Настраиваем ДНС сервер против цензуры.

moder

moder

Администратор
Команда форума
Источник: http://habrahabr.ru/sandbox/51757/

Привожу общие сведения для линукса (пошаговой документации не даю, google или средний админ в помощь). Вместо одного ip для вашего сайта покупаете столько, сколько сможете. Вешаете их на алиасы интерфейса сетевой карты. Поднимаете и настраиваете ДНС сервер (речь, как вы понимаете, идёт не про шаред хостинга, а хотя бы VPS). Используя ip route и ip rules настраиваете, чтобы при запросе на один из ваших адресов ответ уходил с него же. ДНС сервер повесьте на отдельный ip, чтобы при блокировке по ip он был доступен.
Далее для Bind. Создаёте acl по количеству купленных ip, в них добавляете сети российских операторов (где взять будет дальше) и ещё один acl с сетью 0.0.0.0/0. Создаём для этих acl view с таким же количеством. В общем делаем по аналогии примера:

Код:
acl «operators_pool1» { 100.0.0.0/8;
131.100.0.0./16;
};

acl «operators_pool2» { 101.0.0.0/8;
132.100.0.0./16;
};

view «view_operators_pool1» {
match-clients { operators_pool1; };

zone «youdomain.com»{
type master;
notify yes;
file «master/ru/operators_pool1_youdomain.com»;
};
};

view «view_operators_pool2» {
match-clients { operators_pool2; };

zone «youdomain.com»{
type master;
notify yes;
file «master/ru/operators_pool2_youdomain.com»;
};
};
Создаёте файлы зон, где в разных файлах будут разные ip Вашего домена. Таким образом, при попадании ip в реестр, будет заблокирован доступ лишь от части операторов, среди которых будет тот, на котором сидит служащий, отправивший Ваш домен на блокировку. Дальше можно будет сменить этот ип, а для большинства пользователь недоступность останется незамеченной.
А когда наконец-то будет внедрён ipv6, можно будет вешать по одному ip на каждого российского оператора.

Качаем
ftp.ripe.net/ripe/dbase/split/ripe.db.aut-num.gz
ftp.ripe.net/ripe/dbase/split/ripe.db.inetnum.gz
http://ftp.ripe.net/ripe/dbase/split/ripe.db.inetnum.gz
Парсим файл inetnum, берём из него подсети «inetnum». Там, где «country» RU. Cобираем их в пулы по «mnt-by», берём для наглядности из aut-num на основании наших «mnt-by» «descr».
У нас получилась база провайдеров России с их блоками ip адресов. Читаем descr, ищем госорганизации, и в блокировку на фаэрволе их. Остальных делим в равных пропорциях и добавляем в acl.
 
Касандра

Касандра

New Member
Получается, что можно сделать так что никто и не подкопается. И получается, что какая-то круговерть. Все это можно сделать тому кто в этом просто прошареный, но смотрите, если все обойти стороной реально, то почему же все этим не пользуются?
 
Rondo

Rondo

New Member
Для меня это сложная шпаргалка. Сохраню ссылку и покажу одному знающему другу. Пусть разберется, авось когда-нибудь и мне пригодится...
 
R

Radder86

New Member
Проблема этого способа, если блокировка происходит не по IP, а еще и по домену.
Как сейчас видно обычно блокируют и по одному и по второму
 
Master

Master

Модератор
Проблема этого способа, если блокировка происходит не по IP, а еще и по домену.
Как сейчас видно обычно блокируют и по одному и по второму
Это первые два года многие провайдеры не умели блокировать по домену - сейчас почти у всех стоит нужное оборудование, а значит данная инструкция уже не актуальна больше года. Куда интереснее идея настроить GeoIP для разных городов с исключением для московских яндексовских ботов и редиректить москвичей на случайно сгенерированное зеркало сайта, например, zerkalo1.mydomain.com. Можно сделать так, что главное зеркало для Гугла будет одно, а для Яндекса другое.
 
R

Radder86

New Member
Идея конечно хорошая, но вопрос в том, что с продвижением будет беда. И опять таки, точно РКН будет блочить конечную урлу, а не ту, которая в индексе будет?
К примеру, если в индексе будет www.rkn.com, а при заходе отправлять москвичей на msk-mirror.rkn.com, а остальных на russia-mirror.rkn.com. Точно ли будет забанено одно из зеркал, а не сам www.rkn.com? Делались ли такие эксперименты?
 
Master

Master

Модератор
И опять таки, точно РКН будет блочить конечную урлу, а не ту, которая в индексе будет?
РКН будет блочить редиректы на запрещенный контент, но не генераторы, так, например, уже больше года прекрасно себя чувствует rusdosug.nu.
Эксперименты с редиректами москвичей делались, но они дают временный эффект 2-3 месяца, в конце концов цензоры банят и зеркало и редирект. Поэтому популярным сайтам я бы рекомендовал вообще редиректить всю Россию на генератор, на продвижение в Google это не отразится, а для Яндекса можно попробовать сделать исключение для поисковых ботов, но это, по идее, уже клоакинг и могут быть санкции.
Кроме того, мы сейчас работаем над инструментом для скрытия содержимого, похожий на форумный плагин HIDE, только можно настраивать скрытие для разделов сайта в зависимости от территориальной принадлежности IP и наличия определенного плагина.
 
lookfordonor

lookfordonor

New Member
Не совсем понял по поводу редиректа всей России. Как тогда ПС будут считывать инфу на основном зеркале сайта?
У меня 90% трафика идет с Мск и Питера, вообще не вариант Москве отдавать страницу анонимайзера (99% что все люди просто уйдут с сайта). Можно конечно редиректить всех, кроме ботов ПС, но где найти весь список?
 
moder

moder

Администратор
Команда форума
Не совсем понял по поводу редиректа всей России.
Редирект всей России нужен, чтобы сохранить трафик Гугла, например.
Можно наоборот, редиректить только зарубежный трафик, тогда новый домен не будет блокироваться автоматом и может быть долго не замечен цензорами. Или можно редиректить весь русский трафик за исключением яндекс ботов, но это защитит только от судебной блокировки домена, досудебная может быть наложена и на домен-редирект. Можно сильнее исхитриться и для всех русских IP за исключением поисковых ботов показывать генератор зеркал.
Списки ботов найти не проблема, они есть в свободном доступе. Их используют некоторые хостинги.
(99% что все люди просто уйдут с сайта)
Откуда вы знаете? Вот крупнейший досуговый сайт rusdosug.com уже больше года живет на генераторе зеркал, привязанном к анонимайзеру Хамелеон - rusdosug.nu. Хотя было бы лучше настроить анонимайзер на собственном сервере, а не отдавать трафик третьей стороне. Если более доступной альтернативы нет, так куда деваться - будут использовать анонимайзеры.
 
Последнее редактирование:
S

stmx

Member
Объясните, как это работает? Ведь DPI никто не отменял. Не только по IP же блок а по имени домена еще
 
moder

moder

Администратор
Команда форума
Да, от DPI то не поможет. Гипотетически это будет работать на новых протоколах ssl, когда не передается имя домена. И тогда провайдеры будут блокировать "по старинке" - по IP.
 
B

biohacker01

Разработчик
По IP врядли начнут опять блочит, весь клауд опять и многие cdn лягут.
Тут уже смотреть в сторону WeB APP,чтоб весь сайт при повторном посещении грузился из кеша, ну а там в кеше уже переадресации
 
Сверху