Неприятная хрень
IT уголовные дела СОРМ россиюшкаТут случилась неприятная хрень, которая — вроде бы, мелочь, но тенденция мне максимально не нравится.
Был бы Алексей свободе — мы бы всё очень быстро разрулили, он бы хорошенько отпинал своих айтишников, но он сидит, а объяснения в твиттере и в личках не помогают.
Сейчас будет достаточно большая предыстория, но это важно.
Последние примерно полтора-два года многие замечали, что через Wi-Fi в московском и питерском метро, который предоставляет компания МаксимаТелеком, не работают ресурсы Навального: navalny.com, shtab.navalny.com, fbk.info и другие.
Сначала мне сказал об этом один из читателей в твиттере, после чего я спустился в метро с ноутбуком, подключился к Wi-Fi и во всём разобрался.
Дело в том, что ФБК и штабы Навального используют для защиты от DDoS-атак популярный сервис CloudFlare.
CloudFlare пользуются миллионы ресурсов в мире и тысячи ресурсов в России — если падает CloudFlare, кажется, что упал почти весь интернет.
Сервис CloudFlare отдаёт большое количество сайтов с одних и тех же IP-адресов — адресов много, но там есть некоторый лимит, например 200 ресурсов на пару адресов.
Огромное количество IP-адресов CloudFlare блокируется Роскомнадзором каждый день: услугами CF пользуется много сайтов, которые не любит РКН, вроде всяких казино и так далее.
Так случилось и с IP-адресами, которые CF отдаёт для этих ресурсов ФБК и Навального — их забанили в паре с другими доменами много разных судов.
Вот IP, в которые резолвятся navalny.com и остальные ресурсы ФБК и Навального прямо сейчас: 104.18.40.57 и 104.18.41.57.
Прогоняем их через сервис проверки РКН и видим, что оба адреса заблокированы аж пять раз.
Через некоторое время, с таким же вопросом ко мне обратился кто-то из старой IT-команды ФБК (это всегда для ФБК бесплатно), которая была ещё при бывшем директоре Романе Рубанове.
Я сказал, что IP-адреса CF, на которых они хостят ваши домены, заблокированы, и предложил варианты решения этой проблемы:
1. ФБК и ресурсы Навального атакуют не каждый день, и совсем не обязательно использовать CF постоянно.
Можно поднять свои фронт-серверы, и когда нет DDoS-атак, направлять трафик на них — тогда у пользователей Wi-Fi в метро всё будет работать
(P.S. Честно говоря, я сталкивался с этими атаками, и от большинства из них можно отбиться парой хорошо настроенных фронт-серверов с хорошим bw, но не суть);
2. Говорят, что CF на платных тарифах (у ФБК, как раз, такой), соглашается поменять IP-адреса на не-забаненные в России, да ещё и на выделенные — то есть, они будут использоваться только для вашего ресурса.
Можно попробовать обратиться в поддержку и попросить их это сделать.
После этой консультации, сотрудники IT-отдела ФБК выбрали первый вариант, и основное время, когда нет атак, не использовали CF, благодаря чему ресурсы были доступны в метро.
Прошло время, сотрудники в IT-отделе ФБК сменились, CF однажды включили и с тех пор не выключали.
Соответственно, ресурсы в метро работать перестали.
Недавно увидел твит с очередным негодованием по поводу этого, под которым объяснил, почему так происходит.
А сегодня Навальный.Лайв выпустил позорный и возмутительный ролик, где Кира Ярмыш рассказывает, что в метро незаконно блокируют ресурсы ФБК и Навального.
Я знаю, что IT-отдел ФБК в печальном состоянии, но это не помешало тому, что я нахожусь, мягко говоря, в полнейшем удивлении.
1. Ни один человек из ФБК не разобрался с тем, что происходит и как это решить.
2. Ни один человек из ФБК не обратился ко мне (напомню, это бесплатно) с просьбой объяснить, почему так происходит и как это решить — как это сделала предыдущая команда, и это было решено.
Ежу понятно, что блокировки сайтов — незаконные с точки зрения здравого смысла и того, к чему мы стремимся.
Но есть два варианта:
— Ты кричишь, какие плохие и незаконные блокировки, требуешь от МаксимыТелеком начать нарушать закон — но от этого ресурсы не начнут открываться у пользователей.
— Ты разбираешься с проблемой и решаешь её.
Я бы мог ругаться на всех провайдеров, что они, гады такие, исполняют антиконституционные законы оккупационного режима, а мог бы сделать зеркало Умного Голосования vote2019.appspot.com, которое работает уже полгода.
Я мог бы ругаться на МаксимуТелеком, а мог бы подсказать айтишникам ФБК, как сделать их сайты доступными в метро.
И т.д.
P.S.
Интересно, каким же удивлением станет для сотрудников IT ФБК тот факт, что ресурсы не открываются ещё через кучу российских провайдеров 🤔
Тут же как всё устроено: часть провайдеров стала игнорировать блокировки IP-адресов из подсетей CF, потому что абоненты ругаются и не понимают, почему куча их любимых сайтов, которых нет в реестре, не открываются. А часть, конечно же, ничего не игнорирует, и блокирует — в их числе оказалась МаксимаТелеком.