Konkurence blokuje naše stránky

[svestka]

já narazil na to, že jedna z našich veřejným IP je na jakémsi blacklistu (asi z ní něco spamového lezlo, čert ví), a zrovna jakýsi obchodní partner našeho klienta ten blacklist používal nejen k blokaci pošty, ale všeho, tedy i p:80

[zubodravec]

Over si ze nejsi nekde na black listu tvoje IP na ktere je web , ted se to stalo nam, a nebyly dostupny nekter domeny tretiho radu z cizich DNS serveru, presny duvod jsme dosdu nezjistil. ... edit Aha on uz asi Okoun to tady nakousnul

Ahoj,

dneska mi zákazník hlásil, že se nemůže přes svou druhou přípojku kterou má u konkurence připojit na naše webovky. Nelenil jsem a kolegu jsem poslal, aby to prověřil na jejich free wifi, myslel jsem si, že někdo nebude takový looser, aby se snížil k filtrování provozu.

A hle, ono to tak je, ping prochází, ale webovky se nenačítají, evidentně filtr na port a url.

Nějaký nápad, jak toto řešit? Dám to do reklamy na všechny letáky, konec konců, je to naše plus, že se nás konkurence bojí, ale přijde mi to hloupé...

[Majklik]

já narazil na to, že jedna z našich veřejným IP je na jakémsi blacklistu (asi z ní něco spamového lezlo, čert ví), a zrovna jakýsi obchodní partner našeho klienta ten blacklist používal nejen k blokaci pošty, ale všeho, tedy i p:80

Jo, dneska se dá na blacklist dostat i mnoha dalšíma způsoby, než jen posílání mail SPAMu, dost často třeba, pokud je detekován z tvých IP scan nějakým známějším botnetem, tak jdeš na blacklist, takže už neprojde pak ani mail/web/... Proto je velmi dobré mít mail brány a svoje servery na jiných IP, než kam NATuji klienty, aby mi nějaký takový trotlík nebloknul vše. Nicméně, tento případ to asi nebude.

no této DNS kulišárně by se mělo dát ochránit pomocí dnssec či tam mít nějaký certifikát pro ten web, více by snad věděl majklik

Dle popisu tazatele se neprovádí manipulace s DNS. Byla by v tomto případě i blbost. Pokud jsme přímo v toku dat, což jak ISP jsem, tak si přesměruji/profiltruji přímo IP a nešaškuji s DNS. To dělám v pípadě, že se hlavně nejsem schopen dostat do cesty těch spojení. Navíc, zákoš nemusí používat moje DNS, ale nějaké jiné, takže pak bych musel dělat i únos a přesměrování DNS dotazů k sobě. To už je jednodušší prznit přímo ty IP spojení.
Jinak DNSSEC není všemocný, pokud bude zdrojové DNS poedpsáno a Hapi by ho prznil, tak DNSSEC jen dokáže zabránit přesměrování jinam, nedokáže zabránit znepřístupnění toho webu. Nicméně je podmínkou, jak uvádí správně Dalibor, že koncový klient musí dělat si u sebe validaci DNSSECem sám. Pokud ji nedělá a věří DNS serverům Hapiho, tak si s ním může hrát jak bílý tygr s Indem. Pokud by zákazníkův router dělal DNSSEC validaci (předpoklad, že Hapi nemá pod kontrolou zákazníkův router), forwardingem nebo únosem skrz Hapyho DNS a on to poprznil, tak router zákoše to neověří a nevrátí DNS data a hodí, že doména/záznam neexistuje, takže nedojde k přesměrování na podvržený DNS záznam, ale ani ke spojení jinam (což je bráno jako lepší stav, než být někde špatně poslán). Domácích routerů dělajících DNSSEC validaci, to je skoro nula - Tautusy a kdo má WRT s novým dnsmasq, kteýr to už umí. Potom může dělat i validaci plugin v prohlížeči (dle nastavení buď nepustí na podvodné přesměrováni nebo pustí, ale bude řvát, že nejde ověřit), tak to má stále pár koncáků. To je obecná aktuální slabina DNSSEC, a to zabezpečení poslední míle. Třeba Windwos7+ DNSSEC podporuje, ale je to je řešení pro korporátní prostředí a ne na doma.