Как стать автором
Обновить

Как блокировал контент для взрослых

Время на прочтение7 мин
Количество просмотров21K
Всего голосов 28: ↑4 и ↓24-19
Комментарии31

Комментарии 31

НЛО прилетело и опубликовало эту надпись здесь

Хабр содержит контент для взрослых (18+), согласно пользовательскому соглашению. Его, я так понимаю, заблокировать не удалось?

В чём новшество или преимущество описанного способа блокировки именно на оборудовании Zyxel, если весь принцип сводится к использованию яндекс днс?

ни в чем, просто копирайтеру нужно зарплату отрабатывать.

В одной из школ, провайдер блокировал выделенный канал Интернет минут через 20, после того как начинались занятия, аргументируя чрезмерной нагрузкой по UDP (ну было по 200 телефонов в сети) , мало указать "ДНС с защитой контета", нужно еще отлавливать все пакеты на 53 порт и перенаправлять на собственные кэшириющие DNS, но и не забывать про DNS-over-TLS где не только 853 порт, вобщем куча телефонного зоопарка из китая "убивает" сеть - пришлось отлавливать сервера по количеству пакетов на UDP к которым идет подключение, и блокировать эти сервера на тайм-лимит в несколько часов. В целом базовый интернет у всех есть, жалобы сейчас не частые.

и у него прям в договоре прописано ограничение на UDP сессии?

Провайдер действительно имел право так считать, мой NAT тяжело умирал от количества запросов, просто провайдер был крайней точкой принявшей решение.

Формулировка со стороны провайдера: вирусная активность вероятно бот-нет.
Я наблюдал за активностью WireShark-ом, оказывается что каждый андроидный китаец сливает уйму данных, кроме того похищение данных о клиенте, треккинги тача у этих хостов это "как здрасти", не говоря о треккерах и т.п. Аналогично ведут себя и устройства Apple со своими облаками. Мне пришлось зарезать сайты и многие хосты производителей телефонов регулярками, ну а после уже по количеству запросов на хост.
Соответвенно пользователи WiFi получают легкий интернет, администрация - полный с небольшими коррективами. Ужас с подключением в этой школе 14 точек доступа в качестве бриджей позволил сыграть с разделением сетей для каждой группы доступа.

перенаправлять запрещенки лучше на 255.255.255.255 а не на IP. Ничего лишнего в запросах не висит нигде, мгновенный отказ.

Бродкастить блокируемый хост? Ааааригинально...

;) а какие у Вас будут предложения, при открытии страницы, если реклама формируется с определенного хоста, треккеры встроены в большинство станиц... подсеть 127.0.0.х делает задержку, любой несуществующий адрес делает время ожидания. И получается что страница уже готова для отображения но чего-то еще ждет. У нас определенные соцсети заблокированы, если в странице есть кнопка "поделиться" запрещенной соц.сети, то страница тупит, так как ждет ответ от левого адреса. "Дропать" пакеты накладно по нагрузке на маршрутизатор, посылать абы куда тоже не вариант из-за задержки отказа.

тесты в студию!!!

НЛО прилетело и опубликовало эту надпись здесь

на 1й линии отутлуб ДНСом, те кто пробился дальше уже можно reject-ать и про UDP не забывать

0.0.0.0

Пропробуйте сравнить даже обычным пингом.

Вообще, правильнее всего было бы отдавать NXDOMAIN, если есть такая возможность.

127.0.0.1 плох тем, что вдруг на клиенте там что-то висит? Ну, мало ли, какой-нибудь локальный веб-сервер, вдруг это устройство веб-разработчика. И могут происходить всякие неожиданные сценарии.

0.0.0.0 — как компромиссный вариант, не самый лучший, но и не самый худший.

Опередили https://habr.com/ru/company/zyxel/blog/646613/comments/#comment_24020685

С подключением Вас Александр, работающий 16 лет с СКС и сетевым оборудованием! Описаный Вами способ с блокировкой хостов на dns использовали ещё в начале 2000х. Он и тогда не работал и сейчас не работает. Количество порно сайтов превышает все возможные базы где их пытаются записывать и семейный Яндекс dns это не решение

На оборудовании MikroTik возможностей для решения подобной задачи гораздо больше.

Регулярками на софт-роутере?

Да, конечно. Именно так). А если серьезно, то ни первому, ни по второму пункту я с вами скорее не соглашусь, чем соглашусь.

Еще можно по TLS SNI ловить, но там, насколько помню, регулярки не работают (но заявлена поддержка glob)

А что мешает использовать другой днс или прокси?

НЛО прилетело и опубликовало эту надпись здесь

Иначе мжно получить девайс который будет считать что инета нет, хотя браузеры куда-то ходить будут, и в некоторых случаях наоборот. А еще в Opera есть VPN, которому нужны всего лишь диаппазоны адресов.

Перечитывая заголовок уже в 3-й раз, хочется всё-таки уточнить кто же такой этот Как?

А вы не оценивали, насколько хорошо семейный яндекс.днс блокирует сайты для взрослых? Я вот смотрел, многие сайты с видео для взрослых даже из поисковой выдачи яндекса он пропускает. Но самое обидное, что поддержка яндекса не реагирует на обращения, и не добавляет эти домены в базу яндекс.днс. Фикция, одним словом.

Кроме этого, семейный режим есть у AdGuard DNS. https://adguard.com/ru/blog/adguard-dns-family-protection.html

Но всегда найдутся продвинутые дети, которые установят vpn-плагин в браузер, и спокойно зайдут на "заблокированные" таким образом сайты.

:) поэтому нужно заблокировать "магазины" браузеров и скачивание файлов содержащих расширение, а еще пройтись по маске названий, и торрент и VPN обязательно по L7 запретить (как-то было все рекоментовали но при этом малко кто видел на деле эго неэффективность) .
Крупные организации в домене еще умудряются подменять https сертификаты для контроля над трафиком. Безграничное поле для всяких изощрений.

Абсолютная защита это выдернуть вилку из розетки, остальное только усложнение простых решений по побходу ограничений.

А вы не оценивали, насколько хорошо семейный яндекс.днс блокирует сайты для взрослых?

Вроде нормально блокирует. Если что-то пропустит, заблокирую сайт вручную.

Кроме этого, семейный режим есть у AdGuard DNS.

Спасибо и за ссылку тоже.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий