаблялись. Конечно правильно. А ссылки на него голубиной почтой распространять, чтоб ни один поисковик не нашел ;) PS: Я вон в соседней теме хвастался письмом от РКН: требуют прекратить своевольничать и блочить исключительно ip адреса из реестра. PPS: А сегодня уже звонили с вопросами - почему не все блокирую. ;) Отписался, жду реакции Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
onlime_user Опубликовано 2 апреля, 2014 · Жалоба Таки в https будут серфтификаты подменять? И народу будет пофиг? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 2 апреля, 2014 · Жалоба Техническое простое решение есть: белые списки :) В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал, на данный момент есть опасения что из-за этой "войны" интернет будет колбасить и его уже начинает колбасить и с этим нужно что-то делать. Вот и возись с техникой дальше, то что гоблины там колбасят неприятно, проводи разъяснительную работу: "это не моя вина граждане пользователи, это законы такие, вон те люди их придумали и могут поменять." УК РФ статья 272 часть 2. УК РФ статья 274 часть 2. Но определенно или алеша или его недалекие друзья с пустыми головами горящими сердцами огребут по результатам сего. Они могут быть не подсудны. А где тут неправомерный доступ? Ну вот хочу я, чтобы мой домен xxx.yyy.zzz на их сайт вел. ЧСВ у меня от этого увеличивается. Суд на адвоката и подсудимого вообще не смотрит и не слушает, закатают и всё. Ещё для верности подкинут чегонить. ну это же прекрасно. наконец то весь энторнет станет колом изза тупости властей. и народ выйден на майдан а путлера замочат в канализации.. Тебе то какой с этого профит? Ты думаешь после этого тебе станет жить лучше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LuckySB Опубликовано 2 апреля, 2014 · Жалоба Таки в https будут серфтификаты подменять? И народу будет пофиг? Это почему вы так подумали ? Это ж поплохеет сразу всяким интернет-плтежам, -банкингам, -госуслугами и прочим обработчикам персональных данных.... Может только какойнить сервер СОРМ-30040 в сейфе. опломбированном ФСБ, Центробанкой и лично путиным Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 2 апреля, 2014 · Жалоба Проксирование https c подменой сертификата работает на ура. Это все как бы настроено уже не раз. Достаточно чтобы бешенный принтер принял закон который разрешает подмену сертификата для сайта из реестра и - вуаля! Надеюсь что идиоты из госдуры не прочитают этот пост, хотя народ на хабре давно прикалываются что идеи выплеснутые в камменты в порядке бреда немедлнено попадают в бешенный принтер. В свете происходящего интересует другое, как быстро наши власти придут к белым спискам и концепции великого русского фаирвола? Таки в https будут серфтификаты подменять? И народу будет пофиг? Это почему вы так подумали ? Это ж поплохеет сразу всяким интернет-плтежам, -банкингам, -госуслугами и прочим обработчикам персональных данных.... Может только какойнить сервер СОРМ-30040 в сейфе. опломбированном ФСБ, Центробанкой и лично путиным Будет белый реестр, официальная форма регистрации и годовая оплата тысяч 10 рублей. Это проще простого, главное сначала все запретить и скомпрометировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...