По мотивам https://rublacklist.net/29048/
Тут РосКомНадзор озадачил очередным этюдом.
Прислал "перечень сетевых адресов, доступ к которым рекомендуется не ограничивать"

domain ip
*.gov.ru *
*.kremlin.ru *
*.yandex.ru *
*.lenta.ru *
*.vk.com *
*.facebook.com *
*.mail.ru *
*.ok.ru *
*.odnoklassniki.ru *
*.twitter.com *
*.youtube.com *
*.google.* <<<--------
*.instagram.com *
...еще ~2000 записей...
igsnur.udmurt.ru 78.85.24.92
region.adm.nov.ru 89.252.108.68
ppe.rustest.ru 85.143.100/24
rustest.ru 85.143.100/24

Вопрос в студию: Как это можно физически сделать (реализовать в железе)?
Как не блокировать все поддомены содержащие слово *.google.*
И как узнать все их ip адреса таких доменов?
И у кого приоретет выше у заблокированных доменов с *.google.* или у белого списка?

У кого есть какие мыли по этому поводу?

Здравствуйте, kov_serg, Вы писали:

_>У кого есть какие мыли по этому поводу?

Это их распоряжение не имеет под собой никаких законных оснований. Не делать ничего.

Решение #2 — собирать статистику по DNS-запросам и ответам, выдирать из них IP и исключать эти IP из списка блокировки. По крону, раз в 5 минут.

Здравствуйте, kov_serg, Вы писали:

_>По мотивам https://rublacklist.net/29048/
_>Тут РосКомНадзор озадачил очередным этюдом.
_>Прислал "перечень сетевых адресов, доступ к которым рекомендуется не ограничивать"

_>Вопрос в студию: Как это можно физически сделать (реализовать в железе)?

Если чёрный список содержит только домены, то нужно проредить его, выкинув записи, подходящие для белого списка.
И дальше работать только с прореженным чёрным списком, как обычно.

Если чёрный список содержит адреса, — это уже хуже.
Придётся собрать адреса белого списка (может быть, собирать эти адреса постепенно, — перехватывая и ведя журнал DNS-запросов) и для тех из них, которые есть в чёрном списке (т.е. с одного адреса разные домены доступны) применять какие-то особые меры: читать заголовки.
Для нешифрованных протоколов это возможно, а для шифрованных... либо взламывать, либо просто не блокировать и вести журнал доступа.
Чтобы потом, если проверяльщик спросит "почему вы не заблокировали https://<террор-порнуха>.ru?", ответить ему "потому что он на том же адресе, что и https://<первый-секретарь-мухосранского-горкома-партии>.gov.ru из белого списка"

Здравствуйте, Кодт, Вы писали:

К>Здравствуйте, kov_serg, Вы писали:

_>>По мотивам https://rublacklist.net/29048/
_>>Тут РосКомНадзор озадачил очередным этюдом.
_>>Прислал "перечень сетевых адресов, доступ к которым рекомендуется не ограничивать"

_>>Вопрос в студию: Как это можно физически сделать (реализовать в железе)?

К>Если чёрный список содержит только домены, то нужно проредить его, выкинув записи, подходящие для белого списка.
Черный список содержит:
домены domain (со списками ip, которые могут не совпадать)
поддомены *.domain
ip адреса
ip подсети
http url — ы
https url — ы
при этом некоторые домены меняют ip адреса раз в полчаса

К>И дальше работать только с прореженным чёрным списком, как обычно.


К>Если чёрный список содержит адреса, — это уже хуже.
К>Придётся собрать адреса белого списка (может быть, собирать эти адреса постепенно, — перехватывая и ведя журнал DNS-запросов) и для тех из них, которые есть в чёрном списке (т.е. с одного адреса разные домены доступны) применять какие-то особые меры: читать заголовки.
К>Для нешифрованных протоколов это возможно, а для шифрованных... либо взламывать, либо просто не блокировать и вести журнал доступа.
К>Чтобы потом, если проверяльщик спросит "почему вы не заблокировали https://<террор-порнуха>.ru?", ответить ему "потому что он на том же адресе, что и https://<первый-секретарь-мухосранского-горкома-партии>.gov.ru из белого списка"
или потому что у него есть поддомен спайсы.google.террор-порнуха.ru
Видимо придётся весь DNS трафик через себя гнать.

Тут игра в одни ворота, нас они не слышат. Просто штрафовать будут.