zapret icon indicating copy to clipboard operation
zapret copied to clipboard

Published 20 hours ago verified publisher icon bol-van

get_reestr_preresolved : нужна коллективная помощь

Open bol-van opened this issue 1 year ago • 7 comments

Решил сделать свой сервис по обработке выгрузки реестра РКН. Главная мотивация - отсутствие ipv6 в решениях от antifilter.network Для получения листов используйте get_reestr_preresolved.sh и get_reestr_preresolved_smart.sh

На данный момент листы формируются из 4 источников :

  1. Ресолвятся все домены из реестра блокированных сайтов РКН
  2. Подход 1 не может учесть поддомены , не перечисленные в реестре. Их список приходится вести вручную. Потому если вы вдруг встретились с таким случаем, что блокируемый поддомен не учтен в ipset, можете постить сюда название. Поддомены легко выявить в броузере по кнопке F12.
  3. Всегда может быть преднамеренная зловредность в форме помещения в DNS IP адресов других сервисов типа сбербанка. Все бы ничего, ведь мы не блокируем, а наоборот - пробиваем блокировку. Однако, не всем сайтам или их системам защиты от DDoS атак понравятся методы атаки на DPI. Сайт может сломаться. Такие случаи собираюсь обыгрывать в виде белого списка либо по IP, если он статический, либо по автономным системам, если он прыгающий. Но от вас нужна информация какие незаблокированные РКН сайты ломаются от обхода блокировок и с какими параметрами пытались обходить. Это тот случай, когда большинство ресурсов работает нормально, кроме некоторых незаблокированных. Если оно не работает массово - это не тот случай. Актуально, даже если вы не пользуетесь скриптами get_reestr_preresolved, а проблема возникла при применении zapret или GoodByeDPI в других настройках. Потому что сегодня, предположим, сбербанка нет среди заресолвленного ip листа, а завтра он появится. Чтобы проблема не появилась внезапно.
  4. Крупные сайты и хостинги используют прыгающие IP адреса. Что это такое ? Это когда вы заресолвили rutracker.org, и вам выдало одно. Через час - то же самое. А через день - другое. С другого провайдера или страны - другое. Прыгание может идти как по geoip, так и просто ради балансировки нагрузки через DNS. В этом случае ipset будет работать нестабильно. Я не знаю иного способа надежно решить вопрос, кроме как добавлять полностью диапазоны IP автономных систем. На данный момент это cloudflare, twitter, facebook. Если у вас есть что добавить к этому пункту - пишите.

get_reestr_preresolved.sh - это пункты 1, 2, 3 get_reestr_preresolved_smart.sh - это пункты 1, 2, 3, 4

листы уже пре-обработаны ip2net

bol-van avatar Dec 11 '22 09:12 bol-van