По мотивам
https://rublacklist.net/29048/
Тут РосКомНадзор озадачил очередным этюдом.
Прислал "перечень сетевых адресов, доступ к которым рекомендуется не ограничивать"
domain ip
*.gov.ru *
*.kremlin.ru *
*.yandex.ru *
*.lenta.ru *
*.vk.com *
*.facebook.com *
*.mail.ru *
*.ok.ru *
*.odnoklassniki.ru *
*.twitter.com *
*.youtube.com *
*.google.* <<<--------
*.instagram.com *
...еще ~2000 записей...
igsnur.udmurt.ru 78.85.24.92
region.adm.nov.ru 89.252.108.68
ppe.rustest.ru 85.143.100/24
rustest.ru 85.143.100/24
Вопрос в студию: Как это можно физически сделать (реализовать в железе)?
Как не блокировать все поддомены содержащие слово *.google.*
И как узнать все их ip адреса таких доменов?
И у кого приоретет выше у заблокированных доменов с *.google.* или у белого списка?
У кого есть какие мыли по этому поводу?
Здравствуйте, kov_serg, Вы писали:
_>По мотивам https://rublacklist.net/29048/
_>Тут РосКомНадзор озадачил очередным этюдом.
_>Прислал "перечень сетевых адресов, доступ к которым рекомендуется не ограничивать"
_>Вопрос в студию: Как это можно физически сделать (реализовать в железе)?
Если чёрный список содержит только домены, то нужно проредить его, выкинув записи, подходящие для белого списка.
И дальше работать только с прореженным чёрным списком, как обычно.
Если чёрный список содержит адреса, — это уже хуже.
Придётся собрать адреса белого списка (может быть, собирать эти адреса постепенно, — перехватывая и ведя журнал DNS-запросов) и для тех из них, которые есть в чёрном списке (т.е. с одного адреса разные домены доступны) применять какие-то особые меры: читать заголовки.
Для нешифрованных протоколов это возможно, а для шифрованных... либо взламывать, либо просто не блокировать и вести журнал доступа.
Чтобы потом, если проверяльщик спросит "почему вы не заблокировали
https://<террор-порнуха>.ru?", ответить ему "потому что он на том же адресе, что и
https://<первый-секретарь-мухосранского-горкома-партии>.gov.ru из белого списка"
Здравствуйте, Кодт, Вы писали:
К>Здравствуйте, kov_serg, Вы писали:
_>>По мотивам https://rublacklist.net/29048/
_>>Тут РосКомНадзор озадачил очередным этюдом.
_>>Прислал "перечень сетевых адресов, доступ к которым рекомендуется не ограничивать"
_>>Вопрос в студию: Как это можно физически сделать (реализовать в железе)?
К>Если чёрный список содержит только домены, то нужно проредить его, выкинув записи, подходящие для белого списка.
Черный список содержит:
домены domain (со списками ip, которые могут не совпадать)
поддомены *.domain
ip адреса
ip подсети
http url — ы
https url — ы
при этом некоторые домены меняют ip адреса раз в полчаса
К>И дальше работать только с прореженным чёрным списком, как обычно.
К>Если чёрный список содержит адреса, — это уже хуже.
К>Придётся собрать адреса белого списка (может быть, собирать эти адреса постепенно, — перехватывая и ведя журнал DNS-запросов) и для тех из них, которые есть в чёрном списке (т.е. с одного адреса разные домены доступны) применять какие-то особые меры: читать заголовки.
К>Для нешифрованных протоколов это возможно, а для шифрованных... либо взламывать, либо просто не блокировать и вести журнал доступа.
К>Чтобы потом, если проверяльщик спросит "почему вы не заблокировали https://<террор-порнуха>.ru?", ответить ему "потому что он на том же адресе, что и https://<первый-секретарь-мухосранского-горкома-партии>.gov.ru из белого списка"
или потому что у него есть поддомен спайсы.
google.террор-порнуха.ru
Видимо придётся весь DNS трафик через себя гнать.
Тут игра в одни ворота, нас они не слышат. Просто штрафовать будут.