Комментарии 11
Остается надеятся что хотя бы некоторые провайдеры возьмут это на вооружение и будут блокировать хосты по спискам роскомнадзора именно так, а не по ip адресам. Хотя уже столько времени прошло с момента выхода 9.8.1, а толку 0…
Ну так-то я и сейчас могу у себя на DNS прописать те же gov.by, vk.com и т.д. И юзеру точно также будут возвращаться данные, которые я захочу. В чем преимущество RPZ?
Формально, не можете, если не являетесь владельцем этих доменов. И потом, предположим ситуацию, когда вам нужно заблокировать 1000 хостов, каждый из которых находится в разных доменах. Будете у себя прописывать 1000 авторитативных зон? Ерунда получится
Формально я не вижу разницы между прописыванием RPZ и простой зоны — обе изменяют оригинальный адрес.
По поводу прописывания 1000 зон — согласен, удобнее. Но я не верю, что это придумывалось только для удобства. Должны быть какие-то другие преимущества.
PS. Мне не «не нравится эта фигня». Мне действительно интересно, что же в этой фиче по-настоящему полезного.
По поводу прописывания 1000 зон — согласен, удобнее. Но я не верю, что это придумывалось только для удобства. Должны быть какие-то другие преимущества.
PS. Мне не «не нравится эта фигня». Мне действительно интересно, что же в этой фиче по-настоящему полезного.
Не скажите. Это две большие разницы. Если в RPZ вы прописываете исключения для хостов любых зон, то в зонах вы описываете все хосты этих зон. Это во-первых. Во-вторых, как вы собираетесь получить список хостов чужого домена, если на корневом сервере этого домена запрещен трансфер зоны налево? Сравните, например, вывод
и
Список хостов gov.by вы получите, а vk.com — уже нет. И таких, как vk.com, я думаю, большинство. Т.е. ничего не получится.
Что касается других преимуществ — не готов пока ответить на этот вопрос, т.к. сам еще не разобрался досконально в этой технологии.
dig @u1.hoster.by -t AXFR any gov.byи
dig @ns1.vkontakte.ru -t AXFR any vk.comСписок хостов gov.by вы получите, а vk.com — уже нет. И таких, как vk.com, я думаю, большинство. Т.е. ничего не получится.
Что касается других преимуществ — не готов пока ответить на этот вопрос, т.к. сам еще не разобрался досконально в этой технологии.
Исключения или нет, все равно идет подмена адреса, что формально не есть хорошо.
В приведенных примерах у Вас почти все записи — *.домен. Про исключения в статье ни слова.
> сам еще не разобрался досконально в этой технологии.
Вот про это я и говорю. «Нашел фичу в чейнджлоге, прикольно, зачем нужно — пока не разобрался». А тут интереснее все-таки нормальные юз-кейсы
В приведенных примерах у Вас почти все записи — *.домен. Про исключения в статье ни слова.
> сам еще не разобрался досконально в этой технологии.
Вот про это я и говорю. «Нашел фичу в чейнджлоге, прикольно, зачем нужно — пока не разобрался». А тут интереснее все-таки нормальные юз-кейсы
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Фильтрация запросов на уровне DNS