Настраиваем ДНС сервер против цензуры.

Тема в разделе 'Препятствуем блокировке сайта', создана пользователем Roscenzura.com, 18 мар 2014.

  1. Roscenzura.com

    Roscenzura.com Администратор Staff Member

    Симпатии:
    180
    Репутация:
    0
    Источник: http://habrahabr.ru/sandbox/51757/

    Привожу общие сведения для линукса (пошаговой документации не даю, google или средний админ в помощь). Вместо одного ip для вашего сайта покупаете столько, сколько сможете. Вешаете их на алиасы интерфейса сетевой карты. Поднимаете и настраиваете ДНС сервер (речь, как вы понимаете, идёт не про шаред хостинга, а хотя бы VPS). Используя ip route и ip rules настраиваете, чтобы при запросе на один из ваших адресов ответ уходил с него же. ДНС сервер повесьте на отдельный ip, чтобы при блокировке по ip он был доступен.
    Далее для Bind. Создаёте acl по количеству купленных ip, в них добавляете сети российских операторов (где взять будет дальше) и ещё один acl с сетью 0.0.0.0/0. Создаём для этих acl view с таким же количеством. В общем делаем по аналогии примера:

    Код:
    acl «operators_pool1» { 100.0.0.0/8;
    131.100.0.0./16;
    };
    
    acl «operators_pool2» { 101.0.0.0/8;
    132.100.0.0./16;
    };
    
    view «view_operators_pool1» {
    match-clients { operators_pool1; };
    
    zone «youdomain.com»{
    type master;
    notify yes;
    file «master/ru/operators_pool1_youdomain.com»;
    };
    };
    
    view «view_operators_pool2» {
    match-clients { operators_pool2; };
    
    zone «youdomain.com»{
    type master;
    notify yes;
    file «master/ru/operators_pool2_youdomain.com»;
    };
    };
    
    Создаёте файлы зон, где в разных файлах будут разные ip Вашего домена. Таким образом, при попадании ip в реестр, будет заблокирован доступ лишь от части операторов, среди которых будет тот, на котором сидит служащий, отправивший Ваш домен на блокировку. Дальше можно будет сменить этот ип, а для большинства пользователь недоступность останется незамеченной.
    А когда наконец-то будет внедрён ipv6, можно будет вешать по одному ip на каждого российского оператора.

    Качаем
    ftp.ripe.net/ripe/dbase/split/ripe.db.aut-num.gz
    ftp.ripe.net/ripe/dbase/split/ripe.db.inetnum.gz

    Парсим файл inetnum, берём из него подсети «inetnum». Там, где «country» RU. Cобираем их в пулы по «mnt-by», берём для наглядности из aut-num на основании наших «mnt-by» «descr».
    У нас получилась база провайдеров России с их блоками ip адресов. Читаем descr, ищем госорганизации, и в блокировку на фаэрволе их. Остальных делим в равных пропорциях и добавляем в acl.
     
  2. Касандра

    Касандра New Member

    Симпатии:
    0
    Репутация:
    0
    Получается, что можно сделать так что никто и не подкопается. И получается, что какая-то круговерть. Все это можно сделать тому кто в этом просто прошареный, но смотрите, если все обойти стороной реально, то почему же все этим не пользуются?
     
  3. Rondo

    Rondo New Member

    Симпатии:
    1
    Репутация:
    0
    Для меня это сложная шпаргалка. Сохраню ссылку и покажу одному знающему другу. Пусть разберется, авось когда-нибудь и мне пригодится...
     
  4. Radder86

    Radder86 New Member

    Симпатии:
    0
    Репутация:
    0
    Проблема этого способа, если блокировка происходит не по IP, а еще и по домену.
    Как сейчас видно обычно блокируют и по одному и по второму
     
  5. Master

    Master Модератор

    Симпатии:
    81
    Репутация:
    0
    Это первые два года многие провайдеры не умели блокировать по домену - сейчас почти у всех стоит нужное оборудование, а значит данная инструкция уже не актуальна больше года. Куда интереснее идея настроить GeoIP для разных городов с исключением для московских яндексовских ботов и редиректить москвичей на случайно сгенерированное зеркало сайта, например, zerkalo1.mydomain.com. Можно сделать так, что главное зеркало для Гугла будет одно, а для Яндекса другое.
     
  6. Radder86

    Radder86 New Member

    Симпатии:
    0
    Репутация:
    0
    Идея конечно хорошая, но вопрос в том, что с продвижением будет беда. И опять таки, точно РКН будет блочить конечную урлу, а не ту, которая в индексе будет?
    К примеру, если в индексе будет www.rkn.com, а при заходе отправлять москвичей на msk-mirror.rkn.com, а остальных на russia-mirror.rkn.com. Точно ли будет забанено одно из зеркал, а не сам www.rkn.com? Делались ли такие эксперименты?
     
  7. Master

    Master Модератор

    Симпатии:
    81
    Репутация:
    0
    РКН будет блочить редиректы на запрещенный контент, но не генераторы, так, например, уже больше года прекрасно себя чувствует rusdosug.nu.
    Эксперименты с редиректами москвичей делались, но они дают временный эффект 2-3 месяца, в конце концов цензоры банят и зеркало и редирект. Поэтому популярным сайтам я бы рекомендовал вообще редиректить всю Россию на генератор, на продвижение в Google это не отразится, а для Яндекса можно попробовать сделать исключение для поисковых ботов, но это, по идее, уже клоакинг и могут быть санкции.
    Кроме того, мы сейчас работаем над инструментом для скрытия содержимого, похожий на форумный плагин HIDE, только можно настраивать скрытие для разделов сайта в зависимости от территориальной принадлежности IP и наличия определенного плагина.
     
  8. lookfordonor

    lookfordonor New Member

    Симпатии:
    0
    Репутация:
    0
    Не совсем понял по поводу редиректа всей России. Как тогда ПС будут считывать инфу на основном зеркале сайта?
    У меня 90% трафика идет с Мск и Питера, вообще не вариант Москве отдавать страницу анонимайзера (99% что все люди просто уйдут с сайта). Можно конечно редиректить всех, кроме ботов ПС, но где найти весь список?
     
  9. Roscenzura.com

    Roscenzura.com Администратор Staff Member

    Симпатии:
    180
    Репутация:
    0
    Редирект всей России нужен, чтобы сохранить трафик Гугла, например.
    Можно наоборот, редиректить только зарубежный трафик, тогда новый домен не будет блокироваться автоматом и может быть долго не замечен цензорами. Или можно редиректить весь русский трафик за исключением яндекс ботов, но это защитит только от судебной блокировки домена, досудебная может быть наложена и на домен-редирект. Можно сильнее исхитриться и для всех русских IP за исключением поисковых ботов показывать генератор зеркал.
    Списки ботов найти не проблема, они есть в свободном доступе. Их используют некоторые хостинги.
    Откуда вы знаете? Вот крупнейший досуговый сайт rusdosug.com уже больше года живет на генераторе зеркал, привязанном к анонимайзеру Хамелеон - rusdosug.nu. Хотя было бы лучше настроить анонимайзер на собственном сервере, а не отдавать трафик третьей стороне. Если более доступной альтернативы нет, так куда деваться - будут использовать анонимайзеры.
     
    Last edited: 3 авг 2016

Поделиться этой страницей