Провайдеры не блокирующие сайты: Что делать, если «кина не будет» или как обойти блокировку сайта провайдером

Душевный Mikrotik против бездушного РКН и такого же провайдера / Хабр

Статья описывает способ получения доступа к ресурсам ошибочно попавшим под раздачу плюшек Роскомнадзором (далее РКН). Именно ошибочно попавшим. Мы законопослушные граждане и не ходим туда куда нам запрещают наши госорганы. Так что если вдруг вы решите воспользоваться способом для того что бы пойти на какие то “законно” заблокированные ресурсы, суровый меч правосудия возможно взметнется над вашей головой и я в этом не виноват, поскольку вот прямо сейчас я вас предупредил!

Проблема возникла совершенно неожиданно, когда наш центральный офис переехал в другое место и как следствие сменил провайдера. Сотрудники в массовом порядке начали жаловаться мне, что не могут заходить на те сайты, куда раньше доступ у них был. При этом с других наших офисов, сидящих на других провайдерах, сайты по прежнему были доступны.

Некоторое время из-за хлопот с переездом проблему я игнорил, но когда начала жаловаться бухгалтерия (у вас же бухгалтерия тоже по значимости на 1 месте после руководства фирмы?), пришлось разбираться.

Первым делом подозрение пало на проблемы с MTU и MSS. Но с ними, к счастью, все оказалось в порядке. Пробил проблемный домен по базе РКН, тоже ОК, домен чист. Пооткрывал сайт через шлюзы других филиалов (3 разных провайдера), открывается. Но через нашего провайдера к IP домена даже пинги не идут. И тогда я догадался пробить через РКН IP проблемного домена. Вы же уже догадались, что IP-таки в базе оказался?

Но где же тогда редирект на страницу с указанием на то что данный ресурс заблокирован и т.д. и т.п., спросите вы. И я спросил. Сначала правда попробовал открыть несколько сайтов, где раньше, когда было можно, мы все искали что бы посмотреть или скачать. И убедившись, что нет никаких предупреждений о блокировке и на этих сайтах, я позвонил провайдеру.

Провайдер меня выслушал, признал, что проблема есть, а предупреждений нет.

Посочувствовал моей ситуации, но что-то исправлять отказался. Мол, мы соблюдаем требование по блокировке, а требований по уведомлению нет. На чем мы и попрощались.

Конечно, у меня возникло желание пободаться с провайдером, но лень и отсутствие свободного времени это желание затолкали глубоко. Примерно туда же куда я в душе послал провайдера с его интернетом, туда где солнышко не светит.

Проблему же надо было как-то решать. В качестве шлюзов-маршрутизаторов у нас на фирме используются Микротики, не важно какие, Роутер ОС у всех одинаковая. Покопавшись на Хабре, нашел несколько статей о том как обходить блокировки РКН, генерируя и загружая базу РКН в Микротик. При этом маршрутизируя заблокированный трафик на те шлюзы, где никаких блокировок нет. Ради интереса попробовал этот способ. Работает, но не устраивает.

Во первых объем базы в 60000 ip (на начало лета 2019г), отправлял мой Микротик в глубокую кому. Роутер ОС CHR c большим объемом памяти и несколькими ядрами чувствовала себя несколько лучше но давала понять что при таком добросовестном отношении РКН к своим обязанностям и ее хватит не на долго.

Во вторых, доступ получался ко всем заблокированным ресурсам в том числе и тем, которые заблокированы на “законных” основаниях. Что меня как законопослушного гражданина так же не устраивало.

Но сама идея направлять к разрешенным сайтам трафик через те шлюзы где он не блокируется засела в моем сознании.

Что же мы можем для этого сделать?

Первое что приходит на ум выяснить ip ресурса и определить для него шлюз в роутинге. Не вариант, у ресурса может быть несколько ip и они могут меняться, иногда часто. Устанешь добавлять.

Второе, парсить IP посредствам Layer 7 в фаерволе, занося их в адрес лист. Уже лучше, но у Layer 7 есть неприятная черта. Если правил несколько, то он начинает относиться к ресурсам процессора примерно так же, как некоторые жены относятся к зарплате своего мужа. В результате чего в семье начинаются ссоры, скандалы и прочие неурядицы.

Направлять вообще весь трафик через удаленный шлюз, так же пагубно.

К счастью на сентябрьском MUM один из докладчиков открыл страшную тайну. Оказывается Микротики с некоторых пор научились парсить IP домена прямо из его имени в адрес листе, добавляя IP в тот же лист! Вооружившись полученной информацией я наконец решил задачу.

Ниже пример решения:

1. Создаем в фаерволе адрес лист с нужным доменом.

2. В Firewall\Mangle создаем правило, chain:prerouting, advanced: Dst.Address list= имя нашего листа, action:mark routing, New Routing Mark=имя марки

3. Идем в IP\Routes. Создаем новый маршрут по умолчанию. Dst Address=0.0.0.0/0, Gateway= ip шлюза, Routing Mark=ваша марка

На этом все. Теперь ваш Микротик будет парсить ip нужного домена в тот адрес лист, который вы для этого придумали, маркировать маршруты к этому ip и отправлять их через тот шлюз, который вам нужен. У вас же есть резервный шлюз? Смайл.

Делалось на прошивке 6.45.5

Спасибо за внимание.

Решаем проблему блокировок. Защищаемся от попадания в реестр запрещенных сайтов

Заранее прошу прощения за ошибки (в личку).
Я техник, пишу, как умею. Cтрелять в пианиста.

Содержание

Преамбула

С наркотиками, педофилией и самоубийствами надо бороться, но не такими методами. За столь малый промежуток времени работы закона мы увидели, что в данный реестр может попасть абсолютно любой сайт, а заблокированным может оказаться даже тот, которого в реестре нет. Закон явно используется не против тех, на кого он был нацелен.
Мы поговорим о том, как мы можем применить наши навыки для борьбы с очевидным беззаконием. Я не буду повторяться про такие методы как VPN, tor, i2p, https анонимайзеры. Про них уже много сказано. Русскоязычные ресурсы не хотят терять посетителей — это их хлеб. И до тех пор, пока у каждого дома не будет VPN, администрация сайтов будет удалять не угодный правительству контент. Режь вдоль — говорит зомбоящик, а блокируют почему-то интернет.

Фабула

Типичные способы фильтрации запрещённых сайтов:

1. Блокировка по IP. Самый дешёвый способ.

1.1 На маршрутизаторе провайдера ip адрес с маской /32 (сеть состоящая из одного адреса) роутиться в null. При попытке зайти на любой сайт, находящийся на данном ip, вы получаете недоступность сайта по таймауту.

1.2 Отправка маршрутизатором провайдера сообщения «unreachable» в ответ на попытку открыть сайт по данному ip. В этом случае сообщение о недоступности сайта будет отображено вашем браузером без задержки.

1.3 Вместо роута в null провайдер может добавить запись в маршрутизатор с роутом на специальный сервер, который вместо контента сайта выведет сообщение о том, что ресурс заблокирован.

1.4 Блокировка по доменному имени. ДНС провайдера выдаёт при запросе заблокированного имени вместо ip адреса искомого сайта свой адрес сайта, на котором уже сообщает о блокировке.

2. Блокировка по URL

2.1. Это самый дорогой способ. Весь трафик проходит через DPI (анализатор пакетов, по простому — навороченный программно-аппаратный прокси-сервер). Крупные и средние провайдеры нередко используют их для нарезки ширины канала, приоретизации трафика, защиты от атак, спам контроля, родительского контроля и т.д т.п. В данном случае клиенту в ответ на запрашиваемый URL адрес выдаётся редирект на страницу, где сообщается о том, что данный конкретный URL заблокирован.

Напомню, что в списке на блокировку есть записи только с ip, блокировка происходит по ip.

На данный момент есть неоднозначность с трактовкой требований по блокировке. В том случае, если в записи на блокировку указан ip и URL, блокировать ли по жёсткому соответствию IP — URL, или при пропускании всего трафика у провайдера через DPI блокировать по URL (при блокировке только по URL смена ip адреса у заблокированного домена не поможет).

На текущий момент провайдеры, блокирующие с помощью DPI, используют жёсткую связку, и, если блокируемый сайт меняет ip, то он снова становится доступным, несмотря на блокировку по URL.

2.2. В данном случае всё как в пункте 1.3., только сервер или аппаратная железка редеректят на страницу блокировки только при запросе заблокированного URL, в противном случае просто блокируют трафик.

При данном подходе нет возможности блокировать URL, если сайт сменил ip (хотя пока этого никто и не требует).

Обход блокировки по IP (на текущий момент решает и проблему блокировки по URL):

1. Смена ip.

2. Использование CDN, а также сервисов защищающих от DDoS. CDN, как и сервисы защиты от DDoS, (своего рода обратные прокси-сервера) выдают на запрос вашего сайта ip из своего пула. Как правило, при этом используется целый блок адресов для группы сайтов. Блокировка одного ip из пула приведёт к лишь частичной недоступности Вашего ресурса. К тому же не только вашего, но и остальных, находящихся в пуле. Кроме этого, CDN использует сервера в разных странах, а это означает, что пользователи не из России проблем испытывать не будут.

Если надзорные органы не одумаются, и не откажутся от блокировке по ip, то можно ждать развития рынка DDoS-услуг новыми опциямия. Например, «завалю все сайты на Bitrix-е использующие CDN, недорого».

Когда сайты из CDN начнут попадать в реестр, все провайдеры будут вынуждены перейти на блокировку по URL.

3. Это должны сделать все. Создаем на сайте ссылку, которая не будет доступна в индексе сайта (кроме вас и тех, кому вы её передадите, никто не должен на неё попасть, даже робот). Контент на ней должен быть не запрещённым, можно вообще сделать её пустой страницей. Отправляем ссылку на www.zapret-info.gov.ru, затем смотрим лог и получаем профит в виде ip адреса. Cмотрим подсети провайдера, блокируем на фаэрволе (сетью можно поделится, чтобы всем не делать ненужную работу).

4. Уменьшаем зло от блокировки. Привожу общие сведения для линукса (пошаговой документации не даю, google или средний админ в помощь). Вместо одного ip для вашего сайта покупаете столько, сколько сможете. Вешаете их на алиасы интерфейса сетевой карты. Поднимаете и настраиваете ДНС сервер (речь, как вы понимаете, идёт не про шаред хостинга, а хотя бы VPS). Используя ip route и ip rules настраиваете, чтобы при запросе на один из ваших адресов ответ уходил с него же. ДНС сервер повесьте на отдельный ip, чтобы при блокировке по ip он был доступен.

Далее для Bind. Создаёте acl по количеству купленных ip, в них добавляете сети российских операторов (где взять будет дальше) и ещё один acl с сетью 0.0.0.0/0. Создаём для этих acl view с таким же количеством. В общем делаем по аналогии примера:

acl «operators_pool1» { 100.0.0.0/8;

131.100.0.0./16;

};

acl «operators_pool2» { 101.0.0.0/8;

132.100.0.0./16;

};

view «view_operators_pool1» {

match-clients { operators_pool1; };

zone «youdomain.com»{

type master;

notify yes;

file «master/ru/operators_pool1_youdomain.com»;

};

};

view «view_operators_pool2» {

match-clients { operators_pool2; };

zone «youdomain.com»{

type master;

notify yes;

file «master/ru/operators_pool2_youdomain.com»;

};

};

Создаёте файлы зон, где в разных файлах будут разные ip Вашего домена. Таким образом, при попадании ip в реестр, будет заблокирован доступ лишь от части операторов, среди которых будет тот, на котором сидит служащий, отправивший Ваш домен на блокировку. Дальше можно будет сменить этот ип, а для большинства пользователь недоступность останется незамеченной.

А когда наконец-то будет внедрён ipv6, можно будет вешать по одному ip на каждого российского оператора.

Качаем

ftp.ripe.net/ripe/dbase/split/ripe.db.aut-num.gz

ftp.ripe.net/ripe/dbase/split/ripe.db.inetnum.gz

Парсим файл inetnum, берём из него подсети «inetnum». Там, где «country» RU. Cобираем их в пулы по «mnt-by», берём для наглядности из aut-num на основании наших «mnt-by» «descr».

У нас получилась база провайдеров России с их блоками ip адресов. Читаем descr, ищем госорганизации, и в блокировку на фаэрволе их. Остальных делим в равных пропорциях и добавляем в acl.

Обход блокировки по URL:

1. Не уверен в его работоспособности, и точно уверен, что поможет ненадолго. Используем SPDY (http://habrahabr.ru/post/145918/). Если я не ошибаюсь, DPI на данный момент не умеют его разбирать. Соответственно, блокировать по URL у провайдеров не получится (ещё раз уточню, что я могу ошибаться, жду опровержение в комментариях). К тому же SPDY подразумевает возможность использовать SSL.

2. Использование https. В данном случае лучше использовать не само-подписанный сертификат, чтобы пользователь видел, что его провайдер подслушивает его. Недостаток способа в увеличении нагрузки на сервер, поскольку трафик шифруется.

Крупные провайдеры используют готовые решения, и не будут городить «линукс-анализаторы https с подменой сертификатов». А мелкие не двинутся, пока крупные не сделают свой шаг. Поэтому, до появления готовых железок с разбором https провайдеры смогут блокировать только по ip.

Если существующие железки это позволяют, сообщите, пожалуйста, в комментариях.

3. Способ лучше, чем использование https, даст 100%-ю защиту от блокировки по URL (но тоже имеет свои сложности в реализации и увеличивает нагрузку). Я думаю, все слышали о реферальных ссылках. Они предназначены для определения по ссылке с какого реферала пользователь зашёл на сайт.

Методика заключается в использовании данной технологии с небольшими изменениями.

Берём ссылку rutracker.org/forum/viewforum.php?f=1379 и превращаем её в

rutracker.org/forum/viewforum.php?f=1379&ip=XXX.XXX.XXX.XXX, где XXX.XXX.XXX.XXX — ip пользователя, зашедшего на сайт (за исключением случаев, когда пользователь зашёл по ссылке, полученной от другого пользователя. В этом случае ip того пользователя необходимо сохранить).

Для сайтов с авторизацией можно ещё добавить имя пользователя, для дальнейшей идентификации.

Теперь мы можем видеть, от какого пользователя получена ссылка. А также ссылка будет уникальна для каждого пользователя, но это будет видно всем и возможность блокировки по части ссылки останется.

Поэтому следующую часть 1379&ip=XXX.XXX.XXX.XXX необходимо зашифровать на сервере (алгоритм выбираете сами, речь идет о шифрации, а не о хешировании, тоесть процесс обратимый)

В результате ссылки превратятся во что-нибудь вида

rutracker.org/forum/viewforum.php?f=MTM3OSZpcD1YWFguWFhYLlhYWC5YWFgK и для каждого ip будут уникальны. На сервере вы их расшифруете, и выдадите нужный контент, а заодно узнаете, от кого пришла ссылка (если добавлять имя авторизованных пользователей, можно узнавать, кто из них вас сдал).

Теперь все ссылки на нашем сайте уникальны для каждого пользователя и/или ip (если добавили имя авторизованного пользователя). Соответственно, при попадании в реестр, ссылка будет заблокирована для конкретного ip и/или пользователя, а также мы сможем по логам узнать ip всех, кто проверял данную ссылку, и добавить их в чёрный список на фаэрволе.

Данную технологию можно применить и для СЕО ссылок

Например, kremlin.ru/news превращаем в kremlin.ru/ХХХ.ХХХ.ХХХ.ХХХ/news и применяем шифрацию kremlin.ru/0KXQpdClLtCl0KXQpS7QpdCl0KUu0KXQpdClL25ld3MK. После реврайтов она все равно будет передана на какой-нибудь index.php, где мы её и расшифруем.

Для поисковиков ссылки надо отдавать в обычном виде, все равно их соответствие с зашифрованными будет сложно (хотя не очень) определить (если они не слышали про ipv6 и кеш гугла то уж точно). В крайнем случае потеряете переход на данную страницу их поисковика.

Ответный удар:

Ресурсы маршрутизаторов и DPI не бесконечны и крайне дороги (к примеру, cisco SCE имеет ограничение в 100K правил для блокировки).

Поможем операторам заполнить их таблички, и, возможно, тогда они начнут лоббировать интересы своих пользователей.

1. Ищем в поисковике к примеру: «цифровые наркотики» (только википедию не блочьте, пожалуйста), «ширево», «наркота», «спайс», «Spice», «спиды», «легальные наркотики», «Курительные смеси», «курительные миксы», «легальные порошки», «новый спай», «гашиш круглосуточно», «гашик», «JWH» и т.д. и т.п.

Используем закон во благо (хотя это не к чему не приведёт, в свете лёгкого обхода блокировок). Бороться с розничной наркотой надо контрольными закупками и отслеживанием закладок. Камер-то везде понатыкали, чего сложного-то. Вот где надо казакам да разным хоругвеносцам себя проявлять. Cделали контрольную закупку — отвели в одел курьера. Даже если формула ещё не в реестре, так быстрее там появится.

2. Размещаем шуточные статьи (можно взять то, что было заблокировано на абсурдотерапии, материал проверенный) про что угодно, из запрещённого. К примеру, на сайтах онлайн-магазинов в отзывах о товарах (если не модерируется), на форумах поддержки производителей различных товаров. На большинстве из них администрация очень редко заглядывает. Не забываем, что интернет — штука глобальная и многоязычная, так что китайцев с арабами не забываем. Они нас не поймут, и текст вряд ли удалят (а в реестре ссылка, а можно и сотню ссылок на один сайт. Чем больше урлов — тем лучше). К тому же, иностранные сайты даже пытаться не будут удалятся из нашего реестра, и наш реестр превратится в среднестатистического американца.

3. Если помните, «Невинность мусульман» была на английском языке. Значит, надо проверять их лингвистические познания. Что делать — я думаю, понятно.

4. Они создали реестр запрещённых сайтов. Нам надо создать реестр блоков ip адресов госорганов и блокировать их на всех популярных ресурсах. Посмотрим, как они без «вконтактика» в думе (хотя Дуров как-то помалкивает).

Обход блокировок РКН с помощью DNSTap и BGP / Хабр

Тема довольно изъезжена, знаю. К примеру, есть отличная статья, но там рассматривается только IP-часть блоклиста. Мы же добавим еще и домены.

В связи с тем, что суды и РКН блокируют всё направо и налево, а провайдеры усиленно пытаются не попасть под штрафы, выписанные «Ревизорро» — сопутствующие потери от блокировок довольно велики. Да и среди «правомерно» заблокированных сайтов много полезных (привет, rutracker)

Я живу вне юрисдикции РКН, но на родине остались родители, родственники и друзья. Так что было решено придумать легкий для далеких от ИТ личностей способ обхода блокировок, желательно вовсе без их участия.

В этой заметке я не буду расписывать базовые сетевые вещи по шагам, а опишу общие принципы как можно реализовать эту схему. Так что знания как работает сеть вообще и в Linux в частности — must have.

Для начала освежим в памяти что же блокируется.

В выгружаемом XML от РКН несколько типов блокировок:

Мы их сведем для простоты к двум: IP и домен, а из блокировок по URL будем просто вытаскивать домен (точнее за нас это уже сделали).

Хорошие люди из Роскомсвободы реализовали прекрасный API, через который можно получать то, что нам нужно:

Для этого нам нужен какой-нибудь маленький зарубежный VPS, желательно с безлимитным траффиком — таких много по 3-5 баксов. Брать нужно в ближнем зарубежье чтобы пинг был не сильно большой, но опять-таки учитывать, что интернет и география не всегда совпадают. А так как никакого SLA за 5 баксов нет — лучше взять 2+ штуки у разных провайдеров для отказоустойчивости.

Далее нам необходимо настроить зашифрованный туннель от клиентского роутера до VPS. Я использую Wireguard как самый быстрый и простой в настройке т.к. клиентские роутеры у меня тоже на базе Linux (APU2 или что-то на OpenWRT). В случае каких-нибудь Mikrotik/Cisco можно использовать доступные на них протоколы вроде OpenVPN и GRE-over-IPSEC.

Можно, конечно, завернуть вообще весь интернет-траффик через зарубеж. Но, скорее всего, от этого сильно пострадает скорость работы с локальным контентом. Плюс требования к полосе пропускания на VPS будут сильно выше.

Поэтому нам нужно будет каким-то образом выделять траффик к заблокированным сайтам и выборочно его направлять в туннель. Даже если туда попадёт какая-то часть «лишнего» траффика, это всё равно гораздо лучше, чем гонять всё через тоннель.

Для управления траффиком мы будем использовать протокол BGP и анонсировать маршруты до необходимых сетей с нашего VPS на клиентов. В качестве BGP-демона возьмём BIRD, как один из наиболее функциональных и удобных.

IP

С блокировками по IP всё понятно: просто анонсируем все заблокированные IP с VPS. Проблема в том, что подсетей в списке, который отдает API, около 600 тысяч, и подавляющее большинство из них — это хосты /32. Такое количество маршрутов может смутить слабые клиентские роутеры.

Поэтому было решено при обработке списка суммировать до сети /24 если в ней 2 и более хоста. Таким образом количество маршрутов сократилось до ~100 тысяч. Скрипт для этого будет дальше.

Домены

Тут сложнее и способов есть несколько. Например, можно поставить прозрачный Squid на каждом клиентском роутере и делать там перехват HTTP и подглядывание в TLS-хендшейк с целью получения запрашиваемого URL в первом случае и домена из SNI во втором.

Но из-за всяких новомодных TLS1.3+eSNI анализ HTTPS с каждым днем становится всё менее реальным. Да и инфраструктура со стороны клиента усложняется — придется использовать как минимум OpenWRT.

Поэтому я решил пойти по пути перехвата ответов на DNS-запросы. Тут тоже над головой начинает витать всякий DNS-over-TLS/HTTPS, но эту часть мы можем (пока что) контролировать на клиенте — либо отключить, либо использовать свой сервер для DoT/DoH.

Как перехватывать DNS?

Тут тоже может быть несколько подходов.

  • Перехват DNS-траффика через PCAP или NFLOG

    Оба эти способа перехвата реализованы в утилите sidmat. Но она давно не поддерживается и функционал очень примитивен, так что к ней нужно всё равно нужно писать обвязку.
  • Анализ логов DNS-сервера

    К сожалению, известные мне рекурсоры не умеют логгировать ответы, а только запросы. В принципе это логично, так как в отличии от запросов ответы имеют сложную структуру и писать их в текстовой форме трудновато.
  • DNSTap

    К счастью, многие из них уже поддерживает DNSTap для этих целей.

Что такое DNSTap?

Это клиент-серверный протокол, основанный на Protocol Buffers и Frame Streams для передачи с DNS-сервера на некий коллектор структурированных DNS-запросов и ответов. По сути DNS-сервер передает метаданные запросов и ответов (тип сообщения,IP клиента/сервера и так далее) плюс полные DNS-сообщения в том (бинарном) виде в котором он работает с ними по сети.

Важно понимать, что в парадигме DNSTap DNS-сервер выступает в роли клиента, а коллектор — в роли сервера. То есть DNS-сервер подключается к коллектору, а не наоборот.

На сегодняшний день DNSTap поддерживается во всех популярных DNS-серверах. Но, например, BIND во многих дистрибутивах (вроде Ubuntu LTS) часто собран почему-то без его поддержки. Так что не будем заморачиваться пересборкой, а возьмём более легкий и быстрый рекурсор — Unbound.

Чем ловить DNSTap?

Есть некоторое количество CLI-утилит для работы с потоком DNSTap-событий, но для решения нашей задачи они подходят плохо. Поэтому я решил изобрести свой велосипед, который будет делать всё что необходимо: dnstap-bgp

Алгоритм работы:

  • При запуске загружает из текстового файла список доменов, инвертирует их (habr.com -> com.habr), исключает битые строки, дубликаты и поддомены (т.е. если в списке есть habr.com и www.habr.com — будет загружен только первый) и строит префиксное дерево для быстрого поиска по этому списку
  • Выступая в роли DNSTap-сервера ждет подключения от DNS-сервера. В принципе он поддерживает как UNIX- так и TCP-сокеты, но известные мне DNS-сервера умеют только в UNIX-сокеты
  • Поступающие DNSTap-пакеты десериализуются сначала в структуру Protobuf, а затем само бинарное DNS-сообщение, находящееся в одном из Protobuf-полей, парсится до уровня записей DNS RR
  • Проверяется есть ли запрашиваемый хост (или его родительский домен) в загруженном списке, если нет — ответ игнорируется
  • Из ответа выбираются только A/AAAA/CNAME RR и из них вытаскиваются соответствующие IPv4/IPv6 адреса
  • IP-адреса кешируются с настраиваемым TTL и анонсируются во все сконфигурированные BGP-пиры
  • При получении ответа, указывающего на уже закешированный IP — его TTL обновляется
  • После истечения TTL запись удаляется из кеша и из BGP-анонсов

Дополнительный функционал:

  • Перечитывание списка доменов по SIGHUP
  • Синхронизация кеша с другими экземплярами dnstap-bgp через HTTP/JSON
  • Дублирование кеша на диске (в базе BoltDB) для восстановление его содержимого после перезапуска
  • Поддержка переключения в иной network namespace (зачем это нужно будет описано ниже)
  • Поддержка IPv6

Ограничения:

  • IDN домены пока не поддерживаются
  • Мало настроек BGP

Я собрал RPM и DEB пакеты для удобной установки. Должны работать на всех относительно свежих OS с systemd, т.к. зависимостей у них никаких нет.

Итак, приступим к сборке всех компонентов воедино. В результате у нас должна получиться примерно такая сетевая топология:

Логика работы, думаю, понятна из диаграммы:

  • У клиента настроен наш сервер в качестве DNS, причем DNS запросы тоже должны ходить по VPN. Это нужно для того чтобы провайдер не мог использовать перехват DNS для блокировки.
  • Клиент при открытии сайта посылает DNS-запрос вида «а какие IP у xxx.org»
  • Unbound резолвит xxx.org (или берет из кеша) и отправляет ответ клиенту «у xxx.org такие-то IP», параллельно дублируя его через DNSTap
  • dnstap-bgp анонсирует эти адреса в BIRD по BGP в том случае если домен есть в списке заблокированных
  • BIRD анонсирует маршрут до этих IP с next-hop self клиентскому роутеру
  • Последующие пакеты от клиента к этим IP идут уже через туннель

На сервере для маршрутов к заблокированным сайтам у меня внутри BIRD используется отдельная таблица и с ОС она никак не пересекается.

В этой схеме есть недостаток: первый SYN пакет от клиента, скорее всего, успеет уйти через отечественного провайдера т.к. маршрут анонсируется не мгновенно. И тут возможны варианты в зависимости от того как провайдер делает блокировку. Если он просто дропает траффик, то проблем нет. А если он редиректит его на какой-то DPI, то (теоретически) возможны спецэффекты.

Также возможны чудеса с несоблюдением клиентами DNS TTL, что может привести к тому что клиент будет юзать какие-то устаревшие записи из своего протухшего кеша вместо того чтобы спросить Unbound.

На практике у меня ни первое ни второе не вызывало проблем, but your mileage may vary.

Настройка сервера

Для удобства раскатывания я написал роль для Ansible. Она может настраивать как сервера, так и клиенты на базе Linux (рассчитано на deb-based дистрибутивы). Все настройки достаточно очевидны и задаются в inventory.yml. Эта роль вырезана из моего большого плейбука, поэтому может содержать ошибки — pull requests welcome 🙂

Пройдёмся по основным компонентам.

BGP

При запуске двух BGP-демонов на одном хосте возникает фундаментальная проблема: BIRD никак не хочет поднимать BGP-пиринг с локалхостом (или с любым локальным интерфейсом). От слова совсем. Гугление и чтение mailing-lists не помогло, там утверждают что это by design. Возможно есть какой-то способ, но я его не нашёл.

Можно попробовать другой BGP-демон, но мне нравится BIRD и он используется везде у меня, не хочется плодить сущности.

Поэтому я спрятал dnstap-bgp внутрь network namespace, которое связано с корневым через veth интерфейс: это как труба, концы которой торчат в разных namespace. На каждый из этих концов мы вешаем приватные p2p IP-адреса, которые за пределы хоста не выходят, поэтому могут быть любыми. Это тот же механизм который используется для доступа к процессам внутри любимого всеми Docker и других контейнеров.

Для этого был написан скрипт и в dnstap-bgp был добавлен уже описанный выше функционал перетаскивания себя за волосы в другой namespace. Из-за этого его необходимо запускать под root либо выдать бинарнику CAP_SYS_ADMIN через команду setcap.

Пример скрипта для создания namespace

#!/bin/bash

NS="dtap"

IP="/sbin/ip"
IPNS="$IP netns exec $NS $IP"

IF_R="veth-$NS-r"
IF_NS="veth-$NS-ns"

IP_R="192.168.149.1"
IP_NS="192.168.149.2"

/bin/systemctl stop dnstap-bgp || true

$IP netns del $NS > /dev/null 2>&1
$IP netns add $NS

$IP link add $IF_R type veth peer name $IF_NS
$IP link set $IF_NS netns $NS

$IP addr add $IP_R remote $IP_NS dev $IF_R
$IP link set $IF_R up

$IPNS addr add $IP_NS remote $IP_R dev $IF_NS
$IPNS link set $IF_NS up

/bin/systemctl start dnstap-bgp

dnstap-bgp.conf

namespace = "dtap"
domains = "/var/cache/rkn_domains.txt"
ttl = "168h"

[dnstap]
listen = "/tmp/dnstap.sock"
perm = "0666"

[bgp]
as = 65000
routerid = "192.168.149.2"

peers = [
    "192.168.149.1",
]

bird.conf

router id 192.168.1.1;

table rkn;

# Clients
protocol bgp bgp_client1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.2 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    export all;
    import none;
}

# DNSTap-BGP
protocol bgp bgp_dnstap {
    table rkn;
    local as 65000;
    neighbor 192.168.149.2 as 65000;
    direct;
    passive on;
    rr client;
    import all;
    export none;
}

# Static routes list
protocol static static_rkn {
    table rkn;
    include "rkn_routes.list";
    import all;
    export none;
}

rkn_routes.list

route 3.226.79.85/32 via "ens3";
route 18.236.189.0/24 via "ens3";
route 3.224.21.0/24 via "ens3";
...

DNS

По умолчанию в Ubuntu бинарник Unbound зажат AppArmor-профилем, который запрещает ему коннектиться ко всяким там DNSTap-сокетам. Можно либо удалить нафиг этот профиль, либо отключить его:

# cd /etc/apparmor.d/disable && ln -s ../usr.sbin.unbound .
# apparmor_parser -R /etc/apparmor.d/usr.sbin.unbound

Это, наверное, надо добавить в плейбук. Идеально, конечно, поправить профиль и выдать нужные права, но мне было лень.

unbound.conf

server:
    chroot: ""
    port: 53
    interface: 0.0.0.0
    root-hints: "/var/lib/unbound/named.root"
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    access-control: 192.168.0.0/16 allow

remote-control:
    control-enable: yes
    control-use-cert: no

dnstap:
    dnstap-enable: yes
    dnstap-socket-path: "/tmp/dnstap.sock"
    dnstap-send-identity: no
    dnstap-send-version: no

    dnstap-log-client-response-messages: yes

Скачивание и обработка списков

Скрипт для скачивания и обработки списка IP-адресов

Он скачивает список, суммаризует до префикса pfx. В dont_add и dont_summarize можно сказать IP и сети, которые нужно пропустить или не суммаризовать. Мне это было нужно т.к. подсеть моего VPS оказалась в блоклисте 🙂

Самое смешное что API РосКомСвободы блокирует запросы с дефолтным юзер-агентом Питона. Видать скрипт-кидди достали. Поэтому меняем его на Огнелиса.

Пока что он работает только с IPv4 т.к. доля IPv6 невелика, но это будет легко исправить. Разве что придется использовать еще и bird6.

rkn.py

#!/usr/bin/python3

import json, urllib.request, ipaddress as ipa

url = 'https://api.reserve-rbl.ru/api/v2/ips/json'
pfx = '24'

dont_summarize = {
    # ipa.IPv4Network('1.1.1.0/24'),
}

dont_add = {
    # ipa.IPv4Address('1.1.1.1'),
}

req = urllib.request.Request(
    url,
    data=None, 
    headers={
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36'
    }
)

f = urllib.request.urlopen(req)
ips = json.loads(f.read().decode('utf-8'))

prefix32 = ipa.IPv4Address('255.255.255.255')

r = {}
for i in ips:
    ip = ipa.ip_network(i)
    if not isinstance(ip, ipa.IPv4Network):
        continue

    addr = ip.network_address

    if addr in dont_add:
        continue

    m = ip.netmask
    if m != prefix32:
        r[m] = [addr, 1]
        continue

    sn = ipa.IPv4Network(str(addr) + '/' + pfx, strict=False)

    if sn in dont_summarize:
        tgt = addr
    else:
        tgt = sn

    if not sn in r:
        r[tgt] = [addr, 1]
    else:
        r[tgt][1] += 1

o = []
for n, v in r.items():
    if v[1] == 1:
        o.append(str(v[0]) + '/32')
    else:
        o.append(n)

for k in o:
    print(k)

Скрипт для обновления

Он у меня запускается по крону раз в сутки, может стоит дергать раз в 4 часа т.к. это, по-моему, период обновления который РКН требует от провайдеров. Плюс, есть какие-то еще суперсрочные блокировки у них, которые может и быстрее прилетают.

Делает следующее:

  • Запускает первый скрипт и обновляет список маршрутов (rkn_routes.list) для BIRD
  • Релоадит BIRD
  • Обновляет и подчищает список доменов для dnstap-bgp
  • Релоадит dnstap-bgp

rkn_update.sh

#!/bin/bash

ROUTES="/etc/bird/rkn_routes.list"
DOMAINS="/var/cache/rkn_domains.txt"

# Get & summarize routes
/opt/rkn.py | sed 's/\(.*\)/route \1 via "ens3";/' > $ROUTES.new

if [ $? -ne 0 ]; then
    rm -f $ROUTES.new
    echo "Unable to download RKN routes"
    exit 1
fi

if [ -e $ROUTES ]; then
    mv $ROUTES $ROUTES.old
fi

mv $ROUTES.new $ROUTES

/bin/systemctl try-reload-or-restart bird

# Get domains
curl -s https://api.reserve-rbl.ru/api/v2/domains/json -o - | jq -r '.[]' | sed 's/^\*\.//' | sort | uniq > $DOMAINS.new

if [ $? -ne 0 ]; then
    rm -f $DOMAINS.new
    echo "Unable to download RKN domains"
    exit 1
fi

if [ -e $DOMAINS ]; then
    mv $DOMAINS $DOMAINS.old
fi

mv $DOMAINS.new $DOMAINS

/bin/systemctl try-reload-or-restart dnstap-bgp

Они были написаны не особо задумываясь, поэтому если видите что можно улучшить — дерзайте.

Настройка клиента

Тут я приведу примеры для Linux-роутеров, но в случае Mikrotik/Cisco это должно быть еще проще.

Для начала настраиваем BIRD:

bird.conf

router id 192.168.1.2;
table rkn;

protocol device {
    scan time 10;
};

# Servers
protocol bgp bgp_server1 {
    table rkn;
    local as 65000;
    neighbor 192.168.1.1 as 65000;
    direct;
    bfd on;
    next hop self;
    graceful restart;
    graceful restart time 60;
    rr client;
    export none;
    import all;
}

protocol kernel {
    table rkn;
    kernel table 222;
    scan time 10;
    export all;
    import none;
}

Таким образом мы будем синхронизировать маршруты, полученные из BGP, с таблицей маршрутизации ядра за номером 222.

После этого достаточно попросить ядро глядеть в эту табличку перед тем как заглядывать в дефолтную:

# ip rule add from all pref 256 lookup 222
# ip rule
0:  from all lookup local
256:    from all lookup 222
32766:  from all lookup main
32767:  from all lookup default

Всё, осталось настроить DHCP на роутере на раздачу туннельного IP-адреса сервера в качестве DNS и схема готова.

При текущем алгоритме формирования и обработки списка доменов в него попадает, в том числе, youtube.com и его CDNы.

А это приводит к тому что все видео будут ехать через VPN, что может забить весь канал. Возможно стоит составить некий список популярных доменов-исключений, которые блокировать у РКН пока что кишка тонка. И пропускать их при парсинге.

Описанный способ позволяет обходить практические любые блокировки, которые реализуют провайдеры на данный момент.

В принципе, dnstap-bgp можно использовать для любых других целей где необходим некий уровень управления траффиком на основе доменного имени. Только нужно учитывать что в наше время на одном и том же IP-адресе может висеть тысяча сайтов (за каким-нибудь Cloudflare, например), так что этот способ имеет довольно низкую точность.

Но для нужд обхода блокировок этого вполне достаточно.

Дополнения, правки, пуллреквесты — приветствуются!

Блокировки в интернете: почему сайт нельзя закрыть на замок? | GeekBrains

Разбираемся, кто виноват и что делать.

https://d2xzmw6cctk25h.cloudfront.net/post/1734/og_cover_image/e9cdf875e04c26f604bc8c8b10259190

30 августа 2018 истек срок исполнения требований Роскомнадзора к Яндексу. РКН (на основании определений Мосгорсуда) потребовал удалить из сервиса Яндекс.Видео контент, принадлежащий телеканалам группы «Газпром-медиа», обещая в противном случае применить блокировку ресурсов Яндекса.

Предметом спора стали телесериалы и шоу, правами на которые владеют телеканалы ТНТ, ТВ-3, 2х2 и «Супер». Принадлежащий им видеоконтент (в частности, сериалы «Домашний арест», «Вне игры», мультсериал «Осторожно, земляне» и шоу «Мистические истории») можно было легко найти и посмотреть онлайн в Яндекс.Видео. Главная претензия к поисковику — выдача Яндекса предлагает зрителям посмотреть видео на сайтах, размещающих пиратские записи передач.

Чтобы избежать возможной блокировки, Яндекс удалил из базы ссылки, ведущие на спорный контент. Тем не менее, руководство компании считает, что требования не обоснованы и не соответствуют законодательству. Их исполнение может нанести ущерб как обычным пользователям, так и телеканалам. Яндекс собирается отстаивать свои убеждения в суде.

Юридические тонкости

Роскомнадзор требовал от Яндекса удалить ссылки на пиратский контент. Однако ни суд, ни РКН не смогли дать ясных рекомендаций, как отличить пиратскую копию файла от легальной. Ведь телеканал, владеющий правами на сериал, может выложить отдельные серии или ознакомительные фрагменты. При общем количестве ссылок на видеофайлы, исчисляющемся десятками тысяч, невозможно выявить среди них принадлежащие правообладателям. Ни Яндексу, ни другим поисковым системам не предложили механизмов, по которым можно было бы отделить пиратский контент от легального.

Есть радикальное решение: поисковая система может удалить все ссылки на тот или иной сериал (Яндекс именно так и поступил). Но в этом случае под раздачу попадут и вполне легальные ссылки. А значит, упадет посещаемость ресурса, и пострадает правообладатель (и потребитель).

Яндекс, выдавая ссылку на пиратский контент, не нарушает закон: ведь он не хранит видеофайлы на своих серверах, а лишь предоставляет пользователям информацию, где найти файлы. Если хранение этих данных считать преступлением, то и РКН придется признать виновным: у него есть реестр запрещенных в РФ сайтов! К тому же, удаление ссылок не повлияет на судьбу ресурса, который разместил видео. Пользователь найдет нужный сериал с помощью любой другой поисковой системы (Гугл или Рамблер), или зайдет на ресурс и воспользуется внутренним поиском.

Получается, что борьба с нелегальным контентом подменяется противостоянием с сервисом, владеющим списками такого контента. При этом контент остается нетронутым.

Dura lex, sed lex: каким бы странным и нелогичным ни казалось требование РКН — оно основано на определении суда, а значит, его необходимо исполнять. Яндекс удалил из баз ссылки на спорные сериалы, и причин для его блокировки больше нет. Остается вопрос — насколько разумно бороться с нелегальным контентом с помощью блокировок? Не будет ли это борьбой с ветряными мельницами?

Спортивная ходьба по граблям

Сразу оговоримся: мы против пиратства в сети. Нелегальное распространение и скачивание любого авторского контента не только незаконно, но и недостойно честного человека. Увы, с появлением электронных носителей информации пиратство стало неизбежным злом. Бороться с ним необходимо. Вопрос лишь в адекватности и эффективности тех или иных мер.

В январе 2016 года РКН заблокировал портал RuTracker, крупнейший российский каталог торрент-ссылок на мультимедийный контент. Несмотря на это, сайт продолжает работу — ведь для многих пользователей обход блокировки несложен. Закон предписывает блокировать ресурсы только провайдерам; если же пользователь находит способ обхода блокировки, чтобы получить доступ к закрытой информации, формально он не нарушает закон.

Более того, если до блокировки владельцы RuTracker охотно шли навстречу правообладателям и удаляли нелегальный контент по требованию владельцев, теперь это стало невозможно. Раз доступ к ресурсу в России заблокирован, значит нарушения нет. А тем временем миллионы пользователей получают доступ к пиратским фильмам и музыкальным альбомам.

Эпическая битва Роскомнадзора с Телеграмом, развернувшаяся в марте текущего года, до сих пор на слуху у публики. С Телеграмом РКН тоже пытался бороться блокировками (в данном случае речь шла не о борьбе с нелегальным контентом). В реестр запрещенных материалов были внесены миллионы сетевых адресов. Миллионы, Карл!

А что же Телеграм? Он продолжает работать, как ни в чем не бывало.

Казалось бы, эти ситуации должны были убедить российского законодателя и РКН, что блокировки — не идеальный способ перекрыть информационные потоки. Не то, чтобы они совсем не работали, просто их эффективность недостаточно высока.

Почему блокировки не работают

В первую очередь из-за несовершенства российского законодательства в части, которая касается интернета и всего, что с ним связано. Вспомним, например, 139-ФЗ от 28.07.2012 г., на основании которого был создан «Единый реестр» запрещенных сайтов, или 398-ФЗ от 28.12.2013 г., разрешающий ограничивать доступ к сайтам, содержащим экстремистскую информацию и призывы к массовым беспорядкам. Еще один закон, 276-ФЗ от 29.07.2017 г., ограничивает использование анонимайзеров и VPN-сетей, предоставляющих доступ к запрещенным сайтам.

Как видно, у авторов этих законов весьма смутные представления о сети Интернет и ее устройстве. Они рассматривают сеть как некое здание со множеством комнат-сайтов, которые можно запереть на ключ, чтобы не допустить туда посетителей. На деле всё куда сложнее.

Чтобы разобраться, почему законы работают плохо, нужно внимательно изучить, как работает интернет.

Как устроен Интернет

Аналогия со зданием и комнатами уместна: сайт — комплекс программного обеспечения и информационных баз данных, в которых хранится то, что мы можем прочитать и посмотреть, зайдя на ресурс. Но информация не может существовать сама по себе, без носителя — ее нужно где-то хранить. Значит, существует некий физический сервер, компьютер с доступом в интернет, который выдает странички сайта по запросу посетителя. Это и есть «комната».

Чтобы получить информацию с сервера, до него необходимо добраться. В этом помогает адресная система интернета. И вот тут начинается интересное.

Каждый компьютер, подключенный к сети, получает уникальный адрес, состоящий из 4 байтов (то есть, чисел от 0 до 255). Для удобства записи их разделяют точками (например, 5.61.239.21). Этот 4-байтный адрес называется IP-адресом (читается «ай-пи»). Чтобы получить доступ к информации на сайте, чаще всего достаточно знать IP его сервера. Считаем, что IP — номер на двери «комнаты».

Однако человеку сложно запоминать множество цифр, поэтому есть буквенная запись тех же адресов — так называемые «доменные имена» (например, «yandex.ru»). Сама по себе такая запись ничего не значит: сеть идентифицирует компьютеры по IP. Чтобы перевести доменное имя в IP-адрес, необходимо свериться со списком, в котором эти имена и адреса сопоставлены. Этим занимается DNS-сервер (DNS означает «служба доменных имен»).

Предположим, вы хотите посетить сайт Яндекса. Вы набираете в адресной строке «yandex.ru» и нажимаете Enter.

Первое, что сделает компьютер — отправит запрос провайдеру, который предоставляет вам доступ в интернет. Провайдер, получив запрос, перенаправит его на DNS-сервер, а тот найдет в базах IP-адрес, соответствующий доменному имени «yandex.ru». По той же цепочке этот IP вернется к вам, и теперь ваш браузер «знает», куда ему отправляться. Подключившись к этому IP, он получает от сервера Яндекса нужную информацию и отображает главную страницу портала.

 

Это очень упрощенное описание, но не будем чересчур усложнять. Тонкости процесса сейчас несущественны.

Что происходит, когда тот или иной ресурс попадает в реестр запрещенных сайтов?

Роскомнадзор вносит доменное имя в «Единый реестр доменных имен». Все провайдеры РФ обязаны регулярно скачивать реестр и блокировать пользователям доступ к сайтам, перечисленным в нем.

Как это происходит? Как только ваш браузер отправил запрос на соединение, к примеру, с «yandex.ru», провайдер сверяет это доменное имя со своей копией реестра. Если  «yandex.ru» в списке есть — провайдер, вместо того, чтобы запросить у DNS-сервера IP-адрес Яндекса, вернет страничку, на которой будет написано, что доступ запрещен.

Казалось бы, граница на замке. Но существует множество способов обойти эту довольно примитивную блокировку.

Королевство зеркал, прокси и VPN

Решение, которое напрашивается само собой — создать зеркало заблокированного сайта. Под «зеркалом» может подразумеваться несколько технических решений, однако на практике пользователь не заметит разницы между ними.

Во-первых, можно разместить в сети копию сайта, идентичную оригинальному, но с другим доменным именем – скажем, «yandex.com». Разумеется, придется установить еще один сервер, скопировать на него информацию с «настоящего» yandex.ru и постоянно ее обновлять, чтобы данные оставались актуальными.

Во-вторых, иногда не требуется дублировать информацию — достаточно зарегистрировать новое доменное имя и дать указание DNS-серверу, чтобы и старое, и новое имя указывали на один и тот же IP. Но если провайдер блокирует сайт не по доменному имени, а по IP, этот способ не сработает.

Если РКН заблокирует основное доменное имя, зеркало будет оставаться доступным для посетителей. А если заблокируют и зеркало, всегда можно создать другое.

Еще один способ обхода блокировки — использовать VPN или прокси. Принцип действия у них разный, но оба могут становиться посредниками при получении «запрещенной» информации.

Предположим, вы обнаружили, что yandex.ru недоступен: ваш провайдер категорически не желает делиться информацией с этого сайта. Как быть?

Не только ваш провайдер умеет получать информацию из Интернета. Достаточно подключиться к прокси-серверу и сделать аналогичный запрос через него.

Действует это так: ваш браузер отправляет запрос провайдеру, но с целью доступа не к yandex.ru, а к прокси-серверу. Соединившись с прокси, браузер «попросит» его переслать вам информацию с Яндекса. Вуаля — вы получаете нужные данные, а провайдер уверен, что они идут не с запрещенного сайта, а с какого-то другого: он понятия не имеет, что вы соединяетесь с прокси!

Поскольку прокси-сервер может располагаться за пределами РФ, на него (и их провайдеров) не распространяются требования о блокировке сайтов, внесенных в российский реестр. А значит, у них доступ к «запрещёнке» сохраняется в полном объеме.

Похожим образом действует и VPN, но в этом случае канал, по которому пользовательский компьютер соединяется с сервером VPN, шифруется. Обывателю, чтобы воспользоваться прокси-сервером или VPN, не нужно быть IT-специалистом. Существует множество программ и расширений для браузеров, которые позволяют подключаться к сети в обход блокировок/

Казалось бы, нужно лишь заставить владельцев прокси и VPN блокировать запрещенные сайты по реестру РКН, а тех, кто не согласен — самих внести в него, и дело в шляпе. Именно это предложили авторы 276-ФЗ от 29.07.2017 г. Но тут всё не так просто.

Прокси-серверов в мире тысячи и тысячи. Многие из них находятся за пределами РФ, и российское законодательство для них не указ. Блокировать же доступ к отдельным прокси-серверам и VPN — затыкать дыры в решете, где все время появляются новые. Запустить еще один (или сколько угодно еще) прокси несложно, и все новые и новые прокси появляются в мире ежедневно. Эту гонку РКН неизбежно проиграет.

Чем упорнее РКН применяет блокировки, тем большее количество пользователей осваивает способы их обхода, повышая компьютерную грамотность.

Действительно, интернет чем-то похож на здание с комнатами-сайтами. Но попасть в комнату можно через множество дверей. Запереть все невозможно: замков не хватит. Единственный способ гарантированно закрыть тот или иной сайт от посетителей — физически отключить сервер, где он расположен, от Интернета (сработает это, только если у сайта нет копии на каком-нибудь «зеркале»). Но попробуйте отключить от интернета Википедию или Гугл!

Значит, контролировать Интернет невозможно?

Теоретически можно создать такую систему, при которой обычный пользователь (но не продвинутый айтишник) не сможет попасть на те или иные ресурсы.

Например, можно оснастить каждого провайдера программно-аппаратным комплексом, который будет анализировать передаваемую информацию (т.н. DPI — «глубокий анализ пакетов»). Так каждый байт, который вы получаете из интернета, будет изучен и классифицирован. С помощью подобных систем некоторые операторы отделяют трафик социальных сетей (бесплатный) от трафика с других сайтов (ограниченный по объему и/или платный). Так же можно блокировать «неугодный» трафик.

Затея дорогостоящая, так как требуется специальное оборудование для каждого провайдера и оператора связи, а их в России немало. Кроме того, ни одна система DPI не гарантирует 100% точности определения трафика, так что всегда остается шанс ложного срабатывания (или, наоборот, пропуска запрещенных данных). Кроме того, проанализировать можно только незашифрованную информацию. Данные, передаваемые по VPN, отфильтровать будет сложно. А заблокировать VPN — не лучшая идея, ведь этот тип сетей используют многие организации и предприятия (например, он необходим для работы банков, так как операции в системе SWIFT проходят через защищенный канал VPN).

Есть более радикальный метод. Можно создать «белый список» и включить в него только «разрешенные» сайты, а ко всем остальным закрыть доступ по умолчанию. Легко представить, насколько пагубно это отразится на пользователях интернета. Вспомним еще раз историю с Телеграмом: в «черный список» реестра тогда попали далеко не все сайты (и даже не большинство), однако многие ИП, предприятия и бизнесмены ощутили на себе негативные последствия, не говоря уже о трудностях, постигших обычных пользователей. Что будет, если заблокируют интернет? К счастью, такие драконовские меры всерьез не обсуждались.

Даже существующие в РФ способы интернет-цензуры могут создать пользователям немало проблем на ровном месте.

Если РКН вдруг передумает и примет решение заблокировать Яндекс — чем это будет нам грозить?

Блокируем всё подряд

Яндекс утверждает, что несовершенство нынешних методов блокировок, применяемых РКН, может сделать портал yandex.ru недоступным для пользователей. А это не только видеосервис, но и десятки других: веб-поисковик, почтовый сервер, хранилище данных Яндекс.Диск, платежная система Яндекс.Деньги, а также Яндекс.Навигатор, которым пользуются сотни тысяч водителей.

«Большинство провайдеров могут блокировать трафик только по доменному имени — в случае Яндекс.Видео это yandex.ru», — поясняют в Яндекс. Это же доменное имя используют и прочие сервисы Яндекса, поэтому блокировка затронет не только видео-сервис, но и их.

Мы уже разобрались, что обойти блокировку ничего не стоит. Но не будем забывать, что не все пользователи умеют (или хотят) это делать. Потенциально это может привести к проблемам и финансовым потерям, в десятки раз превосходящим произошедшие из-за блокировок Телеграма.

Крах финансовой системы или внезапное наступление Апокалипсиса нам не грозят. Однако можно предвидеть, что многие потеряют доступ к финансам, хранящимся в системе Яндекс.Деньги, и не смогут получать денежные поступления на Яндекс-кошельки. Часть функционала Яндекс.Навигатора без доступа к сетевому сервису тоже может перестать работать — а это чревато проблемами для тех, кому электронный навигатор жизненно необходим. Проблемы возникнут и у тех, кому необходим доступ к почте Яндекса.

Это только вершина айсберга. У Яндекса множество сервисов, и от их блокировки пострадает каждый, кто ими пользуется.

А ведь наказать хотели только пиратов и потребителей пиратского контента!

Резюмируем

Блокировки – это:

  • Калитка в чистом поле. Надежно заблокировать сайт в Интернете сложно. Любую блокировку можно обойти. Для обхода способов, которые использует РКН, усилий не требуется.
  • Стрельба из пушки по воробьям. Потенциально такие блокировки вредят всем подряд без разбора, хотя изначально предполагалось создать проблемы только нарушителям закона. Топорность блокировок и необдуманность их применения приводят к печальным последствиям, что мы наблюдали на примере блокировки Телеграма.
  • Квадратные колеса. Блокировки не помогают решать существующие проблемы, а создают новые.

Это приводит к мысли, что в части законодательства, которая касается контроля за информацией, пора что-то менять.

Нельзя забывать, что с пиратским контентом нужно бороться. Можно ли оградить правообладателей от воровства контента и при этом не ущемить потребителя?

«Умная» борьба с медиа-пиратством

Мы не привыкли платить за цифровые ресурсы, будь то электронные книги, музыка или видеоконтент. Потребитель в большинстве случаев с улыбкой относится к предложению заплатить за то, что можно бесплатно скачать в сети. Понимание, что любой контент имеет владельца, как и привычка платить, не возникнут сами по себе, потому что законодатель «запретил пиратство». На это требуется время. Другие страны тоже проходили этот путь.

Запреты могут привести к совершенно противоположным результатам. Широко известен так называемый «эффект Стрейзанд». Суть его в том, что попытка закрыть доступ к информации приводит к ее более широкому распространению. Так данные, которые раньше были никому не нужны, расходятся намного шире, чем это могло бы случиться «естественным» путем.

Подавая в суд на Яндекс, телеканалы, возможно, подстегнут пользователя копировать и распространять «опальные» сериалы. Впрочем, не исключено, что «Газпром-медиа» специально выбрал такую стратегию, чтобы поднять интерес публики к своей продукции. Не секрет, что российские сериалы, мягко говоря, не могут составить серьезной конкуренции западным.

Что можно сделать, чтобы победить цифровое пиратство

Гипотетически, наилучшей стратегией будут не судебные споры, а сотрудничество с пиратами. Ведь можно заключить с ними «джентльменское соглашение»: вынудить пирата удалять либо монетизировать (продавать) контент, а отчисления передавать правообладателю. Тех, кто не внемлет голосу разума, можно без церемоний вести в суд. Со временем пользователь привыкнет, что бесплатного сыра больше нет, и за всё нужно платить. Сознательность поднимется на новый уровень, и пиратство станет таким же социально неприемлемым явлением, как воровство или мошенничество.

Это долгий и непростой путь. Значительно проще подать в суд на поисковик, который «знает» обо всех видеофайлах, легальных и нелегальных, а заботу об исполнении судебных решений перевалить на хрупкие плечи Роскомнадзора.

Но принесет ли это нужные плоды?

Автономный способ обхода DPI и эффективный способ обхода блокировок сайтов по IP-адресу

Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.

Существует два распространенных типа подключения DPI: пассивный и активный.

Пассивный DPI

Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.

Выявляем и блокируем пакеты пассивного DPI

Поддельные пакеты, формируемые DPI, легко обнаружить анализатором трафика, например, Wireshark.
Пробуем зайти на заблокированный сайт:

Мы видим, что сначала приходит пакет от DPI, с HTTP-перенаправлением кодом 302, а затем настоящий ответ от сайта. Ответ от сайта расценивается как ретрансмиссия и отбрасывается операционной системой. Браузер переходит по ссылке, указанной в ответе DPI, и мы видим страницу блокировки.

Рассмотрим пакет от DPI подробнее:

HTTP/1.1 302 Found
Connection: close
Location: http://warning.rt.ru/?id=17&st=0&dt=195.82.146.214&rs=http%3A%2F%2Frutracker.org%2F

В ответе DPI не устанавливается флаг «Don’t Fragment», и в поле Identification указано 1. Серверы в интернете обычно устанавливают бит «Don’t Fragment», и пакеты без этого бита встречаются нечасто. Мы можем использовать это в качестве отличительной особенности пакетов от DPI, вместе с тем фактом, что такие пакеты всегда содержат HTTP-перенаправление кодом 302, и написать правило iptables, блокирующее их:

# iptables -A FORWARD -p tcp --sport 80 -m u32 --u32 "0x4=0x10000 && 0x60=0x7761726e && 0x64=0x696e672e && 0x68=0x72742e72" -m comment --comment "Rostelecom HTTP" -j DROP

Что это такое? Модуль u32 iptables позволяет выполнять битовые операции и операции сравнения над 4-байтовыми данными в пакете. По смещению 0x4 хранится 2-байтное поле Indentification, сразу за ним идут 1-байтные поля Flags и Fragment Offset.
Начиная со смещения 0x60 расположен домен перенаправления (HTTP-заголовок Location).
Если Identification = 1, Flags = 0, Fragment Offset = 0, 0x60 = «warn», 0x64 = «ing.», 0x68 = «rt.ru», то отбрасываем пакет, и получаем настоящий ответ от сайта.

В случае с HTTPS-сайтами, DPI присылает TCP Reset-пакет, тоже с Identification = 1 и Flags = 0.

Активный DPI

Активный DPI — DPI, подключенный в сеть провайдера привычным образом, как и любое другое сетевое устройство. Провайдер настраивает маршрутизацию так, чтобы DPI получал трафик от пользователей к заблокированным IP-адресам или доменам, а DPI уже принимает решение о пропуске или блокировке трафика. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер применяет DPI только для блокирования сайтов из реестра, чаще всего его настраивают на проверку только исходящего трафика.

Системы DPI разработаны таким образом, чтобы обрабатывать трафик с максимально возможной скоростью, исследуя только самые популярные и игнорируя нетипичные запросы, даже если они полностью соответствуют стандарту.

Изучаем стандарт HTTP

Типичные HTTP-запросы в упрощенном виде выглядят следующим образом:

GET / HTTP/1.1
Host: habrahabr.ru
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

Запрос начинается с HTTP-метода, затем следует один пробел, после него указывается путь, затем еще один пробел, и заканчивается строка протоколом и переносом строки CRLF.
Заголовки начинаются с большой буквы, после двоеточия ставится символ пробела.

Давайте заглянем в последнюю версию стандарта HTTP/1.1 от 2014 года. Согласно RFC 7230, HTTP-заголовки не зависят от регистра символов, а после двоеточия может стоять произвольное количество пробелов (или не быть их вовсе).

   Each header field consists of a case-insensitive field name followed
   by a colon (":"), optional leading whitespace, the field value, and
   optional trailing whitespace.

     header-field   = field-name ":" OWS field-value OWS

     field-name     = token
     field-value    = *( field-content / obs-fold )
     field-content  = field-vchar [ 1*( SP / HTAB ) field-vchar ]
     field-vchar    = VCHAR / obs-text

     obs-fold       = CRLF 1*( SP / HTAB )
                    ; obsolete line folding

OWS — опциональный один или несколько символов пробела или табуляции, SP — одинарный символ пробела, HTAB — табуляция, CRLF — перенос строки и возврат каретки (\r\n).

Это значит, что запрос ниже полностью соответствует стандарту, его должны принять многие веб-серверы, придерживающиеся стандарта:

GET / HTTP/1.1
hoSt:habrahabr.ru
user-agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
Accept-Encoding:           gzip, deflate, br
coNNecTion:	keep-alive      ← здесь символ табуляции между двоеточием и значением

На деле же, многие веб-серверы не любят символ табуляции в качестве разделителя, хотя подавляющее большинство серверов нормально обрабатывает и отсутствие пробелов между двоеточием в заголовках, и множество пробелов.

Старый стандарт, RFC 2616, рекомендует снисходительно парсить запросы и ответы сломанных веб-северов и клиентов, и корректно обрабатывать произвольное количество пробелов в самой первой строке HTTP-запросов и ответов в тех местах, где требуется только один:

Clients SHOULD be tolerant in parsing the Status-Line and servers tolerant when parsing the Request-Line. In particular, they SHOULD accept any amount of SP or HT characters between fields, even though only a single SP is required.

Этой рекомендации придерживаются далеко не все веб-серверы. Из-за двух пробелов между методом и путем ломаются некоторые сайты.

Спускаемся на уровень TCP

Соединение TCP начинается с SYN-запроса и SYN/ACK-ответа. В запросе клиент, среди прочей информации, указывает размер TCP-окна (TCP Window Size) — количество байт, которые он готов принимать без подтверждения передачи. Сервер тоже указывает это значение. В интернете используется значение MTU 1500, что позволяет отправить до 1460 байтов данных в одном TCP-пакете.
Если сервер указывает размер TCP-окна менее 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре.

Если сервер пришлет TCP Window Size = 2 в SYN/ACK-пакете (или мы его изменим на это значение на стороне клиента), то браузер отправит HTTP-запрос двумя пакетами:

Пакет 1:

GE

Пакет 2:

T / HTTP/1.1
Host: habrahabr.ru
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/50.0
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

Используем особенности HTTP и TCP для обхода активного DPI

Многие решения DPI ожидают заголовки только в стандартном виде.
Для блокировки сайтов по домену или URI, они ищут строку «Host: » в теле запроса. Стоит заменить заголовок «Host» на «hoSt» или убрать пробел после двоеточия, и перед вами открывается запрошенный сайт.
Не все DPI можно обмануть таким простым трюком. DPI некоторых провайдеров корректно анализируют HTTP-заголовки в соответствии со стандартом, но не умеют собирать TCP-поток из нескольких пакетов. Для таких DPI подойдет «фрагментирование» пакета, путем искусственного уменьшения TCP Window Size.

В настоящий момент, в РФ DPI устанавливают и у конечных провайдеров, и на каналах транзитного трафика. Бывают случаи, когда одним способом можно обойти DPI вашего провайдера, но вы видите заглушку транзитного провайдера. В таких случаях нужно комбинировать все доступные способы.

Программа для обхода DPI

Я написал программу для обхода DPI под Windows: GoodbyeDPI.
Она умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем.
Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать.

По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы. Запустите программу следующим образом:

goodbyedpi.exe -1 -a

Если заблокированные сайты стали открываться, DPI вашего провайдера можно обойти.
Попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый).
Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 -a

Эффективное проксирование для обхода блокировок по IP

В случае блокировок по IP-адресу, провайдеры фильтруют только исходящие запросы на IP-адреса из реестра, но не входящие пакеты с этих адресов.
Программа ReQrypt работает как эффективный прокси-сервер: исходящие от клиента пакеты отправляются на сервер ReQrypt в зашифрованном виде, сервер ReQrypt пересылает их серверу назначения с подменой исходящего IP-адреса на клиентский, сервер назначения отвечает клиенту напрямую, минуя ReQrypt.

Если наш компьютер находится за NAT, мы не можем просто отправить запрос на сервер ReQrypt и ожидать ответа от сайта. Ответ не дойдет, т.к. в таблице NAT не создана запись для этого IP-адреса.

Для «пробива» NAT, ReQrypt отправляет первый пакет в TCP-соединении напрямую сайту, но с TTL = 3. Он добавляет запись в NAT-таблицу роутера, но не доходит до сайта назначения.

Долгое время разработка была заморожена из-за того, что автор не мог найти сервер с возможностью спуфинга. Спуфинг IP-адресов часто используется для амплификации атак через DNS, NNTP и другие протоколы, из-за чего он запрещен у подавляющего большинства провайдеров. Но сервер все-таки был найден, хоть и не самый удачный. Разработка продолжается.

Заключение и TL;DR

GoodbyeDPI — программа под Windows, позволяющая обходить пассивные и активные DPI. Просто скачайте и запустите ее, и заблокированные сайты станут снова доступны.
Для Linux есть аналогичная программа — zapret.

Используйте кроссплатформенную программу ReQrypt, если ваш провайдер блокирует сайты по IP-адресу.

Определить тип блокировки сайтов можно программой Blockcheck. Если в тестах DPI вы видите, что сайты открываются, или видите строку «обнаружен пассивный DPI», то GoodbyeDPI вам поможет. Если нет, используйте ReQrypt.

Дополнительная полезная информация есть здесь и здесь.

Провайдер блокирует доступ к сайту, подсобите? — Хабр Q&A

Уже почти как год как моя страна блокирует доступ к нескольким сайтам, а т.к. провайдер принадлежит государству, тот находит отговорки в виде проблем на стороне самих ресурсов. Уже как год жители страны пытаются получить доступ к сайтам, качая различные ВПН приложения на смартфон или расширения для браузеров тем самым захламляя свои устройства.

И в поисках избавления от сего недуга я отважился выйти против провайдера и решил закачать на телефон приложение для анализа трафика — PacketCapture. Установил программу, после — предложенный сертификат, далее разрешил создать ВПН подключение для сниффинга, начал снифить трафик для хрома и… О боже! У меня заработал ресурс! Решил чекнуть айпишник, но нет, все на месте.

Решил зайти через офф приложение ресурса — к сожалению здесь не сработало. Но зато получил вероятную ошибку в PacketCapture, которое выдает сайт при обращении к нему — то было HTTP 204 No content.

Проблемным ресурсом является забугорный Ютуб, Фейсбук и ещё несколько сайтов. Но первые две в моей стране пользуется спросом.

Порыскав в Хабре нашел тему про DPI, но не вник в суть т.к. под рукой нет ПК, только рутованный андроид, и реализовать те манипуляции что описаны в статье не получилось.

Прошу подсобить советами, куда что глядеть, просвещенных прошу поведать о том как получилось что, как я понял , локальный ВПН позволил бороздить мне на заблокированном на уровне провайдера ресурсе.

Я так понял я на правильном пути раз уж смог добиться подобного (ну в моем случае) успеха . Как дальше быть, как довести до совершенства чтоб в конце концов разрешить сложившуюся ситуацию с этой призрачной интернет-цензурой.
Призрачной — потому что никто не хочет говорить почему сайты заблокированы.

Заранее признателен всем отписавшимся

P.S. При обычном входе на сайт Ютуб, браузер получает ответ от сервера — 204 No content. Аналогично и через родное приложение

P.P.S Конечно ВПН сервисы разрешают ситуацию, но все таки хотелось разрешить вопрос таким способом, чтоб взял включил и забыл, ну или хотя бы не устанавливать кучу ВПН приложений которые кстати провайдер охотно блокирует и снова выставляет себя невинным.

Ящик пандоры – Интернет-провайдеры незаконно блокируют сайты

»Некоторые» Интернет-провайдеры почему-то решили самовольно блокировать для посетителей некоторые достойные сайты. Это является произволом и самым настоящим нарушением Закона. Учимся отстаивать свои неотъемлемые, законные права…

 

В 2011 году некоторые Интернет-провайдеры (предприятия, подключающие граждан к Интернету) начали по-тихому, самовольно блокировать доступ к сайту академика Н.В. Левашова (www.levashov.info) и к некоторым другим сайтам, никак не связанным с сайтом Николая Левашова. Это нарушение прав абонентов некоторые поставщики услуг Интернет-связи объясняют тем, что на сайте Н.Левашова якобы содержится запрещённая судом книга «Россия в кривых зеркалах».

На самом деле на сайте этой книги нет, но даже если бы она там и была, провайдер не имеет права самостоятельно определять виновность кого бы то ни было! Провайдер должен продавать свои услуги! И всё! А остальные вопросы входят в компетенцию органов власти, а не провайдеров и прочих торговых работников! Только органы власти могут принять законные решения о блокировке чего бы то ни было!

Но, видимо, среди провайдеров образованных людей немного, т.к. по неизвестным причинам, некоторые провайдеры начали блокировать доступ не только к сайту Н.В. Левашова, но и к некоторым другим сайтам, тем или иным образом, рекламирующим сайты Николая Викторовича Левашова! Это не просто произвол и нарушение закона, это дичайший произвол и нарушение всех возможных законов, норм договора и прав абонентов.

Противоправные действия провайдеров уже вызывали обоснованное возмущение у граждан нашей страны, читателей книг Николая Левашова. Блокировка сайтов провайдерами нарушает права огромной аудитории граждан на получение информации, гарантированное нам пунктом 4 статьи 29 Конституции Российской Федерации. Более того, подобные действия содержат признаки введения цензуры по отношению к творчеству, идеям и высказываниям Н.В. Левашова. Напомню, что цензура в РФ запрещена пунктом 5 статьи 29 Конституции России. На наших глазах нарушается Основной Закон, имеющий высшую силу и прямое действие на всей территории нашей страны. Кроме того, нарушаются и положения Конституции РФ, которые конкретизируются в федеральных законах. Так, согласно пункту 2 статьи 62 Закона «О связи» № 126-ФЗ,   провайдер обязан оказывать услуги надлежащего качества. В нашем случае, ни о каком качественном оказании услуг связи и речи не идёт!

Провайдер не имеет права самостоятельно блокировать какие-либо сайты без соответствующих законных решений соответствующих органов!  Что же касается сайта Н.В. Левашова, то и в отношении его недопустимы подобные действия, потому что судебным решением запрещена к распространению только книга, но не сайт, к которому нигде и никогда не было никаких претензий. Ещё раз: суд запретил книгу, а не сам сайт, где она когда-то была расположена в электронном виде. Сам сайт суд не запрещал, и это явно указано на веб-странице Минюста (книга «Россия в кривых зеркалах» – № 809). Если бы суд решил запретить именно сайт и принял такое решение, это было бы чётко указанно в решении суда и отражено в электронном списке Минюста.

Нарушать закон провайдер начал не тогда, когда писал объяснение своим действиям в ответ на возмущённые письма пользователей. Нарушать закон он начал с того самого момента, когда по собственной воле решил блокировать сайты Н.В. Левашова и некоторые другие. Ведь у него не было юридического основания для подобных действий. Согласно статье 13 Закона «О полиции» №3-ФЗ, руководитель организации должен был получить представление от органов полиции. Поставщик Интернет-услуг не мог получить и не получал от полиции никаких представлений. Поэтому, получается, права множества пользователей были нарушены на основании личных антипатий руководителя, а может быть даже и рядового работника организации! Подобная наглость может возникать только от полной уверенности в том, что люди нашей страны не знают законов и не готовы отстаивать свои права!

Но это не так, мы имеем полное моральное и юридическое право на сопротивление произволу! Сразу же возникает вопрос: каким образом это сопротивление лучше всего организовать?

Можно обратиться в суд. Однако, судебное разбирательство займёт время. Если ваш провайдер решит затягивать процесс, то только на вашу претензию он может ответить в течение нескольких недель, а ведь будет ещё само судебное разбирательство… Сегодня уже многие начинают понимать, что против нашего народа ведётся самый настоящий геноцид, многие начинают активно действовать, узнав о великом прошлом нашего народа. Эти изменения в мировоззрении людей происходят после ознакомления с книгами и статьями, фильмами и картинами академика Николая Викторовича Левашова. Миллионы людей знакомятся с ними через Интернет – единственное пока ещё относительно свободное СМИ.

В подобной обстановке преступно лишать на столь продолжительное время многотысячную аудитория наших граждан возможности посещать сайты Н.В. Левашова. Поэтому, необходимо ещё в до судебном порядке организовать общественный контроль за фактами нарушения наших прав и законных интересов. Как только в службе поддержки вашего провайдера вам подтвердят блокировку интересующих вас сайтов, следует начинать действовать.

Во-первых, нужно прояснить для себя ситуацию с тем, какие законы были нарушены поставщиком услуг, и каким образом эти нарушения ущемляют ваши права. Данный пункт разобран в начале статьи.

Затем следует преступить к организации сопротивления. Оно будет заключаться в принуждении к соблюдению закона, выражающемся в оказании информационного давления на нарушителя. Заготовьте тексты обращений и писем к администрации провайдера. Обращаться следует по телефону непосредственно к генеральному директору организации и ко всем «высоким начальникам», до которых сможете добраться. Спокойно и уверенно представляйтесь секретарю, с указанием вашей должности. Требуйте соединения с начальником организации или, если вам откажут, с руководителем соответствующего подразделения. Излагайте свои претензии и пожелания и обязательно требуйте наказания виновных. И ничего не бойтесь! Ваши требования – справедливы и абсолютно законны.

Подключите к подобным телефонным переговорам ваших друзей, единомышленников, родственников, соседей, общественные и другие организации, с которыми у вас есть контакт. Они тоже должны звонить и отправлять провайдеру письма по электронной и обычной почте. Предупреждайте, что  вы и ваши коллеги готовы объявить бойкот поставщику Интернет-услуг, подать жалобы в прокуратуру, Россвязь и Роскомнадзор, обратиться с коллективным исковым заявлением в суд.   

Верхом профессионализма с вашей стороны будет вручение мотивированных требований руководителю организации провайдера  непосредственно в руки, скажем, когда он с утра приедет на работу. Можно положить письмо под дворник автомобиля или в его домашний почтовый ящик.

Вместе с тем, не стоит забывать, что множество единомышленников будут готовы поддержать вас и через Интернет, как только узнают о факте нарушения закона и ваших прав. Их поддержка будет заключаться в написании ещё большего числа писем и размещении на сайте провайдера и других сайтах справедливых требований прекратить нарушать закон. Я уверен, многие будут готовы позвонить даже из других городов.

Помните, ваши требования – справедливы и абсолютно законны. Они способствуют восстановлению нарушенного закона, ваших прав и законных интересов. Благодаря им, множество людей сможет узнать о нашем реальном, великом прошлом, о действительной ситуации в России и на планете, начать активно развиваться и помогать в этом другим.

Практика общественного контроля показала, что коллективное отстаивание прав – чрезвычайно эффективно, и, скорее всего, поставщик услуг Интернет-связи предпочтёт самостоятельно ликвидировать нарушения закона, которые допустил. Если же он будет упорствовать, вы имеете полное право подать на него в суд. Вина провайдера неоспорима и может быть легко доказана. Однако, для ведения дела в суде вам и вашим единомышленникам лучше собрать деньги и нанять юриста. Дело в том, что человеку, не знакомому с практикой  судопроизводства, будет затруднительно эффективно отстаивать свои права, там нужны специфические знания и умения.   

Нужно будет составить и отправить официальную претензию провайдеру, и, в случае отказа удовлетворить ваши требования или отсутствия ответа на претензию, обраться с исковым заявлением в районный суд вашего города. В ходе судебного разбирательства нужно будет доказать несколько юридических фактов, после чего провайдер будет справедливо наказан, а ваши требования удовлетворены. Таки образом, провайдер получит достойный урок и впредь семь раз подумает, прежде чем нарушать ваши или права иных граждан. Решение по данному делу станет фактором «морального сдерживания» и для других поставщиков Интернет-услуг, не уважающих российские законы.

Источник: www.ru-an.info
 

* Дополнительная информация:

Николай Левашов. Встреча с читателями. Москва, 31 марта 2012 года

Как вы понимаете, кое-что из того, что написано в моих книгах и выложено на сайтах, совсем не радует очень многих людей, жизненные планы которых противоположны нашим с вами планам. И эти люди, обладая определёнными властными возможностями, уже длительное время прикладывают усилия, чтобы блокировать мой сайт и его зеркала. Они произвольно принуждают Интернет-провайдеров ограничивать доступ к моим сайтам. Однако, такие действия Интернет-провайдеров являются абсолютно незаконными, т.к. в адрес моего сайта властями не выдвигалось никаких претензий, и в отношении него не было никаких судебных решений. То, что сейчас временно запрещена к распространению моя книга «Россия в кривых зеркалах», совсем не означает, что кто-то имеет право блокировать сайты, на которых она была выложена до вступления в силу решения суда. Тем гражданам, кто встречается с трудностями при посещении моих сайтов, было бы неплохо познакомиться со статьёй «Боремся с цензурой в Интернете» и начинать активно возражать против нарушения своих прав кем бы то ни было! Потому что, если мы не будем показывать своё отношение к нарушителям Закона, они будут нарушать его всё больше и больше, и ни к чему хорошему это не приведёт. Преступающие Закон (преступники) будут и дальше наглеть, а трусы и лентяи будут вынуждены всё это без(с)конечно терпеть, униженно поскуливая и возмущаясь у себя на кухне…

Скачать видео – Архив-1, Н-Диск, Н-Диск HQ, Н-Диск HD

 

 

7 способов доступа к заблокированным веб-сайтам в обход интернет-фильтра Streamyx • Raymond.CC

Малайзия является одной из тех стран, которые реализует интернет-цензуру, заставляя всех провайдеров Интернет-услуг Малазийский блокировать доступ к определенным веб-сайтам, содержащим порнографические, политика, совместное использование файлов и вредоносного контента. Тысячи веб-сайтов были заблокированы с тех пор, как эта практика началась, и, конечно, их число будет только расти. Доступ к любому из заблокированных веб-сайтов сообщит, что «эта страница не может быть отображена».

У ISP есть несколько способов заблокировать доступ к веб-сайтам, и малазийские интернет-провайдеры часто блокируют запросы разрешения DNS путем нулевой маршрутизации на localhost. Если вы пингуете или запускаете dig или nslookup на заблокированном веб-сайте, вы увидите, что доменное имя разрешается до 127.0.0.1, и веб-сайт не загружается, поскольку этот адрес указывает на ваш собственный компьютер.

Dig blocked website Dig blocked website

Неважно, из какой вы страны или какого интернет-провайдера вы используете, мы уверены, что хотя бы один из семи методов, которыми мы поделились ниже, поможет вам получить доступ к заблокированным веб-сайтам.

1. Изменение DNS

Обычно ваш маршрутизатор настроен на использование DNS от вашего интернет-провайдера для преобразования имен хостов в IP-адреса. Если провайдер использует DNS-фильтрацию, он эффективно блокирует все предполагаемые веб-сайты. Обойти это так же просто, как перейти на другой общедоступный DNS, предлагаемый Google, OpenDNS, Cloudflare и т. Д.

DNS Jumper

Бесплатный инструмент под названием DNS Jumper способен заменить ваш DNS на что-то другое за несколько щелчки.Все, что вам нужно сделать, это загрузить программу, запустить ее, выбрать DNS-сервер из списка и нажать кнопку Apply DNS . Возможно, вы захотите нажать кнопку «Очистить DNS» и перезапустить веб-браузер, чтобы очистить любое кэширование DNS.

Dns jumper Dns jumper

Еще одним преимуществом использования DNS Jumper является автоматическое резервное копирование исходного адреса DNS-сервера, поэтому вы можете легко откатить изменения DNS, выбрав «Восстановить» в списке DNS-серверов.

Скачать DNS Jumper

NirSoft QuickSetDNS

Если вы хотите использовать что-то другое вместо DNS Jumper, есть еще один портативный инструмент под названием QuickSetDNS от NirSoft, где вы можете легко настроить сетевой адаптер для использования другого DNS служба.

Quicksetdns Quicksetdns

QuickSetDNS по умолчанию имеет только три пользовательских службы DNS в своем списке, но они хорошо известны, надежны и разблокируют сайты с ограниченным доступом, если ваш провайдер использует фильтрацию DNS. Все, что вам нужно сделать, это щелкнуть правой кнопкой мыши запись DNS Cloudflare, Google или Quad9 и выбрать Установить активный DNS .

Загрузить QuickSetDNS


2. Просмотр через веб-прокси

Веб-прокси — это удобный способ доступа к заблокированным веб-сайтам без установки программного обеспечения или изменения настроек системы.Веб-прокси ведет себя так, как будто кто-то другой в Интернете выбирает запрошенную веб-страницу, и вы просматриваете то, что они получили в вашем браузере. Пока ваш интернет-прокси не заблокирован самими веб-прокси, этот метод будет работать.

Все, что вам нужно сделать, это запустить веб-браузер и зайти на веб-сайт веб-прокси, а затем введите заблокированный URL-адрес, к которому вы хотите получить доступ. Веб-прокси иногда имеет опции для включения или отключения файлов cookie, сценариев и шифрования URL-адреса, убедитесь, что они отключены, если страница загружается неправильно.

Hidemyass web proxy Hidemyass web proxy

Один из лучших сервисов — HidemyAss! Веб-прокси, который надежен, прост в использовании и включает в себя прокси-серверы для США, Германии, Нидерландов, Великобритании и Чехии. На стартовой странице было несколько всплывающих окон с рекламой, но мы ничего не получили, просматривая прокси-сайты. Блокировщик рекламы рекомендуется при использовании любых веб-прокси-сервисов, так как некоторые могут показывать много рекламы или навязчивой рекламы.

Посетите HidemyAss! Веб-прокси

Существует множество сервисов веб-прокси, несколько других, которые мы пробовали, были ProxySite, несколько различных прокси в списке бесплатных прокси, которые также могут помочь обойти блокировку Youtube, и UnblockVideos, которые могут помочь вам перейти к потоковому видео / хостинг сайтов.


3. Установка VPN

VPN аналогична прокси-серверу, за исключением того, что маршрутизирует весь системный трафик через сервер VPN. Почти все полнофункциональные VPN являются коммерческими услугами, но вы можете найти несколько, которые предлагают бесплатное использование с некоторыми ограничениями, такими как сниженная скорость, использование полосы пропускания или ограниченные местоположения.

Hotspot Shield

Hotspot Shield — это бесплатное и поддерживаемое рекламой программное обеспечение VPN, которое существует уже много лет. Существуют некоторые ограничения, но если вы хотите только просматривать веб-сайты, то это может быть все, что вам нужно.В дополнение к настольному приложению Windows существуют приложения Hotspot Shield для iOS, Android и Магазина Windows.

Hotspot shield VPN Hotspot shield VPN

Установите, нажмите кнопку Пуск, и Hotspot Shield подключится к VPN-серверу в США. Другие локации отключены и только премиум варианты. Вы получаете 500 МБ свободной пропускной способности в день, которая будет сброшена через 24 часа. После различных потребляемых количеств, таких как 50%, будет недоверие. Hotspot Shield имеет полезную функцию, называемую kill-switch, которая отключает интернет, если VPN перестает работать.

Загрузить Hotspot Shield

OkayFreedom VPN

Если вы хотите, чтобы ваш VPN подключался к чему-то другому, чем серверы в США, OkayFreedom — это еще одна услуга, которая предлагает некоторую свободную пропускную способность. Существует некоторая путаница в том, сколько разрешенного трафика вы фактически получаете с бесплатной версией. На веб-сайте говорится, что вы получаете 2 ГБ в месяц, но после установки программное обеспечение сообщило нам, что у нас было 9,8 ГБ в месяц в течение почти 6 месяцев.

Okayfreedom VPN free Okayfreedom VPN free

OkayFreedom предлагает подключение к 23 странам, все из которых доступны в бесплатной версии.Есть упоминание о поддержке рекламы OkayFreedom, но мы ничего не заметили во время тестирования. Это не значит, что реклама не будет отображаться в какой-то момент. На бесплатных сайтах часто проводятся акции для OkayFreedom, чтобы увеличить пределы пропускной способности, на что стоит обратить внимание.

Загрузить OkayFreedom


4. Tor Browser

Tor Browser — это проект с открытым исходным кодом, основанный на Mozilla Firefox и считающийся одним из самых безопасных способов просмотра Интернета без отслеживания его участниками.Он работает путем маршрутизации вашего интернет-трафика через несколько случайных серверов в сети Tor, что означает, что интернет-провайдеры и другие организации не знают, куда направляется ваш трафик. По сути, вы должны иметь возможность просматривать любой веб-сайт без ограничений.

Tor browser Tor browser

Если вам не повезло, что ваша страна или Интернет-провайдер блокируют Tor, есть встроенная опция, чтобы помочь обойти проблему. Это достигается за счет использования незарегистрированных ретрансляторов (серверов), которые помогают запутывать трафик Tor, затрудняя его обнаружение.Не используйте торрент через сеть Tor, поскольку она не предназначена для этого. Также не рекомендуется устанавливать другие расширения браузера Firefox, и вы должны просто использовать Tor Browser как есть.

Загрузить Tor Browser Bundle

На странице 2 мы покажем еще несколько вариантов обхода интернет-фильтрации, будь то от Streamyx или любого другого интернет-провайдера.

,

Как исправить Этот сайт был заблокирован вашим провайдером в Windows 10?

‘Идите туда, куда ведет ваше сердце’
Гао Синцзянь

В последние годы все мы сталкивались с многочисленными веб-ограничениями и ограничениями. На самом деле цензура и наблюдение в Интернете быстро становятся неотъемлемой частью наших обществ. Мы согласны с тем, что это, несомненно, средство пресечения пиратства и подавления определенных ужасных действий.Однако интернет-провайдеры иногда блокируют веб-сайты, которые имеют мало общего с фактическим преступлением. И тогда наступает сопротивление, которое побуждает нас искать способы доступа к закрытым веб-сайтам.

Если это ваш случай, вы на правильном пути, так как мы подготовили исчерпывающее руководство по разблокировке сайтов на ПК. Все методы, перечисленные ниже, просты и легко реализуемы, поэтому для достижения цели не требуются ни специальные знания, ни навыки.

Тем не менее, помните, что многие веб-сайты были заблокированы по уважительной причине, поэтому будьте осторожны при изучении Интернета и защитите свой компьютер от вредоносных атак.Убедитесь, что у вас установлен надежный антивирусный продукт, или настройте Защитник Windows для обеспечения постоянной защиты. Кроме того, мы настоятельно рекомендуем вам использовать Auslogics Anti-Malware, поскольку этот инструмент может выслеживать угрозы, о которых вы даже не подозревали.

РЕКОМЕНДУЕТСЯ

Защитите ПК от угроз с помощью Anti-Malware

Проверьте свой компьютер на наличие вредоносных программ, которые ваш антивирус может пропустить, и безопасно удалите угрозы с помощью Auslogics Anti-Malware

СКАЧАТЬ СЕЙЧАС

Тем не менее, вот наши 10 советов, которые помогут вам обойти блокировку сайтов интернет-провайдерами в Windows 10:

1.Используйте VPN

Если веб-сайт, к которому вы пытаетесь получить доступ, заблокирован вашим интернет-провайдером, использование виртуальной частной сети (VPN) на самом деле является самым простым способом обойти данное ограничение.

Начнем с того, что VPN является наиболее полезной технологией: она повышает вашу безопасность и конфиденциальность, предоставляя зашифрованные соединения, предотвращая проникновение вредоносных программ и вирусов и создавая нежелательный контент, рекламу и всплывающие окна, которые расширяют возможности вашего экрана. И вдобавок ко всему, VPN могут убрать ограничения, наложенные на желательные сайты.Звучит прекрасно, не правда ли?

На рынке представлено множество отличных инструментов VPN, и вы можете выбрать любой из них, в зависимости от ваших потребностей и бюджета. Некоторые VPN являются бесплатными, в то время как некоторые продукты премиум-класса могут вызвать кашель — выбор за вами. Во всяком случае, есть решение для всех.

Если у вас уже есть VPN, попробуйте использовать его для доступа к любому веб-сайту, заблокированному вашим провайдером. Если ваше VPN-соединение не работает, обязательно ознакомьтесь с нашей статьей: в ней полно проверенных исправлений.

И, наконец, не забывайте, что использование VPN не делает ваш просмотр на 100% безопасным, особенно если вы заходите на сайты, которые ваш интернет-провайдер считает блокирующими. Поэтому будьте бдительны, обновляйте программное обеспечение, создавайте и храните надежные пароли и избегайте фишинг-атак. Кроме того, рассмотрите возможность использования специального программного обеспечения, которое предотвратит нарушения безопасности и утечки данных. Например, Auslogics BoostSpeed ​​защитит вашу конфиденциальность и улучшит производительность вашего компьютера с Windows 10.

2. Переключиться на общедоступный DNS

Изменение настроек системы доменных имен (DNS) — эффективный обходной путь для преодоления цензуры и фильтрации в Интернете.

Вот что вы должны сделать, чтобы трюк заработал:

  1. Перейдите на панель задач -> Найдите значок подключения -> щелкните по нему правой кнопкой мыши.
  2. Перейдите в Настройки сети и Интернета -> Выберите Изменить параметры адаптера.
  3. Найдите ваше соединение -> щелкните по нему правой кнопкой мыши и откройте Свойства.
  4. Выберите Интернет-протокол версии 4 (TCP / IPv4) и введите его свойства.
  5. Находясь на вкладке Общие, установите флажок Использовать следующие адреса DNS-серверов.
  6. Перейдите на предпочитаемый DNS-сервер и установите его на 8.8.8.8.
  7. Перейдите на альтернативный DNS-сервер и введите 8.8.4.4.
  8. Нажмите OK, чтобы подтвердить ваши настройки.

Надеюсь, теперь вы можете получить доступ к веб-сайтам с ограниченным доступом.

Тем не менее, интернет-провайдеры в наши дни довольно проницательны: у некоторых из них есть свои собственные способы запретить тем, кто использует публичные DNS-серверы, доступ к заблокированным веб-сайтам.К счастью, не нужно отчаиваться: у вас все еще есть множество хитростей — просто продолжайте читать и продолжайте прилагать усилия.

3. Используйте IP-адреса, а не URL-адреса

Хотя интернет-провайдеры печально известны тем, что блокируют определенные URL-адреса, большинство IP-адресов таким образом не преследуются. Вот как вы можете использовать эту ситуацию в своих интересах:

  1. Нажмите клавишу с логотипом Windows + S, чтобы открыть панель поиска Windows.
  2. Введите «cmd» (без кавычек) и выберите командную строку из списка.
  3. Запустите командную строку от имени администратора (щелкните ее правой кнопкой мыши и выберите необходимый параметр).
  4. Введите следующую команду (без http: // www.) И нажмите Enter:
    tracert + URL
  5. Теперь вы можете увидеть IP-адрес.
  6. Скопируйте это. Затем вставьте его в адресную строку браузера.

Не повезло? Затем перейдите к следующему обходному пути — ваш триумф еще впереди.

4. Используйте прокси-сайты

Прокси-сайты

могут стать удачей, если ваш веб-сайт заблокирован вашим интернет-провайдером.Прокси-сайт — это сторонняя онлайн-служба, которая будет маскировать ваш IP-адрес и поможет вам преодолеть блокировку, чтобы вы могли получить необходимую информацию. Единственная проблема заключается в том, что этот метод замедляет ваше соединение, поэтому убедитесь, что оно до сих пор находится в пиковом состоянии.

5. Используйте прокси-расширения браузера

Использование прокси-расширения для браузера — хороший способ взломать блокировки и фильтры, поэтому вы можете выбрать и добавить лучшее расширение для вас, в зависимости от вашего браузера. Однако имейте в виду, что это решение ограничивает скорость вашего интернет-соединения.

6. Используйте сервис Google Translate

Это действительно удивительный трюк: старый добрый Google Translate может реально спасти ваш день, помогая вам обойти ограничения, наложенные вашим боссом провайдером.

Вот что вы должны сделать:

  1. Откройте сервис Google Translate.
  2. Введите URL-адрес веб-сайта, который вы хотите разблокировать, в поле ввода текста.
  3. Перейдите к полю вывода текста и установите его на язык, который вы хотите видеть на нужных страницах.
  4. После завершения перевода ссылка в поле перевода станет активной.
  5. И вуаля, теперь вы можете увидеть, что вы хотите через Google Translate.

7. Попробуйте короткие URL-адреса

Этот метод прост и эффективен: просто скопируйте URL заблокированного веб-сайта и вставьте его в онлайн-службу сокращения URL-адресов. Короткая версия, которую вы получите, вероятно, проведет вас через блокировку.

8. Используйте HTTPS

К сожалению, это решение не будет работать со всеми веб-сайтами, но все же стоит попробовать.Чтобы перейти к варианту HTTPS, сделайте следующее: запустите браузер и замените свою часть адреса «http: //» на «https: //» или поставьте «https: //» перед частью «www.». Теперь вы должны быть в состоянии обойти ограничение.

9. Преобразование веб-сайтов в PDF

И еще один способ разблокировки сайтов на ПК: вы можете использовать доступные онлайн-сервисы для преобразования веб-сайтов в PDF-файлы, которые сделают желаемый контент доступным в виде красивых печатных листов.

10. Использование интернет-архивов

Пока нет успеха? Ну, это может означать, что ваш провайдер украл у вас марш и предвидел уловки.В таком случае мы советуем вам искать цифровые архивы, в которых могут храниться копии веб-страниц, к которым у вас нет прямого доступа.

Мы надеемся, что вам удалось достичь желаемого контента.

У вас есть идеи или вопросы по этому вопросу?

Ждем ваших комментариев!

,

Как заблокировать любой веб-сайт на вашем компьютере, телефоне или в сети

Существует несколько причин, по которым вы можете заблокировать определенные веб-сайты на своем компьютере. Некоторые веб-сайты могут распространять вирусы, содержать явный контент или даже пытаться украсть ваши личные данные. Хотя вы вполне можете избежать этих сайтов, но это не относится ко всем, кто использует ваше устройство. В таких случаях может быть лучше заблокировать определенные веб-сайты.

Существуют различные способы блокирования веб-сайтов.Вы можете заблокировать веб-сайты только в определенных браузерах, во всей операционной системе или даже на сетевом маршрутизаторе. Вот как можно заблокировать сайты.

На вашем компьютере

Если вы хотите контролировать доступ к веб-сайтам только на одном компьютере, вы можете настроить блокировку на уровне операционной системы. Этот метод блокировки сайтов не слишком сложен в настройке и будет работать в разных браузерах.

Как заблокировать любой веб-сайт на компьютерах под управлением Windows

Одной из магистралей Интернета является система DNS, которая переводит легко запоминающиеся (и вводимые) имена, такие как www.google.com на эквивалентные IP-адреса (8.8.8.8). Хотя вы используете DNS-серверы для доступа к веб-сайтам, на вашем компьютере также есть файл HOSTS, в котором эта информация может храниться локально. Это можно использовать для отключения доступа к нежелательным веб-сайтам. Мы проверили этот метод в Windows 7 и Windows 8.

1. Убедитесь, что у вас есть права администратора на вашем компьютере. Войдите в свой компьютер, используя учетную запись администратора, и перейдите в C: \ Windows \ System32 \ drivers \ etc \

2. Дважды щелкните файл с именем «hosts» и выберите «Блокнот» в списке программ, чтобы открыть файл.Нажмите ОК. Последние две строки вашего файла hosts должны читать «# 127.0.0.1 localhost» и «# :: 1 localhost».

2а. Если вы не можете отредактировать файл, вам нужно будет щелкнуть правой кнопкой мыши файл с меткой hosts и выбрать «Свойства». Перейдите на вкладку «Безопасность», выберите учетную запись администратора и нажмите «Изменить».

2б. Во всплывающем окне снова выберите учетную запись и установите флажок Полный доступ. Нажмите Применить> Да. Теперь нажмите OK во всех всплывающих окнах.

3. В конце файла вы можете добавить адреса сайтов для блокировки.Для этого просто добавьте строку в конце файла с 127.0.0.1, а затем имя сайта, который вы хотите заблокировать — это перенаправит имя сайта на ваш локальный компьютер.

4. Чтобы заблокировать Google, например, добавьте «127.0.0.1 www.google.com» в конец файла без кавычек. Вы можете заблокировать столько сайтов, сколько хотите, но помните, что вы можете добавить только один в каждой строке.

5. Повторяйте этот шаг, пока не добавите все сайты, которые хотите заблокировать.

6. Теперь закройте файл hosts и нажмите Сохранить.Перезагрузите компьютер, чтобы изменения вступили в силу, и вы увидите, что все эти сайты теперь заблокированы.

How to Block Any Website On Windows Computers

Как заблокировать любой веб-сайт на вашем Mac

Вот как можно заблокировать сайты в OS X.

  1. 1. Убедитесь, что у вас есть доступ администратора к вашему Mac. Теперь откройте Терминал. Вы можете найти его в / Applications / Utilities / Terminal.
  2. 2. Введите sudo nano / etc / hosts и нажмите ввод. Введите пароль пользователя (логин) при появлении запроса.
  3. 3. Откроется файл / etc / hosts в текстовом редакторе. Введите название веб-сайта в новой строке в этом формате «127.0.0.1 www.blockedwebsite.com» (без кавычек). Для каждого веб-сайта, который вы хотите заблокировать, начните новую строку и введите ту же команду, указав только имя заменяемого веб-сайта. Когда закончите, нажмите Ctrl + X, а затем Y, чтобы сохранить изменения.
  4. 4. Теперь введите команду sudo dscacheutil -flushcache и нажмите Enter или перезагрузите компьютер, чтобы убедиться, что веб-сайты заблокированы.

Как заблокировать любой веб-сайт на уровне браузера

Блокировка веб-сайта в любом браузере — это самый простой способ выполнить свою работу.

В Firefox вы можете установить дополнение BlockSite для блокировки веб-сайта.

  1. Установите аддон, нажмите Ctrl + Shift + a и щелкните Расширения слева. Теперь нажмите «Параметры» под BlockSite. Во всплывающем окне нажмите «Добавить» и введите название веб-сайта, который вы хотите заблокировать. Повторите процедуру для всех веб-сайтов, к которым вы не хотите получать доступ.Нажмите ОК.
  2. Теперь эти сайты будут заблокированы в Firefox. Вы также можете установить пароль в BlockSite, чтобы другие пользователи не могли редактировать список заблокированных веб-сайтов. Это можно сделать через меню параметров, описанное в предыдущем шаге.

BlockSite также доступен в Google Chrome.

Internet Explorer позволяет легко блокировать веб-сайты. Вот как.

  • Откройте браузер и выберите Сервис (alt + x)> Свойства обозревателя. Теперь перейдите на вкладку «Безопасность», а затем нажмите красный значок «Запрещенные сайты».Нажмите кнопку «Сайты» под значком.
  • Теперь во всплывающем окне вручную введите сайты, которые вы хотите заблокировать, по одному. Нажмите «Добавить» после ввода названия каждого сайта. Когда закончите, нажмите Закрыть и нажмите OK во всех других окнах. Теперь эти сайты будут заблокированы в Internet Explorer.

На вашем телефоне или планшете

Как заблокировать любой веб-сайт на вашем iPhone и iPad

У Apple есть несколько удобных инструментов родительского контроля, которые позволяют блокировать определенные веб-сайты.Вот как.

  1. Выберите «Настройки»> «Основные»> «Ограничения».
  2. Нажмите на Включить ограничения. Теперь установите пароль для ограничений. В идеале это должно отличаться от пароля, который вы используете для разблокировки телефона.
  3. После установки пароля прокрутите вниз и коснитесь Веб-сайты. Здесь вы можете либо ограничить контент для взрослых, либо разрешить доступ только к определенным веб-сайтам.
  4. Только на определенных веб-сайтах есть короткий список разрешенных веб-сайтов, включая Discovery Kids и Disney, но вы также можете добавить сайты, нажав Добавить веб-сайт.
  5. Если вы нажмете «Ограничить контент для взрослых», Apple заблокирует веб-сайты, которые считаются нежелательными, но вы можете добавить веб-сайты в белый список, нажав «Добавить веб-сайт» в разделе «Всегда разрешать», или внести их в черный список, нажав в нем в разделе «Никогда не разрешать».
  6. Если вы попытаетесь получить доступ к заблокированному веб-сайту, вы увидите сообщение о том, что оно ограничено. Нажмите «Разрешить веб-сайт» и введите код ограничения, чтобы открыть этот веб-сайт.

How to Block Any Website On Your iPhone and iPad

Как заблокировать любой веб-сайт на вашем телефоне Android

В Android есть несколько разных вещей, которые вы можете сделать.Если у вас есть рутированный телефон, вы можете заблокировать сайты, отредактировав файл hosts на своем устройстве, чтобы перенаправить сайты, которые вы хотите заблокировать. Вам понадобится файловый менеджер и текстовый редактор — самый простой вариант — использовать наше любимое приложение ES File Explorer, которое позволяет вам делать обе вещи. Вот как это работает.

  1. Установите ES File Explorer. Откройте ES File Explorer и нажмите кнопку меню в левом верхнем углу. Нажмите Локальный> Устройство> Система> и т. Д.
  2. В этой папке вы увидите файл с именем hosts — нажмите его, а во всплывающем меню нажмите текст.В следующем всплывающем окне нажмите ES Note Editor.
  3. Нажмите кнопку редактирования в верхней панели.
  4. Теперь вы редактируете файл, а для блокировки сайтов вы хотите перенаправить их DNS. Для этого просто начните новую строку и введите «127.0.0.1 www.blockedwebsite.com» (без кавычек, где заблокированный веб-сайт — это имя блокируемого сайта) для каждого веб-сайта, который вы хотите заблокировать. Например, вам нужно будет набрать 127.0.0.1 www.google.com, чтобы заблокировать Google.
  5. Перезагрузите устройство Android.

Если этот метод слишком сложен для вас, вы можете установить антивирусное приложение, такое как Trend Micro, которое позволяет блокировать веб-сайты.

  1. Установите приложение и запустите его. Перейдите в Опции> Безопасный серфинг.
  2. Теперь проведите до пункта «Родительский контроль» и нажмите «Настройка учетной записи». Создайте учетную запись, и вы увидите опцию «Список заблокированных» в приложении. Нажмите на нее и нажмите Добавить. Теперь добавьте сайты, которые вы хотите заблокировать по одному. Как только это будет сделано, вы не сможете получить доступ к этим сайтам на своем смартфоне Android.

Как заблокировать любой веб-сайт на Windows Phone

Вы не можете сделать полный блок веб-сайтов на Windows Phone, но вы можете скачать браузер AVG Family Safety. По умолчанию он блокирует веб-сайты со злонамеренным или явным содержимым, а если вы приобрели антивирусную лицензию AVG и создали учетную запись, вы можете настроить список заблокированных веб-сайтов.

Как заблокировать любой веб-сайт в вашей сети

Если у вас есть сеть Wi-Fi в доме, проще настроить блокировку нежелательных веб-сайтов через маршрутизатор Wi-Fi.Большинство маршрутизаторов не имеют очень удобных интерфейсов, поэтому это может быть немного сложным, и, конечно, шаги могут отличаться для каждого маршрутизатора, но основной процесс, который вы выполняете, довольно похож, так что если вы просто немного терпеливы На самом деле это довольно легко.

Изменение неправильной настройки может случайно отключить ваше соединение, поэтому, если вы застряли, немедленно позвоните своему провайдеру.

  1. Мы попробовали это на маршрутизаторе Beetel 450TC1, предоставленном MTNL в Дели, и на маршрутизаторе Binatone, предоставленном Airtel.Шаги были абсолютно одинаковыми для обоих. Для начала вам нужно перейти в настройки вашего роутера. Откройте любой браузер и введите 192.168.1.1 в адресной строке. Нажмите Ввод. Некоторые маршрутизаторы используют другой адрес, поэтому, если это не сработает, проверьте, не указано ли это в документации вашего интернет-провайдера.
  2. Теперь вам нужно будет ввести имя пользователя и пароль. Это было бы установлено во время установки вашего соединения — по умолчанию обычно используются имя пользователя: admin и пароль: пароль. Если нет, обратитесь к своему провайдеру и получите правильное имя пользователя и пароль.
  3. Как упоминалось ранее, интерфейс может отличаться. В нашем маршрутизаторе MTNL мы обнаружили, что можем блокировать веб-сайты в разделе «Управление доступом»> «Фильтр».
  4. Здесь есть раскрывающееся меню «Выбор типа фильтра». Мы выбрали URL Filter и набрали веб-сайт, который хотели заблокировать, в поле URL ниже. Над этим полем есть опция Active. Здесь мы увидели две кнопки, Да и Нет. Мы выбрали Да и нажали Сохранить. Это заблокировало сайт в нашей сети.
  5. С помощью этого метода вы можете создать 16 списков заблокированных веб-сайтов, каждый из которых содержит 16 веб-сайтов, что позволит вам заблокировать до 256 веб-сайтов.Опять же, это будет отличаться от маршрутизатора или маршрутизатора.

Это руководство должно было помочь вам заблокировать сайты практически на любом устройстве. Если вам известны другие способы блокировки сайтов, сообщите нам об этом через комментарии. Для получения дополнительной информации посетите наш раздел Как.

Как разблокировать сайты в школе, дома или на работе

Как разблокировать сайты в школе, дома или на работе | стой

Логотип Амеба

Значок безопасности

Значок безопасности Белый

Иконка Конфиденциальность

Значок Производительность

Иконка Конфиденциальность

Значок безопасности

Значок Производительность

Icons / 45/01 Безопасность / Другие угрозы

Иконы / 32/01 Безопасность / Вредоносные программы

Иконы / 32/01 Безопасность / Вирусы

Icons / 32/01 Безопасность / Другие угрозы

Иконки / 32/01 Безопасность / Пароли

Иконки / 32/01 Безопасность / Ransomware

,

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *