• Патчи и багрепорты приветствуются.
• Пример с http://google.com не всегда работает одинаково из-за того, что разные DNS-серверы выдают разные адреса для google.com. Некоторые серверы выдают разные ответы на каждый запрос.
• Доменные имена из самого дампа не ресолвятся.
• Демон, который бы периодически скачивал дамп, ресолвил оттуда всё, что возможно, и запихивал результат куда-нибудь в ipset, уже в процессе написания...

гораздо более читабельный JSON

На мой взгляд - спорное утверждение. Не думаю, что добавление фигурных скобок к запятым добавляет читабельности.

Возможно YAML (примерно как в выхлопе в Вашем примере) был бы более читабельным.

Добавлено: Может заменить «читабельный» на «юзабельный»? Тогда вполне соглашусь.

Хорошечно.

написал бы кратко, что с этим растом делать.
не все хипсторы врожденные.

Загрузи в опенофисс и выставь кодировку - cp1251. А вот что дальше делать ? Х.з.

По идее нужно писать рпс-сервис и плагин к фф что бы если есть обращение к этому адресу - всплывал баннер какой то ... опять же не понятно зачем :(

Видимо имелось в виду машиночитаемый. Глазами-то читать эту партянку в любом случае странная идея

Ъ не читают ридми?

Диссидентство на главной.
Не думал, что когда-либо такое увижу.

Когда счёт идёт на полмиллиона адресов, не проще ли держать вайт-лист адресов, на которые трафик роутить не через vpn?

друг, читать не умею. можешь вслух? чо там?

https://github.com/im-0/zicsv/blob/b0.1.0/README.md

Видимо имелось в виду машиночитаемый.

Именно поэтому я и предложил заменить «читабельный» на «юзабельный»

Но нашлись добрые люди

...и этих прикроют... :(

Там есть ссылка на https://github.com/im-0/zicsv/blob/b0.1.0/zicsv-tool/README.md

Не нашел там полмиллиона. Опятьже, по моему, вариант с dnsmasq, который динамически по моменту обращения клиента ресолвит домен и добавляет его адрес в ipset сводит всю эту таблицу до нескольких тысяч адресов.

гораздо более читабельный JSON;

Бендер, это ты?

В какой вселенной json более удобен для чтения, чем csv для табличных данных?

К сожалению, дампы … иногда содержит ошибки.
утилита командной строки zicsv-tool, с помощтю которой

Проверено: jollheef

Шома растит себе достойного преемника.

CP1251, иногда содержит ошибки

В дампе оно ровно в таком виде, в котором присылает безумные XML-ки РКН, жалуйся им. И там не только cp1251 бывает.

У раста ж написано: curl | sh. Модно, стильно, молодёжно!

В какой вселенной json более удобен для чтения, чем csv для табличных данных?

Там не совсем табличные данные. В первых трёх полях - списки IP/подсетей, доменов и урлов. Они могут быть очень длинными. То есть просто открыть CSV либреофисом и увидеть красивую таблицу не получится.

В дампе оно ровно в таком виде, в котором присылает безумные XML-ки РКН, жалуйся им. И там не только cp1251 бывает.

А есть вообще где-нибудь документация на это всё с примерами оригинальных XMLек? Было бы очень интересно посмотреть на это.

Загрузи в опенофисс и выставь кодировку - cp1251. А вот что дальше делать ? Х.з.

В том то и дело, что опенофис тут не помогает никак.

В последнее время, я стал часто натыкаться на неработающие сайты. Чтобы понять кто виноват - провайдер или роскомнадзор, приходилось руками ресолвить адреса, подбирать под эти адреса подсети и делать что-то типа «iconv -f cp1251 <dump.csv | grep $предполагаемая_подсеть». Чтобы не делать подобный поиск вручную я и написал утилиту для поиска по дампу.

Официальный поисковик от Роскомнадзора вообще бесполезен: если забочили подсеть, а ты ему передаёшь URL, имя домена или IP-адрес, то он ничего не находит. Поиск на https://antizapret.info тоже не умеет ничего.

дампы выгрузок выкладываются в неудобном для использования формате (CSV, CP1251, иногда содержит ошибки)

А нам в XML присылают. Не исключено даже, что файл может лежать на публично доступном ftp-сервере, но это не точно. Может быть надо поискать ссылку на этот файл?

А нам в XML присылают. Не исключено даже, что файл может лежать на публично доступном ftp-сервере, но это не точно. Может быть надо поискать ссылку на этот файл?

Если знаешь где достать оригинальные файлы - пиши. Я не нашёл.

Знаю, конечно же. Завтра подумаю как бы поудобнее найти ссылку. Ник на фриноде или oftc кому писать скажи только.

есть же proxy или tor ,вчера ещё vpn попробовал что за зверь ,теперь эти блокировки как я понимаю не имеют смысла

Опятьже, по моему, вариант с dnsmasq, который динамически по моменту обращения клиента ресолвит домен и добавляет его адрес в ipset сводит всю эту таблицу до нескольких тысяч адресов.

dnsmasq - это интересное решение. Но у него тоже есть проблемы:

• ipset придётся как-то периодически чистить. Потому что блокировки иногда снимают.
• Всё равно надо прикручивать какие-то дополнительные скрипты чтобы добавлять в ipset подсети и отдельные адреса, так как блокировки не всегда идут с доменными именами, плюс и обращение к адресами не всегда включает обращение в DNS, даже если имя известно.

Да и я уже начал делать свой велосипед =).

Товарищи, причастные к провайдерам!

Насколько я понял, у РКН есть робот, которые ходит по провайдерам и проверяет, не заблочен ли адрес? А нельзя ли блочить «неугодные» IP только для него? :)

Абсолютно верно. Днсмаск это часть решения решающий проблему смены адресов у заблокированных адресов.

Задача наполнения таблицы адресов без имени и парсинга базы блокировок остается. И здесь как раз библиотечка, которая грамотно читает эту базу и фиксить ошибки будет очень кстати. Ещё хотелось бы оптимизацию базы. Объединять адреса в подсети. Причем с порогом. Есть например, тридцать процентов или более забаненых адресов в подсети - пишем всю подсеть. Есть десяток поддоменов - пишем домен. Естественно, домены типа жж или первого уровня должны быть в исключениях. Так что твоей библиотеке есть что делать и с днсмаск она никак не конфликтует.

По поводу адресов, которые по имени и не ресолвит клиентом. Ну так значит они или в хостах и ещё как то прибиты. Сам бог велел завести табличку этих адресов и забивать ее тем же скриптом, который обновляет базу.

Ещё хотелось бы оптимизацию базы. Объединять адреса в подсети. Причем с порогом. Есть например, тридцать процентов или более забаненых адресов в подсети - пишем всю подсеть. Есть десяток поддоменов - пишем домен. Естественно, домены типа жж или первого уровня должны быть в исключениях.

Добавил issue себе. Если будет время на выходных - сделаю.

По поводу объединения доменов: имеется ввиду, что если у нас есть test1.example.com, test2.example.com и test3.example.com, то с «порогом» <=3 должно выдаваться *.example.com?

Насколько я понял, у РКН есть робот, которые ходит по провайдерам и проверяет, не заблочен ли адрес?

Насколько я знаю, провайдеры обязаны ставить себе в сеть некий девайс (китайский роутер с кастомной прошивкой?), который периодически проверяет заблокированность адресов и отправляет отчёты в РКН. Но инфа не 100%, это со слов человека, который видел как это работает 8).

А нельзя ли блочить «неугодные» IP только для него? :)

По идее против этого работает «контрольная закупка», а так же доносы от благонадёжных граждан 8).

По поводу объединения доменов: имеется ввиду, что если у нас есть test1.example.com, test2.example.com и test3.example.com, то с «порогом» <=3 должно выдаваться *.example.com?

именно так. Чтобы все эти вулканы, например, были одной записью.

И кстати про оптимизацию. Белый список должен быть и для доменов и для адресов.

То есть если я указал livejournal.com, то он не должен попасть в правила, хоть там тысяча поддоменов забанено. И если я указал адрес 1.2.3.4 в белых адресах, то хоть там все адреса из 1.0.0.0/8 будут забанены кроме 1.2.3.4, в сеть 1.0.0.0/8 он сворачиваться не должен.

В посте есть линк на инструкцию.

@mironov_ivan http://tcpst.net/5si6

Вот сегодняшний файл. Как тебя найти в IRC (freenode или oftc), обсудить некоторые детали?

Я сам не считал, но графики на гиктаймсе доросли до 18 миллионов IP адресов.

По что купил, по то и продаю.

/me расчехлил IRC-клиент

Как тебя найти в IRC (freenode или oftc), обсудить некоторые детали?

im-0 на freenode

@mironov_ivan http://tcpst.net/5si6

Вот сегодняшний файл.

Я бы сказал, что выглядит он менее адово, чем CSV =).

Насколько я знаю, провайдеры обязаны ставить себе в сеть некий девайс...

https://habr.com/post/282087/

Бинарный json?

ipset можно не чистить. Он позволяет атомарно поменять местами (swap) два сета, поэтому можно (и нужно!) просто создавать новый, не заботясь о состоянии старого, и после swap удалить ненужное.

[lichka] mironov_ivan, тебя просит связаться dsx на freenode [/lichka]