Перейти к содержимому

Лир Украина

ASP24.com.ua — MikroTik Router OS Level 4, 5, 6, Extra Channel по лучшим ценам. Звоните! 098-89-66-219
Синтегра
Фото

Утилиты для блокировки ВК, ОК и т.д.

python bash указ вк блокировка однокласники яндекс

  • Чтобы отвечать, сперва войдите на форум
120 ответов в теме

#21 ttttt

ttttt

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 662 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 20:22

Интересно если блокировать только 80,443 и icmp- сочтут за не выполнение?

Кто сочтет? Нет же проверяющих.
  • 0

LanTorg.com

#22 KaYot

KaYot

    Злобный фей

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 6 796 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 20:23

написано, что нужно запретить доступ к сайтам... и все

Нет, про сайты нет ни слова.
9) заборона Інтернет-провайдерам надання послуг з доступу
користувачам мережі Інтернет до ресурсів/сервісів:
https://avia.yandex.ru/
...
11) заборона Інтернет-провайдерам надання послуг з доступу
користувачам мережі Інтернет до ресурсів сервісів «Mail.ru»
(www.mail.ru) та соціально-орієнтованих ресурсів
«Вконтакте» (www.vk.com) та «Одноклассники» (www.ok.ru)

Изменено: KaYot, 17 Май 2017 - 20:24

  • 0

#23 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 20:24

 

написано, что нужно запретить доступ к сайтам... и все

Нет, про сайты нет ни слова.
9) заборона Інтернет-провайдерам надання послуг з доступу
користувачам мережі Інтернет до ресурсів/сервісів:
https://avia.yandex.ru/
...
11) заборона Інтернет-провайдерам надання послуг з доступу
користувачам мережі Інтернет до ресурсів сервісів «Mail.ru»
(www.mail.ru) та соціально-орієнтованих ресурсів
«Вконтакте» (www.vk.com) та «Одноклассники» (www.ok.ru)

 

Как нету ? Есть четкое описание протокола HTTP(S)


  • 0

NG Optics

#24 Субчик

Субчик

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 190 Сообщений:

Опубликовано 17 Май 2017 - 20:26

а как в IPv6 блокировать ?


  • 0

#25 Daniil_

Daniil_

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 271 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 17 Май 2017 - 20:32

Мне кажется, что блокировка КС (когда просто в днс домен не резолвится никак) самое оно


  • 0

#26 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 20:33

Мне кажется, что блокировка КС (когда просто в днс домен не резолвится никак) самое оно

Я думаю тут каждому нужно будет решать с учетом его потребностей.


  • 0

#27 parabellum

parabellum

    Первая Кровь

  • Маглы
  • ФишкаФишка
  • 50 Сообщений:

Опубликовано 17 Май 2017 - 20:36

Мне кажется, что блокировка КС (когда просто в днс домен не резолвится никак) самое оно

Я об этом методе, как о самом простом, вчера писал в параллельном сраче по данной теме. Заблокировали так и ладно, формально выполнили.  Покупать хрень для DPI - пусть идут нах, на это ни у кого нет денег и это бессмысленно.


  • 0

#28 leshik

leshik

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 240 Сообщений:

Опубликовано 17 Май 2017 - 20:39

flowspec очень помогает:

set routing-options flow route Block_5.61.23.5 match destination 5.61.23.5/32
set routing-options flow route Block_5.61.23.5 match protocol tcp
set routing-options flow route Block_5.61.23.5 match destination-port 80
set routing-options flow route Block_5.61.23.5 match destination-port 443
set routing-options flow route Block_5.61.23.5 then discard

 

и получаем:

 

show route 5.61.23.5/32

inetflow.0: 7 destinations, 14 routes (7 active, 0 holddown, 7 hidden)
+ = Active Route, - = Last Active, * = Both

5.61.23.5,*,proto=6,dstport=80,=443/term:1
                   *[BGP/170] 00:53:50, MED 200, localpref 100, from 1.1.1.1
                      AS path: (ххх ккк) I, validation-state: unverified
                      Fictitious
 

 

Это на джунипере позволяет все сделать на одном роутере, блокировать конкретные порты и протоколы.

Все, при правильное настройке flowspec,  разъедется по сети. Это имеет смысл если много роутеров и много "дыр" через которые может уехать трафик на блокируемый хост.

 

PS: У кого одноклассники пропали?


Изменено: leshik, 17 Май 2017 - 20:45

  • 0

#29 powder

powder

    Пролетал Мимо

  • Маглы
  • Фишка
  • 15 Сообщений:

Опубликовано 17 Май 2017 - 20:40

Хотелось бы КС победить. Есть вариант обхода на микротике?
  • 0

#30 mort1k

mort1k

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 197 Сообщений:

Опубликовано 17 Май 2017 - 20:45

Ребяты не занимайтесь глупостями с ip acl. Задолбитесь их обновлять

Вспоминаем что днс запросы и ответы бегают plain. Выкалупываем пакеты с A-type запросами, заворачиваем на свой днс и отвечаем по своим фантазиям и фиолетово каким dns пользуются клиенты.


Изменено: mort1k, 17 Май 2017 - 21:28

  • 0

#31 leshik

leshik

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 240 Сообщений:

Опубликовано 17 Май 2017 - 20:49

У меня примерно 1% клиентов пользуется моим DNS. Еще 10% гуглом, остальные держат свой, и N (>10) дырок на M роутерах, через который может пройти DNS запрос.

Для меня это нереально.


Изменено: leshik, 17 Май 2017 - 20:50

  • 0

#32 Daniil_

Daniil_

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 271 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 17 Май 2017 - 21:54

предложите вариант выколупывания пакетов с A-type записями?

вот человек делал для MX возможно можно переделать для A

http://www.citrin.ru...:ng_ipfw_ng_bpf


  • 0

#33 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 22:18

предложите вариант выколупывания пакетов с A-type записями?

вот человек делал для MX возможно можно переделать для A

http://www.citrin.ru...:ng_ipfw_ng_bpf

 

Суть проблемы в том, что смотреть в нутрь пакетов ето "дорогого стоит", будьте готовы к драматическому увеличению нагрузки на сервера в случае реализации


  • 0

#34 Daniil_

Daniil_

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 271 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 17 Май 2017 - 22:22

На самом деле, нам не нужно смотреть внутрь всех пакетов, нас интересуют лишь ДНС пакеты, да и не все пакеты, а которые направлены к сторонним днс от клиентов (в случае если они используют не наши днс)... а тут трафик не такой большой


  • 0

#35 leshik

leshik

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 240 Сообщений:

Опубликовано 17 Май 2017 - 22:26

что смотреть в нутрь пакетов ето "дорогого стоит"

 

Это стоит не дорого, это стоит "власть" над всем https....


  • 0

#36 mort1k

mort1k

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 197 Сообщений:

Опубликовано 17 Май 2017 - 22:31

 

предложите вариант выколупывания пакетов с A-type записями?

вот человек делал для MX возможно можно переделать для A

http://www.citrin.ru...:ng_ipfw_ng_bpf

 

Суть проблемы в том, что смотреть в нутрь пакетов ето "дорогого стоит", будьте готовы к драматическому увеличению нагрузки на сервера в случае реализации

 

зависит от размера blacklist'a в текущем случае это мелочь.


  • 0

#37 mort1k

mort1k

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 197 Сообщений:

Опубликовано 17 Май 2017 - 22:37

либо ip acl, через такое http://thekelleys.or...0312b49e2a5c15d


Изменено: mort1k, 17 Май 2017 - 22:40

  • 0

#38 KaYot

KaYot

    Злобный фей

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 6 796 Сообщений:
  • Пол:Мужчина

Опубликовано 17 Май 2017 - 22:52

Может кому нужен список доменов из Акта. Там повторы есть, лень было чистить.
Spoiler

Изменено: KaYot, 17 Май 2017 - 22:53

  • 3

#39 mr.Scamp

mr.Scamp

    Оборотень

  • Сitizens
  • ФишкаФишкаФишкаФишка
  • 416 Сообщений:
  • Пол:Мужчина
  • Город:Ровно
  • Интересы:FreeBSD, Linux, Cisco

Опубликовано 17 Май 2017 - 23:21

 

Саша, ну у тебя например хостинг, как и у меня. Потеряешь связность с яшей, потеряешь клиентов. Так что не вариант. Совсем. Как и то, что на тот же майлру почта ходить должна, любая клиентская форма на хостинге обломится отослать в мейлру письмо если ей не будет кудой ето сделать и т..д

 

Так не обязательно же везде блочить :) На бордерах просто вешаем комьюнити для упрощения работы с маршрутами на брасах.


  • 0

#40 UStas_rinet

UStas_rinet

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 227 Сообщений:

Опубликовано 17 Май 2017 - 23:28

На подходе новая утиля, заточеная для переодического запуска на SystemD системах. Ето могут быть как насы так и например какой-то сервер c ExaBGP чтоб делать вбросы в FlowSpec.

 

https://github.com/G...stemd-ready-nas

 

Настройка производится чезез енвы в юните https://github.com/G...updater.service

Может брать адреса по урлу или локально. Сравнивает то что есть с тем что должно быть и производить добавления / убирания. 

 

Пока не протестировано, завтра к обеду должно быть в бетке 


  • 0





Также с меткой «python, bash, указ, вк, блокировка, однокласники, яндекс»

10 пользователей читают эту тему

0 members, 10 guests, 0 anonymous users

Local.blog МЕТА - Украина