T
Если ты можешь http dpi тогда днс можно не трогать
Size: a a a
2017 June 06
T
Sni там же
MP
Есть тропа Саши (nfq), есть моя - DNS+ip в null. Отфоркнулись, разбежались, больше не мусолим
AK
Есть тропа Саши (nfq), есть моя - DNS+ip в null. Отфоркнулись, разбежались, больше не мусолим
У меня резолв.
T
Ну да оба варианта рабочие
MP
Наверное, лучше таки стенд собрать и дать всем желающим посчупать
AK
про nfq думаю.. но пока не дошел до реализации
MP
У меня резолв.
Ну за это по башке, но не будем об этом
AK
Ну за это по башке, но не будем об этом
Ну откровенно говоря меня пока устраивает.. за исключением одного косяка.. но там сервер ребутнулся по неопределенным причинам. за время загрузки проскочило.. почему собственно и суд был
ЕА
то что вы фильтруете тип domain как "все IP в блок" это лишь проблемы вашего локального фильтра!
С чего бы? Это если предрезолвом заниматься (что глупость IMHO) и потом нарезолвленные IP блочить -- тогда да. У меня же просто на домен из выгрузки (перехватом DNS-запроса) отдаётся IP заглушки, потом на него RST. Если запрашивают другой, нормальный домен, ДАЖЕ ЕСЛИ САЙТ ЛЕЖИТ НА ТОМ ЖЕ IP -- DNS отрезолвит и закэширует НОРМАЛЬНЫЙ IP именно легального сайта, как обычно.
В чем проблема-то?
В чем проблема-то?
AK
С чего бы? Это если предрезолвом заниматься (что глупость IMHO) и потом нарезолвленные IP блочить -- тогда да. У меня же просто на домен из выгрузки (перехватом DNS-запроса) отдаётся IP заглушки, потом на него RST. Если запрашивают другой, нормальный домен, ДАЖЕ ЕСЛИ САЙТ ЛЕЖИТ НА ТОМ ЖЕ IP -- DNS отрезолвит и закэширует НОРМАЛЬНЫЙ IP именно легального сайта, как обычно.
В чем проблема-то?
В чем проблема-то?
Проблема в использовании других DNS
AK
или ты 53й поблочил и завернул на себя?
T
Можно мягко, следить за 53 (зераклировать) и отвечать раньше если запрещенка
MP
Tony
Можно мягко, следить за 53 (зераклировать) и отвечать раньше если запрещенка
Не, уязвимо. Если твой замешкается - попадос
T
но это мягкче чем блочить все подряд
T
все остальные варианты уязвимы по принципу твое умерло инет умер тоже
ЕА
или ты 53й поблочил и завернул на себя?
Естественно, завернул на себя, жестким перехватом. Две зарплаты не лишние в семье с ипотекой и ребенком.
p
Коллеги, срач не хочется в основном чятике разводить, потому тут вопрос - а откуда пошло поверье, что оператор не может поменять днс?
если операторы начнут это делать массово у абонентов быстро появится dnscrypt
VK
да не так уж и массово, на самом деле
p
собственно, он уже есть в яндекс-браузере