РЕШЕНИЕ на коленке не годиться

Почему не годится ?

Профессионально о блокировке

профессия? блокировщик ...

Раз спецов в треде не появилось, я покапитанствую.
Вот выдержка из статьи на хабре по ревизорской железке:

Перейдем к главному Ревизору — файлу urlcheck. Он написан на C++, динамически слинкован, использует libevent и его OpenSSL-обертку, и обладает нижеперечисленными функциями:

    Выполнение HTTP/HTTPS GET/POST-запросов по определенному URL
    Выполнение запросов по определенному URL с заданным IP-адресом (без разрешения доменного имени через DNS)
    Выполнение нестандартных запросов для обхода DPI: добавление точки в конец домена, двойной слеш в начале URL, экранирование URL
    Определение факта блокировки сайта путем поиска совпадений регулярного выражения в теле и заголовках ответа сервера
    Отправка ICMP-запросов к определенному хосту
    Запуск traceroute до определенного хоста
    Создание SSH-туннеля до сервера Ревизора для предоставления Socks5-прокси
    Отправка журнала из syslog на сервер разработчика
    Перезагрузка устройства

Программа поддерживает IPv6 и работу через прокси.

Это ты еще HTTPS не учёл

https не нужно блокировать, если в реестре указан http.

https не нужно блокировать, если в реестре указан http.

кстати да

Ссылку?

Линк был на первой странице.
https://habrahabr.ru/post/282087/
и автор есть на лоре.

Ну так там для половины страниц http, для второй https... Это в отношении нормальных сайтов, которые полнейший неадекват запрещать. Не ясно, что он хотел этим сказать.

На самом деле это тупо, так тупо... Я до сих пор поражаюсь. Скорее всего кто-то умный решил что можно удобно закрывать сайты оппозиции под шумок и под удобным предлогом.

У большой тройки стоят DPI решения за килограммы денег....Также с помощью этих решений режут полосу пропускания торрентам. Даже шифрованным.

Торренты качаю (правда весьма не часто, в основном сериалы по просьбам родственников) как раз через билайн, чего-то не заметил что бы медленно было.

ТС дали срок 30 дней. ТС пишет «Вот взять к примеру ресурс http://www.youtube.com/watch?v=aUI*****P4M, как его блокировать? Варианты блокировки по ip или по домену - не катят, youtube - слишком популярный ресурс, пользователи бучу поднимут. Меж тем в реестре информация о запрещённом ресурсе представлена следующим образом: »
из чего я делаю выводы - за 30 дней у него РЕШЕНИЕ на коленке не взлетит. Нужно решение из каробки.
Да и нафига на коленке? Заняться что ли нечем? это не так просто как кажется на первый взгляд. А потом поставит коробку от РКН, она начнет генерить - что не все ссылки закрыты, а они вроде закрыты (при проверке) и потому, что это МОЕ решение НА КОЛЕНКЕ и начнется. Придет письмо из РКН - начнут вызывать представителей конторы на ковер. ТС а вызовут тоже на ковер
ТС после этого плюнет на решение которое на коленке и поставит решение которое из каробки.
Если у Вас есть рабочее решение на коленке - поделитесь с обществом и посмотрим как взлетает с нуля решение с коленки за 30 дней.

Т.е. совершенно левый неподконтрольный прокси-сервер чем-то «лучше» настроенного своего? Прекратите рассуждать как проплаченный евангелист проприерастов.

)) я валяюсь, ну ладно делайте что хотите. я левый не подконтрольный сервер и не предлагал. Тем более прокси.
я надеюсь что у ТС а ума хватит чтобы понять что 2500 в месяц не стоят тех усилий и того траха, которые на него свалятся если начнет что то на коленке ваять. 30 дней у него. И возможно было бы не жалко усилий, познать что то новое, придумать, разработать. НО опять скажу - затея с блокировками обходится на раз. РКН работает для галочки. Ну не жалко Вам времени на эту халубуду?

Ну не жалко Вам времени на эту халубуду?

Есть же еще спортивный интерес =)

Если у Вас есть рабочее решение на коленке - поделитесь с обществом и посмотрим как взлетает с нуля решение с коленки за 30 дней.

Я уже написал выше, заворачиваем весь траф с dst ip из списка на проксю, а там фильтруем уже по url. Написать скрипт, парсящий файл с urlами дел на вечер.

dst ip из списка

С этими адресами есть нюанс. То, во что резолвятся запрещенные домены в РКН и то во что резолвятся «на месте» может отличаться. Крупные хостеры могут отдавать в разные моменты (и в разные направления) разные адреса. Отличаются не сильно, единицы адресов из списка, но будет обидно если попадешь на такое. Я бы в этом месте как-то перестраховался. Впрочем, уже писал, не буду повторяться

DPI (о которых так с придыханием пишут в тредике) кстати этот момент отлавливают. Хотя идея проверять *весь* трафик на запрещенку, конечно, немного удивляет. Ну, операторам виднее что там и как

С этими адресами есть нюанс. То, во что резолвятся запрещенные домены в РКН и то во что резолвятся «на месте» может отличаться.

Так кто тебе мешает резолвить на месте самому ? Твои клиенты используют твой ДНС ? На всякий случай можешь завернуть все исходящие DNS на другие адреса на свой DNS.

ок. мужик сказал - мужик сделал. Тем более если у Вас есть спортивный интерес - попробуйте.
И держите нас в курсе как будет Ваше решение на коленке взлетать.
Ориентируетесь сразу на 1ГБит/с (хотябы) исходящего во внешний мир трафика.
Не учите как делать, покажите!!!
Софт для проверки блокировок запрещенных ссылок лежит в инете. Это чтобы Вам было чем отлаживать систему на коленке.

Ориентируетесь сразу на 1ГБит/с (хотябы) исходящего во внешний мир трафика.

И что, это сложно прокачать сквидом ? Тем более я не предлагаю заворачивать весь траф на сквид, а только сайты из реестра.

не распыляемся в деталях, ждем резалта за 30 дней

не распыляемся в деталях, ждем резалта за 30 дней

Мне нах это не надо, я дал вполне рабочее решение. Хотя если готовы профинансировать, то я готов =)

и я такой был
раз уж вы изменили пост
да кто ж бабло при таких условиях да и ради чего будет в форточку выкидывать.
либо слова - либо дело.

и я такой был

Я таким не был, сколько я насмотрелся за свою жизнь решений горе-интеграторов за кучу денег, что это и не передать =)
Хорошо что я со всяким ИТ завязал еще 15 лет назад, но кое-какие знания остались.

либо слова - либо дело.

Дело должно быть подкреплено чем-то интересным для меня, а ради успеха на ЛОРе в отдельно взятом треде мне это нах не упало..

«Мне нах это не надо, я дал вполне рабочее решение. »

На всякий случай можешь завернуть все исходящие DNS на другие адреса на свой DNS

Очень жаль что эксперты такого уровня рано завязывают с IT. Так бы может уже рассчитывали на квантовых компьютерах маршрут к Альфе Центавра

Vlad-76

Я из любопытства попробовал пускать в сквид трафик на запрещенные сайты (только на запрещенные, адреса брал из перехваченого DNS). Развернуться особо негде, из знакомых у самой интернето-жрущей организации всего около 200Мбит. Ну, вроде как работает (без отдачи заглушки, просто блокировка). Там конечно получилось неожиданно много возни с обработкой этого РКН-овского списка, и acl-ы регулярными выражениями компилируются оочень задумчиво.

Но в целом задача выглядит подъемно. Если полно энергии, можно наверное что-нибудь накостылить даже за 30 дней

Мне нах это не надо, я дал вполне рабочее решение.

Стратег, походу.

ТС вообще не представляет тему.
Как только пошла эта возня с блокировкой сайтов. Я изначально тоже как стратег думал обойтись сквидом - у моего аплинка(провайдера) сквид стоит (тока как выяснилось по факту решето) - подумал - а почему бы и мне не поставить сквид на отдельной машине - поднять на ней какой нить BGP/OSPF проаносить список запрещенных IP из списка РКН - трафика будет совсем немного, дальше как бы понятно. Но как всегда - дьявол кроется в деталях. Список IP в файле от РКН - кривой, нужно постоянно/непрерывно резолвить домены из списка URL и др. заморочки. что то там еще было канительное. Сам не ввязался в эту тему, но рассказал знакомому из провайдера - у него были админы которые взялись за эту тему. ДА что то заработало, но постоянно рисовались траблы и на 100% гарантированно решение не взлетало. Плюс РКН на них стал наезжать по полной, т.к. провайдер крупный. И на этом решении (сквид) был поставлен крест. ТАк я от него и узнал про редуктор. ПОтому как история с редуктором была из серии - поставил и забыл (ну почти).
Я посчитал что 2500 в месяц для конторы не стоят тех усилий на разработку, поддержку и отладку своего решения - это надо быть в нем на 100% при разработке и при малейшем чихе снова в него нырять, а если на сети будет установлена коробка от РКН. И должен быть рядом второй разраб этой темы.
А так если глубоко ковыряешь в этой теме, есть опыт знания то может быть за 30 дней и взлетит - пока не попробуешь не узнаешь.

Оп, напиши мне письмо на e-mail.

В этом вопросе стоит поучиться опыту у старших китайских товарищей. У них нет никакой проблемы в глобальной подмене ssl сертификатов, а пользователям рекомендуют, или же устанавливают принудительно, специальный дополнительный набор государственных доверенных сертификатов.

Кажется то что ты назвал это опыт конеедов, в Китае куда более жёстко.

у старших китайских товарищей.

товарищи из Казахстана по этому же пути пошли. https://bugzilla.mozilla.org/show_bug.cgi?id=1232689

Весьма забавно.

ТС вообще не представляет тему.

Я не отвечаю потому что сейчас как раз изучаю материал. Так-то уже понял, что копать нужно в сторону DPI, Редуктора, Хабра и nag.ru

Непонятно, зачем? И карма портится, и эти «блокировки» легко обходятся.

Потому что надо показать идиотам из роскомпозора, что они работают и нормальным людям не мешать.

А как вам идея использовать для блокировки запрещённых сайтов snort. http://nag.ru/articles/article/29734/snort-dlya-blokirovaniya-saytov.html
А если кому нужен риск и скорость - nfqfilter

2500 в месящ только за фильтрацию - это много

snort для этих задач не совсем подходит.

а почему
а я считею - очень даже подходит

А, что по твоему мнению подходит

1.Снорт не сможет блокировать ютуб ролик по https.
2.К нему нужны специально приготовленные правила.

1. По https максимум можно заблокировать имя хоста, url не заблокировать
2. Если админ не ленивый - подготовит!

Если лень возится со snort - используй nfq_filter (на свой стах и риск)

Придется сертификат подменять, чтобы по url блокировать.

Ещё веселее будет, когда Гугл, как грозится, запретит Хрому обращения к сайтам с подменёнными сертификатами :)

Списки Минюста еще на редуктор подгружают
Дорого?! Ищите дешевле решение, кто же Вам мешает.

Лучше opensource решения
Я за opensource

Омские линуксоиды вопрошают:

Ну и чем всё закончилось? ТС подозрительно молчит...

Ну и чем всё закончилось?

Понятия не имею. Я уже год как в другом месте работаю. А так вроде хотели Карбон ставить.

Как раз сегодня лютую багу нашёл. Из разряда «не могу воспроизвести». В общем инт кастовался во float и попалось число, в котором точность float десятки :).

Тьфуты, некротред.

Как осуществлять блокировку по url?

Да и зачем всё это???