Как заблокировать vk ok mail.ru и прочеё Украина

Здравствуйте !

Давно я не писал ничего ) уж так сложилось, указом президента заблокировать доступ к перечню запрещенных ресурсов vk.com ok.ru mail.ru kaspersky.ru drweb.ru и другим ресурсам РФ.

А точнеё я опишу как это дело максимально быстро и просто можно запустить, что нам понадобится :

  1. Давайте определим что полностью на 100% заблокировать ресурсы мы не сможем  «доступными» методами во всяком случае.
  2. Мы можем принять полумеры на обычном оборудовании серверах или роутерах(маршрутизаторах).
  3. Какие технологии мы будем использовать ? null routing,route forwarding,PBR,DNS,proxy.
  4. Нюансы в реализации каждого из вариантов будут описаны ниже.
  5. Как заблокировать полностью ? тут нужно железо с фильтрацией на уровне Layer7 DPI разобрать трафик залезть в пакет это не всё так просто как кажется руководству страны, но это реализуемо и возможно, вопрос лишь в одном кому это по карману ?! не Украинским провайдерам так точно.. Да можно запустить такую фильтрацию на серверах но предствьте себе сколько у такого сервера должно быть процессоров оперативной памяти, сколько должно быть сетевых карт и какой производительности что бы пропустить через себя хотя бы трафик на 80 порт, у кого трафика до гигабита подойдет и этот вариант но что делать если трафика сильно больше чём десятки гигабит ?! тут только железное апаратное решение которое обычным провайдерам не то что не по карману, а даже не светит им в перспективе… так как жесткий демпинг и конкуренция на рынке предоставления услуг интернета в реалиях Украины это что то … чего стоит сгородить пакет с доступом в интернет при средней стоимости для пользователя 80 копеек 1 мегабит при средней закупочной цене в минимум 8 гривен теперь давайте поймем что стоимость интернета сильно занижена ибо при стоимости 100 мегабит за 80 гривен это 80 копеек мегабит, а должно быть примерно так 100 мегабит за 800 гривен вот это реальная цена но наши пользователи не готовы её платить. Например SCE от Cisco обойдется в минимум от 500 usd на 1 гигабит трафика до 15000 usd на 10 гигабит трафика.

Так же есть и другие решения такие как ipoque у них есть своя платформа способная промолотить до 9 гигабит\с на 1 ядро их железяки но стоимость я думаю не будет дешевой.

Если же блокировать на linux или freebsd то производительность платформы падает примерно в 8 раз то есть если так сервер пропускает гигабит трафика то при этих условиях он пропустит от силы 200 мегабит трафика производительность не большая то есть при сервере способном промолотить 10 гигабит чистой производительности получим в районе 2 гигабит, а это очень плохо так как затраты растут а доходы как было описано выше падают за счет демпинга на рынке.

1)Тут есть вариант безотказный но не у всех есть право так делать это блокировка всех DNS серверов кроме своих по 53 порту  тип трафика udp ! то есть создаем правило либо acl с блокировкой всего на 53й порт кроме своих DNS серверов и запускаем блокировку посредством DNS, да это будет работать и довольно здорово но это ограничение можно обойти описывать как я не буду.

Плюсы : удобно просто, реализуемо

Минусы: Не красиво так делать особенно с плохо работающими DNS серверами от провайдера.

2) Null routing не красиво ибо без редиректа то есть у пользователя то и ресурс не откроется но и ничего в замен будет выглядеть как не работающий интернет.

Плюсы: простота.

Минусы: без DNS блокирования пользователи не поймут что ресурс заблокировано по указу,

Нужно отслеживать изменения ип адресов и автоматизировать данный процес.

3) route forwarding тут можно сделать красиво и форвардить трафик на свой вебсервер где показывать пользователям что ресурс блокирован, но и этот метод не идеален.

Плюсы: простота вроде как все работает.

Минусы: не работающий SSL HTTPS страницы не откроются.

Нужно отслеживать изменения ип адресов и автоматизировать данный процес.

4) Proxy универсальный вариант но лишь при «прозрачном проксировании» то есть пользователь даже не догадывается что ходит через прокси сервер но, сколько нужно этих самых прокси серверов на гору трафика ?!

Плюсы : поддерживается маршрутизаторами Cisco 15 летней давности.

Минусы: нужно много серверов для среднего ISP.

5) Если совместить всё вместе то получится довольно надежная система и она позволит даже больше чём просто так заблокировать сайты, а ещё и что то другое делать, описывать не буду 😉

  1. А что касается DPI то тут все сложно и обычным провайдерам ловить нечего так как вычислительные мощностя нужны просто космические для глубокого анализа трафика, да это можно сделать каким то сервером но трафика оно прожует мало, а для большого трафика нужно много затрат, да и пильть всю реализацию что опять таки не так просто…
  2. Или использовать SCE или ipoque или создавать свою платформу что много лет\много денег.

ЧаВо :

Как быстро получать список адресов по автономным системам используем всеми любимый bgpq для блокировки :

  1. для cisco :

bgpq -q -F «ip route %r %m Null0 1\n» AS12345 AS4321

где %r сеть где %m маска подсети где Null0 куда заворачиваем маршрут где 1 административная дистанция данного маршрута чем ниже тем приоритетние.

для фаревола PF :

bgpq -q -F «pfctl -t blocked -T add %r/%l\n» AS12345 AS4321

где :%r сеть где %l длинна префикса

так можно сделать для любого устройства такой вывод который нужен именно вам.

Версия в процессе редактирования.