Vlákno názorů k článku Blokování hazardu: jak měl správně vypadat zákon od P3p1n - A co ISPs kteří do klientů naťukávají 8.8.8.8?...
-
M. (neregistrovaný)
Ano, ty co mám ISP v dosahu, tak vidí směr nejměně pracnou cestou unést spojení na port 53 (osvícenější jen pro tu cílovou IP 8.8.8.8, kterou lidem nastavovali) někam, kde to něco profiltruje.
Ono přenastavit pár set nebo i více klientů dá celkem dost práce, aby místo 8.8.8.8 měli přímo něco jiného (většina z nich má statické manuální konfigurace v koncových routerech a ne DHCP/PPPoE/TR-069). -
Ondřej CaletkaZlatý podporovatelÚnos spojení je poměrně závažný delikt proti síťové neutralitě, který je hazardním zákonem jen těžko obhajitelný, takže pro účastníka je to na reklamaci služby, včetně případné eskalace směrem k ČTÚ. To když už, tak pouze selektivně firewallem zahazovat DNS dotazy a/nebo odpovědi pro doménová jména na blacklistu.
Pokud jsou zařízení ve výlučné správě operátora, asi by je měl mít možnost hromadně dálkově překonfigurovat, taková akce je z dlouhodobého hlediska i levnější, než cokoli unášet. Pokud jsou zařízení ve správě zákazníků, stačí je prokazatelně spravit (například na vyúčtování) o nutnosti změnit adresu DNS serveru a tím se zbavit odpovědnosti.
-
To když už, tak pouze selektivně firewallem zahazovat DNS dotazy a/nebo odpovědi pro doménová jména na blacklistu.
Hm. A jak v iptables tedy odfiltruju DNS dotazy na konkretni domenu? To v iptables jde? Prdpokladam, ze tvurci iptables nebrali v potaz moznost nasazeni iptables pro aplikaci zakona psaneho nekompetentnimi hnupy, ale pouze nasazeni na normalni ulohy, ktere firewall obvykle dela. A spousta ISP nejspis linuxove FW pouziva.
-
M. (neregistrovaný)
ISPík, co je technologicky tak na výši, že používá linux firewall, tak jednak může použít zmíněny iptables string modul: .... -m string --string "mfcr.cz" -j DROP, ale ten asi bude schopen mít i vlastní resolver nad linuxem pro zákazníky a nedělat unášení portů, co čeká spíše na ty, co žádné resolvery nemají a hitorick žijí z Google public DNS.
Unášení vidím jen u těch, kde nic jiného, jak mikrotik nebo ubiquity krabičky v celé síti nenajdete. Ale i u těch jde v RouterOS celkem snadno dropovat konkrétní pakety v /ip firewall filter pomocí L7 filtru. Někteří tak plánují činiti, jako menší formu zla.To o tom "Pokud jsou zařízení ve výlučné správě operátora, asi by je měl mít možnost hromadně dálkově překonfigurovat,", tak to opravdu u naprosté většiny nefunguje, to zcela přesahuje představivost a schopnosti. :-)
