Choose your future

BTW, чтоб уж быть аккуратным, телефоны по крайней мере я б со скана затёр...

From:

Зачем? Это не секретная информация.

From:

И не персональные данные.

From:

Телефон исполнителя, по крайней мере.

ЕМНИП, были прецеденты

From:

Исполнитель - я, моего телефона там нет. По поводу прецедентов, можно спросить keywords для гугления прецедентов?

From:

Я имел в виду исполнителя с той стороны (ФИО и телефон внизу, стандартная практика)

С ходу у меня ссылок нет, но именно по поводу озвучивания этих данных третьим лицам, IIRC, были неприятные тёрки. Возможно, нелегитимные, но всё же.

From:

/me ничего не подписывал :-)

From:

Если б подписывал -- было б неизбежно. А так только угроза.

Не, я имел в виду е***ый Abuse Team, извинити™ ;-P

From:

> А так только угроза.

Пусть.

> Abuse Team

Ну это же не персональные данные, это служебная практика госчиновников, слуг народа.

From:

net-easy.livejournal.com

Страна должна знать своих защитников. Особенно тех, кто проводит мониторинг информационно-телекоммуникационной сети "Интернет". Считаю, надо увеличить им штат и выдать мониторящим по айпаду, что бы мониторить было удобнее.

From:

Тем более что номер там нечитаемый, лично я последние две цифры прочитать не могу.

From:

Да, на это я обратил внимание только сейчас.

Возможно, поможет ;)

From:

3jia5l-ca6aka.livejournal.com

а ну-ка тор и турбо в опере заблокировали мне быстра!

From:

dmartynov.livejournal.com

"Принять исчерпывающие меры" - это либо в прокси загонять, либо в DPI. А маршрут в null завтра работать уже не будет ;)

From:

А я не знаю, такое "исчерпывающие меры", более того, я уверен, что без разрушения интернета как такового (разрушения связности aka "великий файрвол") решения для десятков гигабит нет.

В прокси загонять по IP? Ну, через полчаса оно станет ресолвится в kremlin.ru и во все корневые DNS-сервера.

From:

DNS-то причём? там не 80 порт и даже не tcp
Я по таким телегам блокирую только 80/tcp, если в URL в телеге не указано иного. А иного не встречал.

Edited Date: 2012-09-27 07:52 (UTC)

From:

DNS при том.
Заворот на прокси без DPI выполняется по IP-адресу. IP-адрес берется из DNS. DNS-зона - под управлением стороннего администратора, который может что угодно прописать в зону, хоть адрес kremlin.ru или там google.com.

Заворот с DPI делать смысла нет, можно сразу блокировать безо всяких прокси, но DPI на десятки гигабит - за чей счет?

From:

Про kremlin.ru и подобные подставы всё понятно.
Я про другое - udp-трафик можно пропускать насквозь без обработки, заворот на корневые DNS ничего не сломает.

А с DPI как раз вполне есть смысл делать заворот. Чтобы не было десятков гигабит.

From:

> udp-трафик можно пропускать насквозь без обработки, заворот на корневые DNS ничего не сломает

Откуда вообще взялся заворот UDP-трафика, я не понимаю. О таком ужасе речи не было.

> А с DPI как раз вполне есть смысл делать заворот. Чтобы не было десятков гигабит.

Фильтровать же надо все эти гигабиты.

From:

> Откуда вообще взялся заворот UDP-трафика, я не понимаю.

Простейший пример - обсуждаемый сайт направляют на 8.8.8.8 - и все, кто использует этот DNS (а он популярен), окажутся завёрнутыми на проксю. На проксе же этот трафик можно просто пропустить.

> Фильтровать же надо все эти гигабиты.

На обсуждаемые сайты не будет гигабитов. Будет копеечный трафик, в основном вызванный локальной страничкой "закрыто жуликами и ворами".

From:

> Простейший пример - обсуждаемый сайт направляют на 8.8.8.8 - и все, кто использует этот DNS (а он популярен), окажутся завёрнутыми на проксю.

Зачем они окажутся завернутыми на проксю? Зачем вообще что-то делать с DNS-трафиком?

>> Фильтровать же надо все эти гигабиты.
> На обсуждаемые сайты не будет гигабитов.

Чтобы вычленить копеечный трафик, DPI придется фильтровать гигабиты.

From:

> Зачем они окажутся завернутыми на проксю?
> Зачем вообще что-то делать с DNS-трафиком?

Пример - администраторы кавказцентра меняют A запись, и он указывает не на kremlin.ru, а на 8.8.8.8. Веба там нет. Там только 53/udp. Этот трафик окажется завёрнутым на проксю.

> Чтобы вычленить копеечный трафик, DPI придется фильтровать гигабиты.

Можно не пропускать ВЕСЬ трафик через DPI, а пропускать только завёрнутый. Заворачиваем на отдельную верёвку, а в разрыв этой верёвки ставим DPI.

From:

> Этот трафик окажется завёрнутым на проксю.

Зачем DNS-трафик окажется завернутым на проксю, что она должна делать с DNS-трафиком?

From:

Ничего не должна делать. Это следствие возможной подставы со стороны администраторов ресурса.

From:

Ещё раз. Зачем вообще заворачивать куда-либо DNS-трафик?

From:

Ещё раз.

Приходит телега - закрыть kavkazcenter.
К этому моменту администратор оного решает приколоться и делает A запись на 8.8.8.8.
8.8.8.8 - это популярный DNS от Google.
Если завернуть 8.8.8.8 на прокси, DPI или куда угодно ещё, туда угодит DNS трафик, который вообще не имеет никакого отношения к кавказцентру.

From:

Заворот на прокси это вовсе не роутинг чего попало туда.

From:

А если заворачивать с помощью ipfw fwd, как я написал выше, то DNS трафик будет идти по назначению и будет вообще не при чём.

From:

Альтернатива - вместо простой маршрутизации использовать ipfw fwd proxy tcp from any to any 80 (не знаю, как это на циске), тогда ничего кроме дефолтного веба на проксю не уйдёт.

From:

Это не альтернатива, это только то, что и делают при редиректе на прокси-сервер.

From:

Тогда проблемы нет.

From:

Никуда не делась проблема определения критерия, что заворачивать, что нет.

From:

Заворачивать всё, что найдено в A записях по блокируемым URL.
Далее прокси или DPI разберутся - обращения к блокируемым URL выявят, а всё остальное пропустят беспрепятственно.
Соответственно, kremlin.ru не пострадает, только немножко увеличит нагрузку.

From:

Насчет "немножко" ты немножко ошибаешься. Записей A можно сделать МНОГО.

From:

Это да, не учёл :)
Тогда надо смотреть, какие решения применяют буржуи.
Читал статью, что British Telecom тоже делает заворот на проксю…

From:

>> Чтобы вычленить копеечный трафик, DPI придется фильтровать гигабиты.
> Можно не пропускать ВЕСЬ трафик через DPI, а пропускать только завёрнутый.

По какому критерию заворачивать, если заворачивать до DPI?

From: