Специалисты Роскомнадзора выбрали наиболее предпочтительный метод фильтрации запрещенного трафика. Проанализировав все варианты они пришли к выводу, что блокировка по IP это грубо и чревато серьезными последствиями (например, можно случайно заблокировать Яндекс). А DPI это конечно эффективно, но слишком затратно. Поэтому наилучшим вариантом в Роскомнадзоре сочли блокировку по URL.
Суть этого метода заключается в том, что запрос пользователя будет анализироваться на предмет запрещенных IP, если пользователь не попытался посетить сайт с IP из запрещенного списка то запрос отправится по обычному маршруту, а если попытался, то этот его запрос отправится на Proxy-сервер. А далее уже Proxy-сервер определит по URL, желает ли пользователь вкусить запретный плод из смеси экстремизма и пропаганды наркотиков или же не замыслил он ничего дурного, а просто IP у сайтов один и тот же. Таким образом, запрос URL с запрещенной информацией не достигнет своей цели, а все остальные запросы отправятся дальше по сети.
В виде схемы это выглядит так:
1 - Трафик для сайта x, отделяется от остального трафика и пересылается через
блокирующий прокси-сервер
2 - Обычный путь следования интернет-трафика
3 - Прозрачный прокси-сервер поставщика услуг Интернет, осуществляющий
проверку URL на принадлежность к заблокированным значениям
4 - Совпадение отсутствует, трафик пропускается
5 - URL совпал, трафик блокируется
Заметим еще, что в списке запрещенных сайтов останутся IP, а значит, при желании операторы связи смогут блокировать и по IP. Так что, по всей видимости, немало еще невинных жертв будет в этой войне за чистоту интернета. Причем, по всей видимости, это может стать серьезной проблемой, потому что глядя на то как часто появляются новости о заблокированных сайтах мы понимаем, что стрельба ведется из всех орудий. А если у этих орудий не будет прицела, то сайты будут блокироваться пачками, пока у нас совсем не останется интернета. Или пока мы не перейдем на IPv6, но это будет уже совсем другая история.
Материал:
Специалисты Роскомнадзора выбрали наиболее предпочтительный метод фильтрации запрещенного трафика. Проанализировав все варианты они пришли к выводу, что блокировка по IP это грубо и чревато серьезными последствиями (например, можно случайно заблокировать Яндекс). А DPI это конечно эффективно, но слишком затратно. Поэтому наилучшим вариантом в Роскомнадзоре сочли блокировку по URL.
Полный текст
Файл по ссылке не доступен, у кого-нибудь он сохранился?
Уже нашел в форуме http://www.rsoc.ru/press/speech/news19960.htm
"Рекомендации
по организационным и техническим решениям"
<skip>
"2. Установить, что блокирование должно проводиться только на
сетях доступа и не должно затрагивать магистральные сети, каналы связи
между провайдерами, опорные сети операторов национального масштаба,
точки обмена трафиком и прочие критические элементы инфраструктуры
сети Интернет."
Довести бы это еще до магистралов, таких как РТ и ТТК.
Дык это ж луп:
"c. Создание и распространение по системе маршрутизации сети
доступа провайдера специального маршрута для данного IP-адреса,
направляющего трафик в специальный анализирующий сегмент.
...
e. Маршрутизация трафика, не подпадающего под условия
блокирования, с анализирующего сегмента из сети доступа в опорную сеть и
далее по сети Интернет на общих основаниях."
Вот там тормоза сидят. Мы такую схему запилили еще полгода назад. Только в качестве Proxy используется iptables+sting.
Такой вариант подходит для случая "тазик без nat".