Re: ftp.cn.debian.org 近期问题的暂定解决办法

设备可以在干路，也可以在旁路。旁路也可以分析出有哪些域名在访问。 更尴尬的是，现在很多设备真的在干路。 2017-10-19 10:28 GMT+08:00 atzlinux : > 中国的机房有成千上万个。进行基于域名的封堵，需要特殊的网络设备（防火墙）支持才行，一般的二层交换机，路由器等，是无法基于七层的 http > 协议进行域名筛选，封堵。 > > 有很多机房的网络流量也比较大，如果对所有 http 流量进行此类筛选，估计设备性能也扛不住。 > > 只不过国家级的

Re: ftp.cn.debian.org 近期问题的暂定解决办法

怎么做的就不细说了，能说的是，设备是放在机房的。而且是运营商自己出钱买的。 2017-10-19 10:28 GMT+08:00 atzlinux : > 中国的机房有成千上万个。进行基于域名的封堵，需要特殊的网络设备（防火墙）支持才行，一般的二层交换机，路由器等，是无法基于七层的 http > 协议进行域名筛选，封堵。 > > 有很多机房的网络流量也比较大，如果对所有 http 流量进行此类筛选，估计设备性能也扛不住。 > > 只不过国家级的 GFW，是有这个能力的，但是放在中国互联网国际出口侧，国内用户访问国内服务器，不受 GFW 影响。 >

Re: ftp.cn.debian.org 近期问题的暂定解决办法

中国的机房有成千上万个。进行基于域名的封堵，需要特殊的网络设备（防火墙）支持才行，一般的二层交换机，路由器等，是无法基于七层的 http 协议进行域名筛选，封堵。 有很多机房的网络流量也比较大，如果对所有 http 流量进行此类筛选，估计设备性能也扛不住。 只不过国家级的 GFW，是有这个能力的，但是放在中国互联网国际出口侧，国内用户访问国内服务器，不受 GFW 影响。 反而基于 IP 的封堵，比较简单，常见的网络设备都可以支持。在实际操作中，机房运营商收到网监的消息，都是进行封 IP  处理。 在 2017年10月19日 01:08, Shell Xu 写道: >

Re: ftp.cn.debian.org 近期问题的暂定解决办法

http是明文流量，所以头部会有Host: 信息。当这个信息里的Host和IP对应不上机房备案记录时，干掉这个TCP。所以，可以精准封锁某个特定域名而用不着误伤IP。比较麻烦的是以IP形态直接访问的网站，这些网站的备案都会比较麻烦。 2017-10-19 0:51 GMT+08:00 atzlinux : > 比较好奇政府监管部门使用什么技术能够监控到一个IP 对应多个域名的情况？ > > 如果采取一刀切的话，某几个国外色情网站域名的三级域名，指向中央政府网站的 IP ，也能够说这些色情域名没有备案，需要把 IP 给封了吗？ > >

Re: ftp.cn.debian.org 近期问题的暂定解决办法

比较好奇政府监管部门使用什么技术能够监控到一个IP 对应多个域名的情况？ 如果采取一刀切的话，某几个国外色情网站域名的三级域名，指向中央政府网站的 IP ，也能够说这些色情域名没有备案，需要把 IP  给封了吗？ 肖盛文 在 2017年10月18日 07:24, 风间星魂 写道: > 仔细看法规,每个都需要 > > atzlinux >于2017年10月17日 > 周二20:00写道： > > 是不是对政府备案要求有些误会呢？ > > 一个IP对应的 80