Jak wdrożyć ustawę hazardową 2017 w sieci ISP (Mikrotik, Bind, Dnsmasq) - kazuko.pl

W ubiegłym tygodniu w czasie spotkania KIKE z UKE omawialismy m.in. sposób realizacji zadań nałożonych na ISP w związku z ustawą hazardową. Wchodzą one 1.07.2017 r. i nakładają na wszystkich operatorów telekomunikacyjnych obowiązek przekierowywania zapytań abonentów na specjalną stronę w przypadku prób połączenia się z jedną ze wskazanych przez Ministerstwo Finansów stron hazardowych.

Brak jest przepisów wykonawczych i wytycznych (co niestety typowe), a i sam obowiązek jest dyskusyjny (opublikujemy na dniach nasze pismo do MF), ale bazując na dotychczasowych konsultacjach wydaje się, iż zadanie dotyczy przede wszystkim odpowiedniego skonfigurowania serwerów DNS pod dane dostarczane przez Ministerstwo Finansów. Naszym zdaniem nie ma odpowiedzi na pytanie, co gdy ISP nie ma serwerów DNS lub abonenci korzystają z obcych DNSów. Nieskuteczność jakiegokolwiek blokowania gwarantują też VPNy sieć Tor, itd. Skupmy się więc na tym, co zrobić ISP może i to prosto oraz bezkosztowo (poza odrobiną czasu).

Dziś publikujemy nietypowy wpis, ale bardzo na czasie. 

Jeśli nie wiecie jak zablokować wpisy na własnych serwerach DNS (proxy DNS) zajrzyjcie tutaj:
https://kazuko.pl/page/ustawaHazardowa2017vsISP

Znajdziecie tu krótkie wprowadzenie do problemu i co najważniejsze - gotowe rozwiązania pod Bind'a, Mikrotika i DNSmasq. Seba zrobił świetną robotę. A skrypty dość łatwo jest dostosowac do własnych potrzeb. Polecam.

* * *

[Aktualizacja 31.05.] 
Opisane wyżej rozwiązanie wymaga jednego komentarza.

Co do zasady autor proponuje uruchomienie skryptu pobierającego informacje z własnego serwera. Oczywiście fajnie jest wiedzieć, ile osób korzysta z naszego rozwiązania. Jednak w przypadku ew. awarii lub innych problemów pośrednika, skutki dla ISP mogą być jednoznaczne negatywne.

Na kazuko.pl opublikowany jest jednak na końcu wpisu również skrypt w perlu, który pobiera dane bezpośrednio ze stron MF i tworzy właściwe pliki dla w/w 3 platform. Z punktu widzenia pewności źródła i ew. kontroli (oraz ew. sporów w przypadku postępowań dot. nie zablokowania jakiejś strony) wydaje się wskazane, by w naszych firmach wdrożyć rozwiązanie łączące się bezpośrednio ze stronami MF.gov.pl, raczej bez pośrednictwa serwerów trzecich.

By działał - należy doinstalować paczkę: libxml-simple-perl.

Oczywiście trzeba go zapiąc z crona. Dla wygody warto też przeedytować np. dla Binda do poniższej formy skrypt perl wskazując od razu lokalizację pliku strefy:

my $fileBindOld = ( -e "/etc/bind/named.conf.hazard-redirect" ? join("\n", fileRead("/etc/bind/named.conf.hazard-redirect")) : "");
if(trim($fileBindOld) ne trim($fileBindNew)) {
fileWrite("/etc/bind/named.conf.hazard-redirect", $fileBindNew);

Unikniemy dodatkowego kopiowania pobranych danych do pliku strefy lub budowania odnośnika do /tmp/bind.txt

Skrypt jest bardzo fajnie opisany, więc jego modyfikacja pod Wasze potrzeby nie powinna stanowić problemu nawet dla niezbyt zaawansowanych adminów. Jeszcze raz dzięki dla Seby. Skrobnijcie do niego podziękowania, jeśli skorzystacie z rozwiązania - szczególnie pomijając jego serwer. ;-] Warto pamiętać o takich 'drobiazgach'.