LINUX.ORG.RU

Предложение Ростелекома об ограничении доступа к DNS-серверам Google, Cloudflare и сервиса DoH

 , ,


1

4

«Ростелеком» предлагает установить запрет на использование публичных DNS-серверов Google (с IP-адресами 8.8.8.8 и 8.8.4.4) и Cloudflare (1.1.1.1 и 1.0.0.1), а также на протокол DoH во внутренних технологических сетях и при выдаче клиентам по DHCP. Вместо указанных серверов и DoH предлагается использовать DNS-серверы под собственным управлением или IP-адреса Национальной системы доменных имен. Представитель пресс-службы «Ростелекома», отвечая на вопрос о причинах инициативы, сообщил, что «речь идет о технологических работах, направленных на повышение надежности и оптимизации работы сетей связи».

Текст некоего письма «Ростелекома» с данным предложением предназначавшийся неизвестному адресату был выложен в телеграм-канал «ЗаТелеком». Причём РИА публикует информацию о том, что в пресс-службе «Ростелеком» подтвердили подлинность данного внутреннего документа.

Официальные публикации новости в ведомостях, а также в РИА.

>>> С маленьким развёрнутым анализом на РБК



Проверено: Harald ()

Ответ на: комментарий от anc

Чукча не читатель?

Предложение Ростелекома об ограничении доступа к DNS-серверам Google, Cloudflare и сервиса DoH (комментарий)

фаерволить IPv6 или натить IPv4 - разницы для роутера никакой.

Если IPv4 то нужен NAT на юзерском роутере.

Если IPv6 то нужен stateless fw на юзерском роутере

Оба требуют conntrack и по нагрузке практически одинаковы.

Stanson ★★★★★ ()
Последнее исправление: Stanson (всего исправлений: 2)
Ответ на: комментарий от anc

Блин, stateful же. Опечатался.

Stateful fw разумеется требует conntrack. Чтобы state каждого соединения помнить дабы иметь информацию какие входящие пакеты пропускать, а какие нет.

Stanson ★★★★★ ()
Ответ на: комментарий от Stanson

Чтобы state каждого соединения помнить дабы иметь информацию какие входящие пакеты пропускать, а какие нет.

А бэз ентого совсем никак?

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну а как ещё отсечь все левые входящие пакеты но при этом пропускать входяшие пакеты которые относятся к установленным изнутри соединениям? Надо хранить текущий список этих соединений. А для некоторых протоколов ещё и заглядывать внутрь пакетов, чтобы отловить вторичные соединения.

Можно, конечно, ограничится stateless зарезанием всех TCP SYN снаружи , но это только tcp (а у телека, внезапно, дырявый UDP 12345 открыт) и будет масса геморроя со всякими SIP и подобными например.

Stanson ★★★★★ ()
Последнее исправление: Stanson (всего исправлений: 2)
Ответ на: комментарий от anc

При чём здесь вообще?

У Вас копроэкономика головного мозга, поражает, что техника десятилетиями может работать?

Пылесос вон вообще советский, в нём всего-то что мотор меняли лет 20 назад. Стиралка тоже немногим младше его, активаторная.

mertvoprog ()
Последнее исправление: mertvoprog (всего исправлений: 1)
Ответ на: комментарий от Stanson

Это же какое-то совсем нищебродство

Возможно, но на секундочку, Viber победил в некоторых странах WhatsApp потому, что был совершенно бесплатным, а WhatsApp стоил аж целый $1 в год.

mertvoprog ()
Ответ на: комментарий от Stanson

прикрытая от инета

Этим и плоха.

Смысл IoT в том, чтобы всем удалённо управлять и напрямую.

в наполовину мёртвом состоянии

Помирать — так с песней?

mertvoprog ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)