Утилиты для блокировки ВК, ОК и т.д.

[UStas_rinet 43]

Мне кажется, что блокировка КС (когда просто в днс домен не резолвится никак) самое оно

Я думаю тут каждому нужно будет решать с учетом его потребностей.

[parabellum 140]

Мне кажется, что блокировка КС (когда просто в днс домен не резолвится никак) самое оно

Я об этом методе, как о самом простом, вчера писал в параллельном сраче по данной теме. Заблокировали так и ладно, формально выполнили.  Покупать хрень для DPI - пусть идут нах, на это ни у кого нет денег и это бессмысленно.

[leshik 13]

flowspec очень помогает:

set routing-options flow route Block_5.61.23.5 match destination 5.61.23.5/32
set routing-options flow route Block_5.61.23.5 match protocol tcp
set routing-options flow route Block_5.61.23.5 match destination-port 80
set routing-options flow route Block_5.61.23.5 match destination-port 443
set routing-options flow route Block_5.61.23.5 then discard

 

и получаем:

 

show route 5.61.23.5/32

inetflow.0: 7 destinations, 14 routes (7 active, 0 holddown, 7 hidden)
+ = Active Route, - = Last Active, * = Both

5.61.23.5,*,proto=6,dstport=80,=443/term:1
                   *[bGP/170] 00:53:50, MED 200, localpref 100, from 1.1.1.1
                      AS path: (ххх ккк) I, validation-state: unverified
                      Fictitious
 

 

Это на джунипере позволяет все сделать на одном роутере, блокировать конкретные порты и протоколы.

Все, при правильное настройке flowspec,  разъедется по сети. Это имеет смысл если много роутеров и много "дыр" через которые может уехать трафик на блокируемый хост.

 

PS: У кого одноклассники пропали?

Edited 2017-05-17 18:45:56 by leshik

[powder 1]

Хотелось бы КС победить. Есть вариант обхода на микротике?

[mort1k 13]

Ребяты не занимайтесь глупостями с ip acl. Задолбитесь их обновлять

Вспоминаем что днс запросы и ответы бегают plain. Выкалупываем пакеты с A-type запросами, заворачиваем на свой днс и отвечаем по своим фантазиям и фиолетово каким dns пользуются клиенты.

Edited 2017-05-17 19:28:00 by mort1k

[leshik 13]

У меня примерно 1% клиентов пользуется моим DNS. Еще 10% гуглом, остальные держат свой, и N (>10) дырок на M роутерах, через который может пройти DNS запрос.

Для меня это нереально.

Edited 2017-05-17 18:50:17 by leshik

[Daniil_ 10]

предложите вариант выколупывания пакетов с A-type записями?

вот человек делал для MX возможно можно переделать для A

http://www.citrin.ru/freebsd:ng_ipfw_ng_bpf

[UStas_rinet 43]

предложите вариант выколупывания пакетов с A-type записями?

вот человек делал для MX возможно можно переделать для A

http://www.citrin.ru/freebsd:ng_ipfw_ng_bpf

 

Суть проблемы в том, что смотреть в нутрь пакетов ето "дорогого стоит", будьте готовы к драматическому увеличению нагрузки на сервера в случае реализации

[Daniil_ 10]

На самом деле, нам не нужно смотреть внутрь всех пакетов, нас интересуют лишь ДНС пакеты, да и не все пакеты, а которые направлены к сторонним днс от клиентов (в случае если они используют не наши днс)... а тут трафик не такой большой

[leshik 13]

 

 

что смотреть в нутрь пакетов ето "дорогого стоит"

 

Это стоит не дорого, это стоит "власть" над всем https....

[mort1k 13]

 

предложите вариант выколупывания пакетов с A-type записями?

вот человек делал для MX возможно можно переделать для A

http://www.citrin.ru/freebsd:ng_ipfw_ng_bpf

 

Суть проблемы в том, что смотреть в нутрь пакетов ето "дорогого стоит", будьте готовы к драматическому увеличению нагрузки на сервера в случае реализации

 

зависит от размера blacklist'a в текущем случае это мелочь.

[mort1k 13]

либо ip acl, через такое http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=commit;h=13d86c7372e01392d1e3af7c90312b49e2a5c15d

Edited 2017-05-17 20:40:01 by mort1k

[KaYot 3,732]

Может кому нужен список доменов из Акта. Там повторы есть, лень было чистить.

 

 

www.drweb.ru

kaspersky.ru

drweb.ru

avia.yandex.ru

auto.ru

audience.yandex.ru

afisha.yandex.ru

money.yandex.ru

webmaster.yandex.ru

yandex.ru

money.yandex.ru

money.yandex.ru

direct.yandex.ru

disk.yandex.ru

delivery.yandex.ru

calendar.yandex.ru

kassa.yandex.ru

www.kinopoisk.ru

market.yandex.ru

metrika.yandex.ru

metro.yandex.ru

music.yandex.ua

n.maps.yandex.ru

realty.yandex.ru

news.yandex.ru

translate.yandex.ru

mail.yandex.ua

pdd.yandex.ru

travel.yandex.ru

news.yandex.ru

rabota.yandex.ru

radio.yandex.ua

rasp.yandex.ru

partner.yandex.ru

sprav.yandex.ru

stat.yandex.ru

taxi.yandex.ru

tv.yandex.ru

telephony.yandex.ru

tech.yandex.ru

fotki.yandex.ru

money.yandex.ru

dns.yandex.ru

browser.yandex.ru

speechkit.yandex.ru

xml.yandex.ru

yandexdatafactory.com

avia.yandex.ua

audience.yandex.ua

afisha.yandex.ua

webmaster.yandex.ru

disk.yandex.ua

direct.yandex.ua

sprav.yandex.ua

zno.yandex.ua

calendar.yandex.ru

yandex.ua

market.yandex.ua

metrika.yandex.ua

metro.yandex.ua

music.yandex.ua

n.maps.yandex.ru

news.yandex.ua

translate.yandex.ua

site.yandex.ua

mail.yandex.ua

pdd.yandex.ru

rabota.yandex.ua

rasp.yandex.ua

partner.yandex.ua

passport.yandex.ua

sprav.yandex.ua

stat.yandex.ua

yandex.ru

tv.yandex.ua

tech.yandex.ru

fotki.yandex.ru

dns.yandex.ua

browser.yandex.ua

xml.yandex.ua

www.mail.ru

www.vk.com

www.ok.ru

 

 

Edited 2017-05-17 20:53:10 by KaYot

[mr.Scamp 43]

 

Саша, ну у тебя например хостинг, как и у меня. Потеряешь связность с яшей, потеряешь клиентов. Так что не вариант. Совсем. Как и то, что на тот же майлру почта ходить должна, любая клиентская форма на хостинге обломится отослать в мейлру письмо если ей не будет кудой ето сделать и т..д

 

Так не обязательно же везде блочить На бордерах просто вешаем комьюнити для упрощения работы с маршрутами на брасах.

[UStas_rinet 43]

На подходе новая утиля, заточеная для переодического запуска на SystemD системах. Ето могут быть как насы так и например какой-то сервер c ExaBGP чтоб делать вбросы в FlowSpec.

 

https://github.com/General-Servers/blocker/tree/master/systemd-ready-nas

 

Настройка производится чезез енвы в юните https://github.com/General-Servers/blocker/blob/master/systemd-ready-nas/block-updater.service

Может брать адреса по урлу или локально. Сравнивает то что есть с тем что должно быть и производить добавления / убирания. 

 

Пока не протестировано, завтра к обеду должно быть в бетке 

[lemosh 60]

На КС по уму сделали блокировку: Напряму через КС по ДНС домен не резолвится, поднял через микротик ВПН для подтягивания своего ДНС сервера в обход ограничениям КС-домен резолвится, но трафик не ходит

[zaborovsky 359]

Напряму через КС по ДНС домен не резолвится, поднял через микротик ВПН для подтягивания своего ДНС сервера в обход ограничениям КС-домен резолвится, но трафик не ходит

 

у КС, по видимому, закрыто и по dns и по ip, как я вижу

 

ибо домен резолвится

C:\>nslookup yandex.ua

Server:  UnKnown
Address:  193.41.63.175

Non-authoritative answer:
Name:    yandex.ua
Addresses:  77.88.55.55, 77.88.55.88, 5.255.255.5, 5.255.255.55

и пинги ходят

 

но попытки зайти, например, на http://77.88.55.88 ни к чему не приводят

 

при этом никаких страниц-заглушек про то, что ресурс заблокирован, в браузере не выводится

 

upd: попытки зайти на любой сайт (навскидку, protv.ua, например), на котором развешены счетчики и разные прочие ссылки с заблокированных доменов, вызывает дикие тормоза

Edited 2017-05-18 05:28:22 by zaborovsky

[KaYot 3,732]

 

Напряму через КС по ДНС домен не резолвится, поднял через микротик ВПН для подтягивания своего ДНС сервера в обход ограничениям КС-домен резолвится, но трафик не ходит

 

у КС, по видимому, закрыто и по dns и по ip, как я вижу

 

ибо домен резолвится

C:\>nslookup yandex.ua

Server:  UnKnown
Address:  193.41.63.175

Non-authoritative answer:
Name:    yandex.ua
Addresses:  77.88.55.55, 77.88.55.88, 5.255.255.5, 5.255.255.55

и пинги ходят

 

но попытки зайти, например, на http://77.88.55.88 ни к чему не приводят

 

Нифига. Попытка зайти на сайт по IP и так обречена на провал, ибо http работает немного не так.

Попробуйте таки DNS сменить или в hosts нужный хост ручками добавить.

Edited 2017-05-18 06:12:46 by KaYot

[chilly86 2]

кто нибудь может обьяснить?
в списке есть
market.yandex.ru
metrika.yandex.ru
metro.yandex.ru
yandex.ru

а маилру представлен только
mail.ru

значит ли это, что на, скажем, love.mail.ru пускать можно?

[DenimMark 32]

Кто знает или как думает будут инструкции или методология ?

[Dimkers 1,620]

а маилру представлен только mail.ru значит ли это, что на, скажем, love.mail.ru пускать можно?

Я скажу, что можно так https://news.mail.ru/incident/29778078/?frommail=1

И если ваш пров - не дает открыть эту ссылку - он плохой. Ибо эта ссылка не попадает под указ. Бейте прова ссаными тряпками.

Edited 2017-05-18 06:56:33 by Dimkers

[mort1k 13]

 

а маилру представлен только mail.ru значит ли это, что на, скажем, love.mail.ru пускать можно?

Я скажу, что можно так https://news.mail.ru/incident/29778078/?frommail=1

И если ваш пров - не дает открыть эту ссылку - он плохой. Ибо эта ссылка не попадает под указ. Бейте прова ссаными тряпками.

 

на КС ссаных тряпок не напасешся))

Не работает

[mort1k 13]

Для чего так с яндексом вы*бнулись?

[andryas 1,062]

11) заборона Інтернет-провайдерам надання послуг з доступу користувачам мережі Інтернет до ресурсів сервісів «Mail.ru» (www.mail.ru)

 

 

Буквально - четыре:

http://mail.ru 

https://mail.ru 

http://www.mail.ru

и 

https://www.mail.ru

Edited 2017-05-18 08:33:42 by andryas

[KaYot 3,732]

Для чего так с яндексом вы*бнулись?

Дибилы'с. Там же ссылки вообще с параметрами и тегами забиты, человек который это оформлял просто не в курсе что есть домен и URL, тупо из браузера надергали из адресной строки