🤾 🈵 🎠 कानून संख्या 139-एफजेड: एक छोटे प्रदाता से देखें 👩🏿‍🤝‍👩🏼 👦🏾 🌠

कुछ हफ़्ते पहले, मेरे अच्छे दोस्त (एक शहर में अंशकालिक सिस्टम प्रशासक, लेकिन एक बहुत बड़े प्रदाता नहीं), Roskomnadzor के सहयोगियों ने बहाना किया कि आईपी द्वारा, बेशक, अवरुद्ध साइटों को ब्लॉक करता है, लेकिन URL या डोमेन द्वारा पूरी तरह से, लेकिन साथ एक निषिद्ध संसाधन के आईपी पते को बदलना, यह फिर से खोलना शुरू कर देता है। एक दोस्त ने मेरे भाग्य के बारे में शिकायत की, साथ ही यह भी कहा कि कुख्यात नंबर 139-एफजेड की आवश्यकताओं का पालन करने में विफल रहने के लिए उन्हें पहले ही एक बार व्यक्तिगत रूप से जुर्माना लगाया गया था।

इस प्रदाता के लिए कनेक्शन योजना इस प्रकार है:

सभी उपयोगकर्ता (स्थिर आईपी खरीदने वालों को छोड़कर) NAT के पीछे हैं;
NAT को सामान्य डेबियन से कम पर सामान्य अग्रेषण के रूप में लागू किया जाता है;
प्रत्येक NAT में कम से कम नियमित रूप से iptables होते हैं;
इसके दो DNS सर्वर एक ही डेबियन और पावरडएनएस पर चल रहे हैं।

कुछ विचार के बाद, साथ ही मेरे घुटने पर परत 7 को छानने के बारे में जानकारी प्राप्त करने के बाद, Google ने हमें बताया कि इस तरह की चीजें महंगे उपकरण की प्रबलता हैं, और iptables के लिए l7- फ़िल्टर ने लंबे समय तक विकास करना बंद कर दिया है। उसके बाद, हम परदे के पीछे की दिशा में सोचने लगे। हम में से किसी ने भी औद्योगिक पैमाने पर विद्रूप के साथ काम नहीं किया, लेकिन नगीनेक्स के साथ काफी प्रयोग किए गए थे - इगोर सियोसेव द्वारा एक बहुत शक्तिशाली उत्पाद।

कार्य की सामान्य योजना निम्नानुसार विकसित की गई थी:

NAT पर iptables सभी DNS प्रश्नों को स्वीकार करता है और उन्हें हमारे DNS सर्वर पर पुनर्निर्देशित करता है;
DNS सर्वर ज़ोन को प्रतिबंधित संसाधनों सहित, एक पुनरावर्ती के माध्यम से अपडेट करने की कोशिश किए बिना रखता है;
इन संसाधनों के लिए एक एकल पते वाले ये क्षेत्र नगनेक्स के साथ सर्वर पते को दर्शाते हैं।

यह स्पष्ट है कि nginx कॉन्फ़िगरेशन और निषिद्ध संसाधनों के क्षेत्रों की सूची को गतिशील रूप से अपडेट किया जाना चाहिए: Roskomnadzor की आवश्यकताओं को दिन में 3 बार आवृत्ति का संकेत मिलता है। नुकसान भी स्पष्ट है: HTTPS के माध्यम से पहुंच या तो सीमित या अनुमत होगी, लेकिन अपने स्वयं के प्रमाण पत्र का उपयोग करना होगा, अन्यथा हमारे नग्नेक्स के माध्यम से यातायात एन्क्रिप्ट किया जाएगा और यह अपने मुख्य कार्य (फ़िल्टरिंग) को करने में सक्षम नहीं होगा। दूसरे विकल्प में, गलत प्रमाणपत्र के लिए क्लाइंट ब्राउज़र का दुरुपयोग अपरिहार्य है। इसके अलावा, यदि Google डोमेन की सूची का पता लॉक के अंतर्गत आता है, और क्लाइंट के पास Google क्रोम स्थापित है, तो क्लाइंट क्लाइंट को इन साइटों को सिद्धांत रूप में नहीं जाने देगा। लेकिन अन्य सीमित विकल्प हम सीमित समय के लिए आविष्कार नहीं कर सके। तो, हमें क्या मिला:

एक स्क्रिप्ट जो प्रतिबंधित साइटों की सूची डाउनलोड करती है (सादे XML अनुरोध के बाद SOAP सेवा द्वारा प्रदान की जाती है। प्रत्येक प्रदाता के लिए अद्वितीय प्रमाण पत्र का उपयोग करके प्राधिकरण की आवश्यकता होती है)।
एक स्क्रिप्ट जो एक DNS सर्वर में ज़ोन की सूची लोड करती है।
एक स्क्रिप्ट जो नगीनेक्स के लिए आवश्यक कॉन्फ़िगरेशन बनाती है।

मैं पहली स्क्रिप्ट नहीं दूंगा: प्रदाता स्वयं जानते हैं कि जानकारी कैसे प्राप्त की जाए, और आम उपयोगकर्ताओं के लिए इसका खुलासा करने की अनुशंसा नहीं की जाती है।

दूसरी स्क्रिप्ट (SQL, PowerDNS डेटाबेस के साथ काम करने के लिए):

USE pdns; create temporary table if not exists dump( domain text ); TRUNCATE TABLE dump; load data local infile '/opt/zapret/dump.xml' into table dump LINES STARTING BY '<domain>' TERMINATED BY '</domain>' (@tmp) SET domain = ExtractValue(@tmp, '/'); create temporary table if not exists locked( domain varchar(767) primary key ); TRUNCATE TABLE locked; INSERT INTO locked SELECT DISTINCT domain FROM dump; create temporary table if not exists locked1( domain varchar(767) primary key ); TRUNCATE TABLE locked1; INSERT INTO locked1 SELECT * FROM locked; DELETE FROM l USING locked l INNER JOIN locked1 l1 ON l.domain=SUBSTR(l1.domain from 5); UPDATE locked SET domain=SUBSTR(LCASE(domain) FROM 5) WHERE LEFT(LCASE(domain), 4) = 'www.'; DELETE FROM locked WHERE domain LIKE '%youtube.com' OR domain LIKE '%google.com' OR domain LIKE '%google.ru'; create temporary table if not exists old_locked( id int, domain varchar(767) primary key ); TRUNCATE TABLE old_locked; INSERT INTO old_locked SELECT DISTINCT d.id, d.name as domain FROM domains d INNER JOIN records r ON d.id=r.domain_id WHERE r.content='1.2.3.4' AND d.name NOT LIKE '%provider.ru'; INSERT INTO domains (name, master, last_check, type, notified_serial, account) SELECT n.domain, NULL, NULL, 'NATIVE', NULL, NULL FROM locked n LEFT JOIN old_locked o ON n.domain=o.domain WHERE o.domain IS NULL; INSERT INTO records (domain_id, name, type, content, ttl, prio, change_date, ordername, auth) SELECT d.id AS domain_id, d.name, 'SOA' as type, 'ns.provider.ru dns.provider.ru 2014022701 28800 7200 604800 86400' as content, 86400 as ttl, 0 as prio, 1393508792 as change_date, '' as ordername, 1 as auth FROM domains d INNER JOIN locked l ON d.name=l.domain LEFT JOIN old_locked o ON d.name=o.domain WHERE o.domain IS NULL; INSERT INTO records (domain_id, name, type, content, ttl, prio, change_date, ordername, auth) SELECT d.id AS domain_id, CONCAT('*.', d.name), 'A' as type, '1.2.3.4' as content, 86400 as ttl, 0 as prio, 1393508820 as change_date, '' as ordername, 1 as auth FROM domains d INNER JOIN locked l ON d.name=l.domain LEFT JOIN old_locked o ON d.name=o.domain WHERE o.domain IS NULL; DELETE FROM r, d USING records r INNER JOIN domains d ON r.domain_id=d.id INNER JOIN old_locked o ON d.name=o.domain LEFT JOIN locked l ON o.domain=l.domain WHERE l.domain IS NULL;

इस स्क्रिप्ट को निष्पादित करने के बाद, आपको निष्पादित करना याद रखना चाहिए

 # pdnssec rectify-all-zones

परिवर्तनों के बारे में पावरडाउन को जागरूक करना।

तीसरी स्क्रिप्ट (एक अवरुद्ध सूची बनाना):

 <?php $xml = simplexml_load_file ('/opt/zapret/dump.xml'); $dirty = array(); $excl = array(); $excl[] = 'youtube.com'; $excl[] = 'google.ru'; $excl[] = 'google.com'; $excl[] = 'badsite.org'; foreach($xml as $node) { if( strlen( (string)$node->domain )>0 ) { $parsed = parse_url((string)$node->url); if( $parsed!=false ) { if( isset($parsed['path']) ) { if( isset($parsed['scheme']) ) $scheme = $parsed['scheme'] . "://"; else $scheme = "http://"; if( isset($parsed['port']) ) { $port = ':' . $parsed['port']; if( $scheme=="https://" ) $port = $port . " ssl"; } else { if( $scheme=="https://" ) $port = ":443 ssl"; else $port = ":80"; } $port = $port . ";"; $domain = (string)$node->domain; if( strcmp(strtolower(substr($domain, 0, 4)), 'www.') == 0 ) $domain = substr($domain, 4); if( isset($parsed['query']) ) $que = $parsed['query']; else $que = ''; $que = str_replace('\\E', '\\E\\\\E\\Q', $que); $que = '\\Q' . $que . '\\E'; if ( strcmp($que, '\\Q\\E')==0 ) $que = ''; $path = $parsed['path']; $path = str_replace('\\E', '\\E\\\\E\\Q', $path); if ( strcmp($path, '/')<>0 ) { $path = '\\Q' . $path . '\\E'; if ( strcmp($path, '\\Q\\E')==0 ) $path = ''; } $keys = preg_grep('/' . $domain . '/', $excl); if( count($keys)<1 ) $dirty[] = array('domain'=>$domain, 'url'=>(string)$node->url, 'loc'=>$path, 'query'=>$que, 'port'=>$port, 'scheme'=>$scheme); } } } } // ..   ,     $dirty[] = array('domain'=>'badsite.org', 'url'=>'badsite.org', 'loc'=>'/', 'query'=>'', 'port'=>':80;', 'scheme'=>'http://'); $sort_func = function($obj_1, $obj_2) { return strnatcasecmp($obj_1['domain'] . $obj_1['url'], $obj_2['domain'] . $obj_2['url']); }; $domains = array_unique($dirty, SORT_REGULAR); usort($domains, $sort_func); $old_domain = ""; $old_loc = ""; $wasroot = false; $alldomain = false; $allloc = false; foreach($domains as $node) { $domain = $node['domain']; $url = $node['url']; $loc = $node['loc']; $query = $node['query']; $port = $node['port']; $scheme = $node['scheme']; // echo "\n1. Root " . (string)$wasroot . "; alldomain " . (string)$alldomain . "; alloc " . (string) $allloc . "; loc '" . $loc . "'; query '" . $query . "'\n"; if( strcmp($domain, $old_domain) ) { loc_close( $old_loc, ($alldomain || $wasroot || $allloc)); dom_close( $old_domain, $wasroot ); dom_open( $domain, $port, $scheme ); $old_loc = ''; $alldomain = false; $wasroot = false; } if( !$alldomain ){ if( strcmp($loc, $old_loc) ) { loc_close( $old_loc, ($alldomain || $allloc) ); loc_open( $loc ); $allloc = false; } if( strlen($loc)<2 && strlen($query)>0 ) $wasroot = true; if( strlen($loc)<2 && strlen($query)<1 ) { $alldomain = true; $wasroot = true; } if( strlen($query)<1 ) $allloc = true; if( !$allloc ) args_check( $query ); } // echo "\n2. Root " . (string)$wasroot . "; alldomain " . (string)$alldomain . "; alloc " . (string) $allloc . "; loc '" . $loc . "'; query '" . $query . "'\n"; $old_loc = $loc; $old_domain = $domain; } loc_close( $loc, ($alldomain || $wasroot || $allloc) ); dom_close( $domain, $wasroot ); function loc_close( $_loc, $_alldomain ) { if (strlen($_loc)>0 ) { if( $_alldomain ) { ?> return 301 http://eais.rkn.gov.ru/; <?php } else { //if ( strcmp($_loc, '/')==0 ) { ?> include /etc/nginx/proxy_params; if ($args = '') { proxy_pass $scheme://$host$uri; } if ($args != '') { proxy_pass $scheme://$host$uri?$args; } <?php } echo " } # location\n"; } } function dom_close( $_dom, $_wasroot ) { if( strlen($_dom)>0 ) { if( !$_wasroot ) { ?> location / { include /etc/nginx/proxy_params; if ($args = '') { proxy_pass $scheme://$host$uri; } if ($args != '') { proxy_pass $scheme://$host$uri?$args; } } #root location <?php } echo "} #domain\n"; } } function loc_open( $_loc ) { ?> location ~* <?php echo $_loc . "* {\n"; ?> <?php } function dom_open( $_domain, $_port, $_scheme ) { ?> server { listen 1.2.3.4<?php echo $_port; if( strcmp( $_scheme, 'https:\/\/' )==0 ) echo ' ssl'; ?> server_name <?php echo $_domain . " " . "*." . $_domain . ";\n"; } function args_check( $_query ) { if ( strlen($_query)>0 ) { echo "\t if (\$args ~* \""; if(strlen($_query)>0) echo $_query; echo "*\") {\n"; echo "\t\treturn 301 http://eais.rkn.gov.ru/;\n"; echo "\t } #args\n"; } else echo "\treturn 301 http://eais.rkn.gov.ru/;\n"; } ?>

तीसरी लिपि के परिणामों के आधार पर, हमें nginx के लिए कॉन्फ़िगरेशन मिलता है, जो डोमेन नाम को प्राप्त करता है। इस घटना में कि पते को अवरुद्ध किया गया है, पता eais.rkn.gov.ru पर बिना शर्त पुनर्निर्देशित (301) किया जाता है - निषिद्ध साइटों की रजिस्ट्री।
एक ताला तीन प्रकार का हो सकता है:

1. संपूर्ण डोमेन। ऐसी साइटों के लिए, हमें निम्नलिखित प्रविष्टि मिलती है:

 server { listen 1.2.3.4:80; server_name badsite.org *.badsite.org; location ~* /* { return 301 http://eais.rkn.gov.ru/; } # location } #domain

2. डोमेन में परिभाषित URL। इस मामले में, हमें एक और प्रविष्टि मिलती है:

 server { listen 1.2.3.4:80; server_name badsite.hk *.badsite.hk; location ~* \Q/h/\E* { return 301 http://eais.rkn.gov.ru/; } # location location ~* \Q/h/res/214.html\E* { return 301 http://eais.rkn.gov.ru/; } # location location / { include /etc/nginx/proxy_params; if ($args = '') { proxy_pass $scheme://$host$uri; } if ($args != '') { proxy_pass $scheme://$host$uri?$args; } } #root location } #domain

3. एक विशिष्ट URL के लिए विशिष्ट तर्क (उदाहरण के लिए, PHPBB में एक विशिष्ट पोस्ट):

 server { listen 1.2.3.4:80; server_name badsite.com *.badsite.com; location ~* \Q/forum/viewforum.php\E* { if ($args ~* "\Qf=6\E*") { return 301 http://eais.rkn.gov.ru/; } #args if ($args ~* "\Qf=6&start=25\E*") { return 301 http://eais.rkn.gov.ru/; } #args include /etc/nginx/proxy_params; if ($args = '') { proxy_pass $scheme://$host$uri; } if ($args != '') { proxy_pass $scheme://$host$uri?$args; } } # location location / { include /etc/nginx/proxy_params; if ($args = '') { proxy_pass $scheme://$host$uri; } if ($args != '') { proxy_pass $scheme://$host$uri?$args; } } #root location } #domain<

और, ज़ाहिर है, डिफ़ॉल्ट में संबंधित पते के सभी अनुरोधों को अग्रेषित करना है (बस मामले में):

 server { listen 1.2.3.4:80 default_server; location / { include /etc/nginx/proxy_params; if ($args = '') { proxy_pass $scheme://$host$uri; } if ($args != '') { proxy_pass $scheme://$host$uri?$args; } } } server { listen 1.2.3.4:443 ssl default_server; location / { include /etc/nginx/proxy_params; if ($args = '') { proxy_pass $scheme://$host$uri; } if ($args != '') { proxy_pass $scheme://$host$uri?$args; } } }

कॉन्फ़िगरेशन को जनरेट करने के बाद आपको कहना चाहिए

 # service nginx reload

जो नग्नेक्स को पुराने पूलों को धीरे से बुझाने के द्वारा कॉन्फ़िगरेशन को फिर से लोड करने के लिए कहता है।

एक सप्ताह पहले nginx वाले सिस्टम का परीक्षण शक्ति के लिए किया गया था, जब youtube.com की एक क्लिप को इस सूची में जोड़ा गया था। स्मृति की खपत में वृद्धि के अलावा, कोई दुष्प्रभाव नहीं देखा गया। हम ग्राहकों के साथ संपर्क को बनाए रखने के लिए मेमोरी खपत को दूर करने में कामयाब रहे। लेकिन यह उपयोगकर्ताओं के लिए बहुत सुविधाजनक नहीं था, बेशक: youtube.com पर वीडियो देखना और डाउनलोड करना आम तौर पर काम करता था, लेकिन कई वीडियो https का उपयोग करके अन्य पृष्ठों में एम्बेड किए गए थे, और ब्राउज़र उन्हें एक स्पूफ प्रमाण पत्र के साथ प्रदर्शित नहीं करना चाहते थे। प्रदाता के नेतृत्व के विलफुल निर्णय द्वारा, डोमेन google.com, google.ru, youtube.com को अपवादों की सूची में डाल दिया गया था, और साइटों में से एक को "इसके विपरीत अपवादों" की सूची में शामिल किया गया था: यह पूरी तरह से अवरुद्ध करने का एक लंबा निर्णय है, लेकिन यह इस रजिस्ट्री में अनलोड है केवल दो प्रतिबंधित URL के साथ।
सामान्य तौर पर, यह समाधान एक छोटे प्रदाता के लिए काफी कारगर साबित होता है जो हमारे रूसी कानून की कठिन परिस्थितियों में काम करना जारी रखना चाहता है।

कानून संख्या 139-एफजेड: एक छोटे प्रदाता से देखें

More articles: