Як заблокувати vk ok mail та інші Україна

Вітаю !

Давно я нічого не писав ) так склалось, указом президента заблокувати доступ до заборонених ресурсів vk.com ok.ru mail.ru kaspersky.ru drweb.ru та іншим ресурсам РФ.

А точніше я опишу як це діло максимально швидко та просто можна запустити, що нам знадобиться :

1. Давайте відразу зрозуміємо що повністю на 100% заблокувати ресурси ми не зможемо  “доступними” методами.
2. Ми можемо прийняти пів міри  на звичайному обладнанні серверах чи роутерах(маршрутизаторах).
3. Які технології ми можемо використовувати ? null routing,route forwarding,PBR,DNS,proxy.
4. Нюанси у реалізації кожного з варіантів будуть описані нижче.
5. Як заблокувати ресурси повністю ? тут потрібно залізо з фільтрацією на рівні Layer7 DPI розбирати трафік залазити у кожен пакет це не все так просто як здається керівництву країни але, це можливо реалізувати, питання лиш в одному кому це по кишені ?! не Українським провайдерам так точно.. Так можна запустити таку фільтрацію на серверах, але уявіть собі скільки у такого сервера має бути процесорів,оперативної пам’яті, скільки має бути  мережевих карт і якої продуктивності щоб  пропустити через себе хоча б трафік на 80й порт, у кого трафіка до гігабіту підійде і цей варіант, але що робити якщо трафіку сильно більше чим десятки гігабіт ?! тут тільки залізне апаратне рішення яке звичайним провайдерам не те що не по кишені, а навіть не світить їм у перспективі… так як жорсткий демпінг і конкуренція на ринку інтернет послуг  в реаліях України це щось з чимось то … чого коштує зробити пакет з доступом в інтернет при середній вартості для користувача 80 копійок 1 мегабіт при середній  закупівельній ціні в мінімум 8 гривень тепер давайте зрозумієм що вартість інтернету сильно занижена бо при вартості 100 мегабіт за 80 гривень це 80 копійок мегабіт, а має бути приблизно так 100 мегабіт за 800 гривень от це реальна ціна, але наші користувачі не готові її платити. Наприклад SCE від Cisco обійдеться в мінімум від 500 usd на 1 гігабіт трафіку до 15000 usd на 10 гігабіт трафіку.

Також є і інші рішення такі як ipoque у них є своя платформа здатна промолотити до 9 гігабіт\с на 1 ядро їх залізяки, але вартість я думаю не буде дешевою.

Якщо ж блокувати  на linux чи freebsd то продуктивність платформи падає приблизно в 8 раз тобто якщо так сервер пропускає гігабіт трафіку то при цих же умовах він пропустить від сили  200 мегабіт трафіку продуктивність не велика тобто при сервері здатному промолотити 10 гігабіт чистої продуктивності отримаємо в районі 2х гігабіт, а це дуже погано так як затрати ростуть, а доходи як було описано вище падають за рахунок демпінгу на ринку.

1)Тут є варіант безвідмовний, але не у всіх є право так робити це блокування всіх DNS серверів крім своїх по 53 порту  тип трафіку udp ! тобто створюєм правило, або acl з блокуванням усього на 53й порт крім своїх DNS серверів і стартуєм блокування можливостями DNS, так це буде працювати і доволі класно, але це  обмеження можна обійти описувати як я не буду.

Плюси: зручно, просто, можливо реалізувати

Мінуси: Не красиво так робити особливо з погано працюючими  DNS серверами від провайдера.

2) Null routing не красиво бо без редіректу тобто у користувача і ресурс не відкриється, але й взамін нічого не відкриється буде виглядати як не робочий інтернет.

Плюси: простота.

Мінуси: без DNS блокування користувачі не зрозуміють що ресурс заблоковано по указу,

потрібно відслідковувати зміни ір адрес і автоматизувати даний процес.

3) route forwarding тут можна зробити красиво і форвардити трафік на свій вебсервер де показувати користувачам що даний ресурс заблокований, але й цей метод не ідеальний.

Плюси: простота вроді як все працює.

Мінуси: не робочий SSL HTTPS сторінки не відкриються.

потрібно відслідковувати зміни ір адрес і автоматизувати даний процес.

4) Proxy універсальний варіант, але лише при “прозорому проксуванні” тобто користувач навіть і не здогадується що ходить через проксі сервер, але скільки потрібно цих самих серверів на гору трафіку ?!

Плюси : підтримується маршрутизаторами Cisco 15 річної давності.

Мінуси: потрібно багато серверів для середнього ISP.

5) Якщо все разом зліпити докупи отримаємо досить надійна система і вона дозволить навіть більше ніж просто блокувати певні сайти, а ще і щось інше робити, тут описувати не буду 😉

1. А що стосується  DPI то тут все складно і звичайним провайдерам ловити нічого так як розрахункові потужності потрібні просто космічні для глибокого аналізу трафіку, так це можна зробити якимось сервером, але трафіку воно прожує мало, а для великої кількості трафіку треба багато затрат і пиляти усю реалізацію що знову ж таки не так то просто … Або використовувати SCE чи ipoque, або ж створити свою платформу що багато років\багато грошей.

Faq :

Як швидко отримувати список адрес по номерах автономних систем використовуємо усіма любимий bgpq для блокування :

1. для cisco :

bgpq -q -F “ip route %r %m Null0 1\n” AS12345 AS4321

де %r мережа %m маска підмережі де Null0 куди завертаємо маршрут де 1 адміністративна дистанція даного маршруту чим нижче тим вищий приорітет.

для фаєрвола PF :

bgpq -q -F “pfctl -t blocked -T add %r/%l\n” AS12345 AS4321

де :%r мережа де %l довжина префіксу

так можна зробити для будь-якого пристрою такий вивід який потрібен саме вам.

Версия в процессе редактирования.