[Sergey Gilfanov]

спасибо за идею. надо еще на нестандартных портах несколько зеркал разместить

Сразу на всех? Делаем dnat с localhost:1000-65000 на localhost:80, где проксирующий nginx живет. или что-то похожее.

И да, IPv6 тоже не забываем. Так, чтобы было.

[Rivia]

С чего вы вообще взяли, что не нужно блокировать не-HTTP? Где об этом написано?

[Sergey Gilfanov]

С чего вы вообще взяли, что не нужно блокировать не-HTTP? Где об этом написано?

А где написано, что нужно?

[Rivia]

С чего вы вообще взяли, что не нужно блокировать не-HTTP? Где об этом написано?

А где написано, что нужно?

10. В течение суток с момента включения в реестр сетевого адреса, позволяющего идентифицировать сайт в сети "Интернет", содержащий информацию, распространение которой в Российской Федерации запрещено, оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет", обязан ограничить доступ к такому сайту в сети "Интернет".

13) сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается через сеть "Интернет" по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет";

Не вижу упоминаний протокола/порта или каких-то иных определяющих критериев, кроме доменное имя/сетевой адрес.

[booster75]

Что делать абоненту, если провайдер блокирует адреса не внесенные в реестр?

МГТС стал блокировать зерклала блога Навального, в качестве примера - http://6iflp.***rkn.me/

В реестре запрещенных сайтов адрес не значится, но при попытке открыть получаем:

=======

Уважаемый абонент!

Доступ к запрашиваемому Вами Интернет-ресурсу ограничен в

соответствии с требованиями законодательства и/или во исполнение

решения суда.

=======

Требования каких отраслевых НПА нарушает провайдер отказывая в доступе к официально незаблокированным ресурсам?

Писать в Роспотребназдор об оказании услуг ненадлежащего качества?

Изменено 2 апреля, 2014 пользователем booster75

[Sergey Gilfanov]

Ну если под этим углом смотреть, то возможно и да, нужно блокировать все. Вот только им (a) не пользуются и (b) оно кривое до невозможности.

[Tem]

Что делать абоненту, если провайдер блокирует адреса не внесенные в реестр?

МГТС стал блокировать зерклала блога Навального, в качестве примера - http://6iflp.***rkn.me/'>http://6iflp.***rkn.me/

а?

оно есть в реестре

2014-04-02T15:12:11;75996;188.226.197.161;6iflp.***rkn.me;http://6iflp.***rkn.me

2014-04-02T15:12:11;75996;188.226.202.246;6iflp.***rkn.me;http://6iflp.***rkn.me

[nuclearcat]

неужели никто еще не догадался внести *.***rkn.me в DNS записи (со стороны "борцов" вгести)? я так понимаю механизм блокировок не подразумевает wildcard

А юзерам сказать - набирать <случайноеслово>.***rkn.me

IP адрес можно менять оперативно, cdn сейчас много.

[Sergey Gilfanov]

неужели никто еще не догадался внести *.***rkn.me в DNS записи (со стороны "борцов" вгести)? я так понимаю механизм блокировок не подразумевает wildcard

А разве эти wildcard снаружи видны? Это не внутреннее дело сервера зоны?

[Солнечный КОТ]

>> Не сомневаюсь что суд именно так и посчитает, но по факту это просчет схемы.

 

И абсолютно правильно сделает. И статейки УК под это есть вполне себе соответствующие, надо просто провести соответствующие экспертизы правильно. А сочувствующие будут вполне обыденно раздавленны толпой обездоленных вконтактиков. А чего он VK.COM то не поставит? Ссыт Лешенька?

[Sergey Gilfanov]

И абсолютно правильно сделает. И статейки УК под это есть вполне себе соответствующие, надо просто провести соответствующие экспертизы правильно.

А тех, кто все эти *.***rkn.me в реестр внес - как соучастники пойдут? Без их участия тоже весь этот бардак не получился бы.

[Солнечный КОТ]

Не знаю. Замочить таким образом - проще всего владельца домена. Остальное - умысел доказывать надо.

[Дятел]

Конституционный суд Турции постановил разблокировать Twitter

Читать полностью: http://kommersant.ru/doc/2443948

 

Турецкий конституционный суд в среду признал незаконным решение правительства заблокировать доступ к Twitter, сообщает AFP. В постановлении суда говорится, что власти Турции должны разблокировать доступ к Интернет-ресурсу. Доступ к социальной сети Twitter на территории Турции был заблокирован 21 марта по решению правительства.

[Прохожий]

Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи?

Потому что там пытаются решать политические задачи техническими средствами.

[vIv]

Не знаю. Замочить таким образом - проще всего владельца домена. Остальное - умысел доказывать надо.

С владельца домена взятки гладки, - что хочу, то и пишу, оно в CNAME даже валидным быть не обязано. В лучшем случае можно подтянуть зарегистрированную торговую марку, если зарегистрировали именно такой набор символов, да и то сомнительно.

[Sergey Gilfanov]

13) сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается через сеть "Интернет" по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет";

Не вижу упоминаний протокола/порта или каких-то иных определяющих критериев, кроме доменное имя/сетевой адрес.

Кстати, вся подлянка с корневыми серверами - наглядный пример того, что закон применяется неправильно. Оказывается, что в данном случае пара (имя, адрес) не идентифицирует сайт. Хотели указать на нарушителя, а попали на элемент критической инфраструктуры. Если же закон применять как написано, те только для идентифицирующих пар (имя, адрес), что требует проверки соответствия в обе стороны - то подлянки не получится.

[nuclearcat]

А разве эти wildcard снаружи видны? Это не внутреннее дело сервера зоны?

Внутреннее, но это значит, что РКН будет занят не очень полезной работой :) Все возможные варианты точно не влезут в DPI

[Sergey Gilfanov]

Внутреннее, но это значит, что РКН будет занят не очень полезной работой :) Все возможные варианты точно не влезут.

Похоже, что они это сделали. Во всяком случае, у меня резолвится произвольный домен из *.***rkn.me

host `cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1`.***rkn.me

Кто там про 250k записей для DPI что-то говорил?

[LuckySB]

Роскомнадзор полагает что фильтруемого трафика будет не много. Но учел ли Роскомнадзор, что таким образом можно направить на DPI большой объем трафика от легальных сайтов? Вот возьмем например Вконтакте, состоит он из множества серверов, какие-то отвечают за отдачу HTML-кода (который не дает много трафика), это сам vk.com, а есть и отдельные сервера отдающие медиаконтент (картинки, музыка и видео) и вот они то дадут существенный поток трафика если их направить на DPI (прим. о чем некоторые и сообщают http://forum.nag.ru/...ndpost&p=951292 , но им повезло что это был только vk.com, а не его медиа-контент)

ССЗБ

Если вы направляете в DPI входящий трафик - то так вам и надо.

прилично настроенные бюджетные DPI смотрят только в пакеты с dst-port 80

 

Ещё более интересно, почему Роскомнадзор не может подумать хотя бы на шаг вперед? Неужели у нас в Москве нет стоящих IT-специалистов? где они? почему вокруг реестра так много ошибок и откровенной лажи?

Специалисты есть. только вот все работают за деньги, а не за идею ;)

[woddy]

прилично настроенные бюджетные DPI смотрят только в пакеты с dst-port 80

т.е. я правильно предложил перевесить на случайный порт сайт? чтоб за***сь не расслаблялись.

[LuckySB]

] т.е. я правильно предложил перевесить на случайный порт сайт? чтоб за***сь не расслаблялись.

 

Конечно правильно. А ссылки на него голубиной почтой распространять, чтоб ни один поисковик не нашел ;)

 

 

PS: Я вон в соседней теме хвастался письмом от РКН: требуют прекратить своевольничать и блочить исключительно ip адреса из реестра.

PPS: А сегодня уже звонили с вопросами - почему не все блокирую. ;) Отписался, жду реакции

[onlime_user]

Таки в https будут серфтификаты подменять?

И народу будет пофиг?

[Ivan_83]

Техническое простое решение есть: белые списки :)

 

В мои задачи не входит понимать политические дрязги, моя задача чтобы интернет работал, на данный момент есть опасения что из-за этой "войны" интернет будет колбасить и его уже начинает колбасить и с этим нужно что-то делать.

Вот и возись с техникой дальше, то что гоблины там колбасят неприятно, проводи разъяснительную работу: "это не моя вина граждане пользователи, это законы такие, вон те люди их придумали и могут поменять."

 

УК РФ статья 272 часть 2. УК РФ статья 274 часть 2.

Но определенно или алеша или его недалекие друзья с пустыми головами горящими сердцами огребут по результатам сего.

Они могут быть не подсудны.

 

А где тут неправомерный доступ? Ну вот хочу я, чтобы мой домен xxx.yyy.zzz на их сайт вел. ЧСВ у меня от этого увеличивается.

Суд на адвоката и подсудимого вообще не смотрит и не слушает, закатают и всё. Ещё для верности подкинут чегонить.

 

ну это же прекрасно. наконец то весь энторнет станет колом изза тупости властей. и народ выйден на майдан а путлера замочат в канализации..

Тебе то какой с этого профит?

Ты думаешь после этого тебе станет жить лучше?

[LuckySB]

Таки в https будут серфтификаты подменять?

И народу будет пофиг?

Это почему вы так подумали ?

 

Это ж поплохеет сразу всяким интернет-плтежам, -банкингам, -госуслугами и прочим обработчикам персональных данных....

 

Может только какойнить сервер СОРМ-30040 в сейфе. опломбированном ФСБ, Центробанкой и лично путиным

 

 

 

 

[Sonne]

Проксирование https c подменой сертификата работает на ура. Это все как бы настроено уже не раз.

Достаточно чтобы бешенный принтер принял закон который разрешает подмену сертификата для сайта из реестра и - вуаля!

Надеюсь что идиоты из госдуры не прочитают этот пост, хотя народ на хабре давно прикалываются что идеи выплеснутые в камменты в порядке бреда немедлнено попадают в бешенный принтер.

 

В свете происходящего интересует другое, как быстро наши власти придут к белым спискам и концепции великого русского фаирвола?

 

Таки в https будут серфтификаты подменять?

И народу будет пофиг?

Это почему вы так подумали ?

 

Это ж поплохеет сразу всяким интернет-плтежам, -банкингам, -госуслугами и прочим обработчикам персональных данных....

 

Может только какойнить сервер СОРМ-30040 в сейфе. опломбированном ФСБ, Центробанкой и лично путиным

 

Будет белый реестр, официальная форма регистрации и годовая оплата тысяч 10 рублей. Это проще простого, главное сначала все запретить и скомпрометировать.