[uanog] Яндекс все?

[Paul Arakelyan]

On Sun, May 28, 2017 at 10:18:05PM +0200, Maksym Tuyluk wrote:
> Привет!
> 
> IMHO была очень длинная дискуссия но по делу ответа не было, поэтому:
> 
Та вроде как было несколько рабочих вариантов :).

> блокировка на уровне провайдера лучше всего получается или 1) на IP уровне или 2) в DNS. Чаще всего используют комбинацию: на IP блокируют, а при помощи DNS показывают ???что случилось???.
> 
> Технически например выглядит так:
> 1) в route-reflector записываем IP и маркируем через community
> 2) border routers добавляют маркированый route в таблицу маршрутизации с destination ???drop???/???reject???/etc
> 3) при запросе на указанное имя DNS servers отвечает с адресом сервера в провайдерской сети
И тут наступают грабли - и от публичных DNS, и пр-др... Скорее роутить "всё" в
какой-нить нат с DNS+веб-сервером.

> 4) сервер получает запрос и показывает страницу с содержанием ???почему заблокировали имя или URL???
Очень весело, если вспомнить что https всё "усюдее" :)

> Но самое тяжелое IMHO это протокол взаимодействия между государством и провайдерами,
> т.е. государственный орган должен уведомлять про установку или снятие блокировки, а
> провайдер должен информировать, что запрос выполнен.

Самое главное - это чёткое объяснение что конкретно и каким образом
должно быть заблокировано, а что - необходимо оставить (грубо говоря -
мы не можем блочить урл "без ярда баксов инвестиций" и мы должны быть
защищены от исков "заблочили то, что не указано" - например, не
указывалась необходимость блокировки SMTP/POP3/IMAP, вроде асю задели
тоже), учитывая отсутствие СОРМ-подобной фигни.

Это просто верх расточительности - заставлять всех проделывать одну и
ту же работу "выявить что, придумать как", и опять же незащищенность
от "немного перестарались".

И выглядит как-то по-идиотски - заблочить почту Яндекса, но оставить
поиск и новости (в укртелеком пашет).


-- 
Best regards,
Paul Arakelyan.