h2. Общее описание
Иногда есть ресурс, который заблокирован несколькими способами в реестре РКН (URL+IP):
1. Целиком по IP, соответственно блокируется на маршрутизаторе, никаких TCP-соединений на него не устанавливается, HTTP-редиректы не срабатывают:
<ip>1.2.3.4</ip>
<ip>2.3.4.5</ip>
</content>
2. Конкретные http-ссылки, из-за которых блокировка по домену не применяется:
<url>[http://badsite.com/bla]</url>
<url>[http://badsite.com/blabla]</url>
<url>[http://badsite.com/blablabla]</url>
<domain>badsite.com</domain>
<ip>1.2.3.4</ip>
<ip>2.3.4.5</ip>
h2. Проблема
В итоге имеем следующую ситуацию - абонент хочет открыть сайт. Вбивает адрес в браузер, всё просто "тормозит", а потом не открывается.
DNS-спуфинга нет, поэтому абонент идёт на реальный IP сайта, который заблокирован на маршрутизаторе.
h2. Решение
h4. Вариант 1: простой, но не совсем удобный
Для конкретных сайтов вручную добавлять их в /usr/local/Reductor/lists/provider/our.domain_mask
h4. Вариант 2: сложнее, но изящнее (не понятно как на него будет реагировать ревизор)
Для списка IP на маршрутизаторе сделать следующую политику:
Обращение по запрещенному IP на порт 80 - DNAT на страницу заглушки
Обращение по запрещенному IP на порт 443 - DNAT на страницу заглушки
Все остальные обращения на запрещенный IP - DROP
Иногда есть ресурс, который заблокирован несколькими способами в реестре РКН (URL+IP):
1. Целиком по IP, соответственно блокируется на маршрутизаторе, никаких TCP-соединений на него не устанавливается, HTTP-редиректы не срабатывают:
<ip>1.2.3.4</ip>
<ip>2.3.4.5</ip>
</content>
2. Конкретные http-ссылки, из-за которых блокировка по домену не применяется:
<url>[http://badsite.com/bla]</url>
<url>[http://badsite.com/blabla]</url>
<url>[http://badsite.com/blablabla]</url>
<domain>badsite.com</domain>
<ip>1.2.3.4</ip>
<ip>2.3.4.5</ip>
h2. Проблема
В итоге имеем следующую ситуацию - абонент хочет открыть сайт. Вбивает адрес в браузер, всё просто "тормозит", а потом не открывается.
DNS-спуфинга нет, поэтому абонент идёт на реальный IP сайта, который заблокирован на маршрутизаторе.
h2. Решение
h4. Вариант 1: простой, но не совсем удобный
Для конкретных сайтов вручную добавлять их в /usr/local/Reductor/lists/provider/our.domain_mask
h4. Вариант 2: сложнее, но изящнее (не понятно как на него будет реагировать ревизор)
Для списка IP на маршрутизаторе сделать следующую политику:
Обращение по запрещенному IP на порт 80 - DNAT на страницу заглушки
Обращение по запрещенному IP на порт 443 - DNAT на страницу заглушки
Все остальные обращения на запрещенный IP - DROP