Общее описание
Иногда есть ресурс, который заблокирован несколькими способами в реестре РКН (URL+IP):
1. Целиком по IP, соответственно блокируется на маршрутизаторе, никаких TCP-соединений на него не устанавливается, HTTP-редиректы не срабатывают:
<ip>1.2.3.4</ip>
<ip>2.3.4.5</ip>
</content>
2. Конкретные http-ссылки, из-за которых блокировка по домену не применяется:
<url>http://badsite.com/bla</url>
<url>http://badsite.com/blabla</url>
<url>http://badsite.com/blablabla</url>
<domain>badsite.com</domain>
<ip>1.2.3.4</ip>
<ip>2.3.4.5</ip>
Проблема
В итоге имеем следующую ситуацию - абонент хочет открыть сайт. Вбивает адрес в браузер, всё просто "тормозит", а потом не открывается.
DNS-спуфинга нет, поэтому абонент идёт на реальный IP сайта, который заблокирован на маршрутизаторе.
Решение
Вариант 1: простой, но не совсем удобный
Для конкретных сайтов вручную добавлять их в /usr/local/Reductor/lists/provider/our.domain_mask
Вариант 2: сложнее, но изящнее (не понятно как на него будет реагировать ревизор)
Для списка IP на маршрутизаторе сделать следующую политику:
Обращение по запрещенному IP на порт 80 - DNAT на страницу заглушки
Обращение по запрещенному IP на порт 443 - DNAT на страницу заглушки
Все остальные обращения на запрещенный IP - DROP