первая колонка это кол-во адресов

вторая это ASN

ой я ошибся, 30% реестра же

охуеть

из 30к уникальных адресов 10к уникальных принадлежат клаудфларе

это оптическая иллюзия или D-Link действительно криво стоит в стойке? :)

78.139.216.102 4 65525 439866 449298 1748933656 0 0 7w0d 28083

тоже суммарайзед

78.139.216.102 4 65525 439866 449298 1748933656 0 0 7w0d 28083

28к?

хуева суммаризировал))

ну

нормально

еще на две тыщи можно ужать

да мне пох

я там уже не работаю

да там не сохраняются старые

ну ебани тогда там все к хуям

wr erase

%)

видимо из-за того что постоянно разница переливается

если накапливать то будет ок

15867 US 4144 NL 1840 DE 1289 GB 858 UA 640 LU 586 FR 499 RU 338 CA 324 LV

но видимо тем кто сейчас занимается этим виднее)

вот еще по странам если кому интересно

проклятая америка

да

и нидерланды :D

надо проверить, сколько адресов из нидерландов забанили по решению фскн

lol

это оптическая иллюзия или D-Link действительно криво стоит в стойке? :)

Похоже на одном ухе висит.

https://youtu.be/T8T2rSQSQUI

Шок

красиво

600 мемберов

Как же меня бомбит от необходимости блокировать записи типа *.domain

Сука, как, КАК они себе это представляют?!

вы про domain-mask?

Именно

вариантов много

Даже если я буду перехватывать все DNS-reply foo.domain.com IN A 1.2.3.4, каким, сцуко, образом, я буду проверять, что отдаваемый в DNS ip действительно тот, который надо блокировать, а не поставленный ради шутки ip РКН?

зачем перехватывать?

начнём с начала: чем блокируете?

Не, давайте с начала прям

Чем блокировать, это дело десятое

Дело в архитектуре

и я об этом

Вот клиент у вас хочет попасть на foo.domain.com. Как вы будете блокировать его? Я вижу всего два варианта 1) DNS-spoofing и запрет всех непровайдерских DNS-серверов 2) DNS-resolving и запрет по полученным ip

dpi? прокси? весь трафик через фильтр прогоняете?

О, моё любимое. ;)

?)

О, ну вы сразу полезли в дебри конкретной реализации. Смысл?

Видимо, не понимаю смысла вопроса

Ну вы предложите ответы на мои два пронумерованных вопроса выше с помощью любого удобного вам механизма

Вот прям каким хотите

я пока придумал (не реализовал, а придумал тока) только 1 способ - пропускаем все DNS-запросы через фильтровалку, которая либо дропает пакетики с запросами запрещённых доменов (т.е. они не доходят до серверов и ресолвинг обламывается по таймауту), либо шлёт NX_DOMAIN

это касаемо domain mask, конечно

1) вариант неплохой для domain-mask, но резать сторонние днс - западло

я пока придумал (не реализовал, а придумал тока) только 1 способ - пропускаем все DNS-запросы через фильтровалку, которая либо дропает пакетики с запросами запрещённых доменов (т.е. они не доходят до серверов и ресолвинг обламывается по таймауту), либо шлёт NX_DOMAIN

Ну так это первый вариант и есть

Дааа, ииии? )

не совсем

Я жду, когда вы наскочите ответом на мои любимые подставы вопроса

2) это, видимо, таки в контексте какого-то механизма фильтрации? или как?

первый вариант был блочить все чужие DNS

не совсем

Именно что совсем, поскольку вам при этом всё равно придётся перехватывать ВСЕ DNS-запросы, не только к вашему DNS-серверу

да, это плохо.

Вооот

ERROR: S client not available

Давайте ко второму варианту. Там будет ещё хуже, обещаю )

но лучше чем тупо блочить все, кроме своих DNS.

второй вариант нереализуем.

кхм. А зачем?

идейные активисты в чате?

но лучше чем тупо блочить все, кроме своих DNS.

На месте клиента я бы моментально подал иск с вопросом, а какого, собственно, хера

нельзя отресолвить заранее неопределённый список доменов

не желаете ещё поблочить всякие тоннели?

нельзя отресолвить заранее неопределённый список доменов

Даааа, иииии??? )

что "и"? Нельзя. не реализуется этот вариант.

Вариант прекрасно реализуется

Технически он возможен, но юридически это пиздец

Технически он возможен, но юридически это пиздец

что возможно? отресолвить *.grani.ru?

что возможно? отресолвить *.grani.ru?

Обсуждаемый первым вариантом DNS-spoofing с запретом/подменой ответов от ВСЕХ DNS-серверов? Конечно возможен.

не спуфинг. ни в коем разе. корпораты со своими roga-i-kopyta.local на своём собственном DNS сразу взвоют.

не спуфинг. ни в коем разе. корпораты со своими roga-i-kopyta.local на своём собственном DNS сразу взвоют.

Илья, это всё уже совершенно незначительные тонкости, поскольку легко обходятся настройкой фильтров только на спуфинг записей *.grani.ru

кхм. да?

технически как?

Главное не это, а то, что провайдер будет рыться в пользовательском трафике, причём вполне себе добросовестном и законном. Пользователи DNSSec оценят, кстати

провайдера заставляют рыться в трафике этим самым грёбаным законом.

технически как?

Да влёгкую! ngrep grani.ru eth0 -f 'udp and dst port 53' как примитивнейший вариант

провайдера заставляют рыться в трафике этим самым грёбаным законом.

это таки не совсем так

Да влёгкую! ngrep grani.ru eth0 -f 'udp and dst port 53' как примитивнейший вариант

куда конкретно вводить эту команду на роутере? на Juniper' е MX, например?

провайдера заставляют рыться в трафике этим самым грёбаным законом.

Провайдер будет нагнут абонентами, и прецеденты были.

пока, кроме "рекомендаций" угнетать посторонние днсы, ничего конкретного про это нигде не сказано

фильтрация по URL - это тоже ковыряние в трафике.

и где в законе написано, что она обязательна?

куда конкретно вводить эту команду на роутере? на Juniper' е MX, например?

Илья, ну что вы как маленький. Миррор трафика с udp port 53 на сервер и дальше переписывание и ответ первым

ответ первым? гарантированно?

ну, точно активисты

ответ первым? гарантированно?

С tcp-трафиком это работает, да.

Если хочется железобетонного - не миррорить, а PBR/FBF делать через сервер