Роскомсвобода: Роскомнадзор заблокировал localhost (127.0.0.1, свой компьютер), но исправился

Развитие событий: Роскомнадзор объяснил блокировку localhost саботажем провайдера (13 декабря 2016)

Уберите руки от клавиатур, ваш компьютер — запрещён:

В соответствующей записи реестра указывается (вернее, их две), что надзорное ведомство заблокировало этот IP по решению Мосгорсуда № 3−1115/2016 от 19 октября 2016 года. Но в данном решении суда значится только непосредственно имя домена (karaoke-besplatno.ru), которое необходимо заблокировать, а про IP-адреса там речь не идут. Отсюда следует вывод, что внесение IP локалхоста в реестр запрещенных сайтов инициатива самих сотрудников Роскомнадзора, которые отвечают за обработку судебных решений.

Термин localhost (так называемый, «локальный хост») — по смыслу обозначает «этот компьютер», собственный компьютер, ваш (роскомнадзоровский), сам для себя.

Кроссовки «Адидас», запрещенные на территории Российской Федерации

Роскомнадзор заблокировал localhost (127.0.0.1)

Добавить 17 комментариев

  • Ответить
    Tvolod ВебЛаб

    Очередная либеральная псевдотехническая лапша.
    Во-первых, стыдно не знать, что Роскомнадзор никого не блокирует, а всего лишь ведёт реестры запрещённых страниц и IP адресов, которые обязаны использовать провайдеры. А если это знать, то получается, что Роскомнадзор «заблокировал» кого угодно, но только не себя.
    Во-вторых, ежу понятно, что вносятся в базу не IP, а домены. Список IP получается автоматом. Значит сенсация высосана из того события, что какой-то нейм-сервер вернул локалхост в ответ на каой-то запрос. Афигеть смешно!

  • Ответить

    >Во-вторых, ежу понятно, что вносятся в базу не IP, а домены. Список IP получается автоматом.

    То есть, по-вашему, владелец заблокированного сайта может вызвать блокировку любого ресурса, прописав для своего имени его IP, роскомнадзор без проверки этот IP заблокирует и это не тянет на сенсацию, да?

  • Ответить

    Ежу-то может быть и понятно, только на самом деле все не так.
    В списках и домены, и IP, а веселую лавочку «заблокируй Роскомнадзор поменяв запись, А в регистраторе имен» прикрыли еще в самом начале истории, после первых двух случаев.

  • Ответить
    Tvolod ВебЛаб

    Зараза, если убрать слово «любого» и представить себе, что какие-то ещё дополнительные проверки при этом наверняка производятся, то я с вами соглашусь. Теоретически, наверное, это возможно. НО!
    В статье то вообще не об этом речь идет. Статья о том как пальцем деланные гебешники опять обделались, выстрелив себе в ногу. А это очевидная ложь. И очевидно, что писавший об этом знает.
    А постоянство, с которым РОЕМ тянет подобную тряхомудию к себе на ленту, заставляет задуматься или о квалификации, или об ангажированности. А скорее всего и о том, и о другом…

  • Ответить

    надо сказать, что статья и правда безграмотная, но в другом смысле. Tvolod прав эмоционально, но технически, увы, нет. поправим его.

    итак, если грубо, то запись в реестре РКН может содержать:
    1. домен и IP-адрес
    2. домен и параметр «блокировать по домену» — здесь нужно резолвить самому.
    3. маску домена, IP-адреса и параметр «блокировать по маске» (*.roem.ru)
    4. просто IP-адрес

    в любом случае, если для записи roem.ru в реестре появляется адрес 127.0.0.1, то ничего не произойдет, потому что в фильтрующую систему просто не попадет пакет с IP-DST=127.0.0.1, эти пакеты всегда остаются на локальной системе. и при корректной работе фильтра пакеты идущие от клиентов оператора связи к сайту roem.ru успешно минуют фильтр, потому что IP-DST не будет совпадать с тем, который содержится в реестре.

    надо сказать, что крупные операторы не мудрствуют с соответствием адресов и доменов, а блокируют по URL, и неважно, какие там адреса сейчас резолвятся и какие в реестре.

  • Ответить

    Крио, вдумчиво перечитайте что я написал. блокируется не «адрес из реестра», а пакет, проходящий через систему фильтрации, у которого IP-DST="адресу из реестра". поэтому, если в реестр записать у какого-то сайта адрес 127.0.0.1, то никакой пакет не заблокируется вообще, потому что пакет с DST=127.0.0.1 дальше хоста пользователя не уйдет, и соответственно в систему фильтрации не попадёт.

    и на ваше «важно, потому что блокируют И по URL и по IP адресу» еще раз повторю, что крупные операторы блокируют просто по URL, не заморачиваясь с соответствием адресов в реестре и в IP пакете. делается это потому что коробочка РКН дурная, и не понимает что домен не всегда резолвится в те же адреса, которые указаны в реестре, и не учитывая этот момент считается как незаблокированный ресурс. чтобы не разбираться с РКН в этих частностях, проще заблокировать всё вообще, чтобы все были рады.

  • Ответить

    Вполне себе можно заблокировать. Если, например, блокировка организуется через добавление маршрутов в blackhole, как это наверняка сделано у многих мелких провайдеров, то можно и вообще весь трафик через устройство заблокировать, отправив в блекохол маршрут для 127.0.0.1.

  • Ответить

    да, можно придумать сценарий, когда значение ipAddress из реестра так вставляется в систему маршрутизации оператора связи, что всё ломается. но мы вроде бы говорили не об альтернативно одаренных администраторах, а о том как великий и ужасный РКН заблокировал лично твой комп, %username%.

    или вы хотели про альтернативно одаренных?

  • Ответить

    А что будет если РКН начнет блеклистить сетки RFC 1918 или мультикасты, тоже на альтернативную одаренность валить, должны были предвидеть?
    РКН, как регулятор, должен сглаживать техническую безграмотность судов, а не демонстрировать собственную. А сейчас это как регулировщик на перекрестке, призванный насаждать административный кодекс, но не знающий ПДД.

  • Ответить

    А что будет если РКН начнет блеклистить сетки RFC 1918 или мультикасты

    бабушка, быстро ты читать не умеешь, поэтому пишу тебе медленно.

    короткий ответ: ничего не будет.

    длинный ответ: трафик на любые адреса, в котором нет HTTP (S), пройдет через систему фильтрации без собственно фильтрации, а если это HTTP (S), то будет проверено соответствие адреса и URL, и только в случае совпадения будет показана плашка «заблокировано».

    а у крупных операторов и вовсе ничего не будет, потому что фильтруют просто URL, безотносительно адресов. тонкостей реализации не знаю, сужу по результату.

    про альтернативно одаренных, опять же, не говорим.

  • Ответить

    Транстелеком — маршуритизирует трафик для блокированных IP в отдельную сеть (TTK-SECURITY) и там блекхолит по всем протоколам.

    ЭР-Телеком (Дом.Ру) — машрутизирует трафик для блокированных IP на отдельный хост law.filter.ertelecom.ru и там терминирует по всем протоколам.

    в общем кругом альтернативно одаренные, потому что все дартаньяны у ашманова с касперской, сидят и знают.

  • Ответить

    Вообще мир так устроен. У провайдера — маршрутизаторы. Они хорошо умеют маршрутизировать и плохо умеют фильтровать. Одаренность администраторов на этот факт не влияет, поэтому на уровне провайдерской инфрастрктуры блокировки вполне себе обычно делаются маршрутизацией и кривые адреса в фидах от РКН запросто могут поломать маршрутизацию.

    То что хороший администратор должен быть одаренней сотрудника РКН и фильтровать фиды от РКН, выкидывая из них специальные сети и адреса собственной инфраструктуры и своих пиров, а не тупо следовать букве закона — это да. Но задача ни разу не простая, между прочим.

  • Ответить

    У провайдера — маршрутизаторы. Они хорошо умеют маршрутизировать и плохо умеют фильтровать. … поэтому на уровне провайдерской инфрастрктуры блокировки вполне себе обычно делаются маршрутизацией

    это альтернативно одаренные фильтруют маршрутизацией, маршрутизируют коммутацией, едят руками и пьют из луж. нормальные русские люди © маршрутизацией перенаправляют (то есть — маршрутизируют) трафик в фильтрующий сегмент, где фильтруют с помощью оборудования DPI или прозрачного прокси.

    поэтому правильно вы написали — крупные операторы маршрутизируют трафик для блокируемых адресов в фильтрующий сегмент, где с ними и разбираются. иначе зачем бы им был вообще нужен этот отдельный сегмент, если на любом маршрутизаторе можно, выражаясь вашим языком, блекхолить.

    а как эти самые крупные операторы получают эти самые блокируемые адреса — я написал выше — не факт, что вообще смотрят на адреса в реестре, разве что для записей, для которых явно указано, что нужно не просто фильтровать HTTP, а блокировать весь трафик по IP.

    и я вам даже больше скажу: маршрут 127.0.0.1 в сторону (или от — кому как нравится) фильтрующего сегмента, полученный по внутреннему BGP абонентскими шлюзами/агрегаторами, в нормальной системе ничего не сломает. как пелось в одной песне, «вы просто поверьте, а поймете потом».

  • Ответить

    На том и порешим. Трафик со всей сети оператора идет голубиной почтой без всяких маршрутов, в выделенный сегмент где и перерабатывается в электричество. Команды голубям передаются по BGP (который внезапно научился анонсировать отдельные IP адреса) через абонентское устройство, смешанный с семечками.

  • Ответить

    На том и порешим…
    BGP (который внезапно научился анонсировать отдельные IP адреса)

    так как вы не специалист, то для вас это внезапно. между тем, стандарт не запрещает анонсировать /32. на том и порешим?