Блокировка HTTP/HTTPS в сторону Linode, OVH, Fastly, Digital Ocean, Scaleway

На части провайдеров наблюдаю недоступность HTTP/HTTPS на портах 80, 443 при подключении к IP-адресам Linode и OVH. Запрос «застывает».

Заблокированы диапазоны, как минимум:

  • 51.68.188.0/22
  • 51.38.124.0/22
  • 50.116.0.0/18
  • 151.101.0.0/16
  • 206.189.65.0/24
  • 51.15.0.0/17

Несколько примеров заблокированых ресурсов:
https://tkgeisel.com - Linode (50.116.10.238)
https://nmap.org - Linode (50.116.1.184)
http://50.116.3.249 - Linode
http://51.68.190.107 - OVH DE2
http://51.38.124.173 - OVH DE2
https://reddit.com - Fastly
https://gitlab.redox-os.org - Digital Ocean (206.189.65.122)

Блокируется на:

ISP AS Location
Beeline/Corbina AS8402 Tula
ER-Telecom Holding AS56981 Tomsk
Rostelecom AS12389 Kemerovo
P.a.k.t LLC AS39087 Saint Petersburg
UBS (ubsnet.ru) AS50042 Sevastopol
Igra-Service AS33991 Krasnoyarsk

ovhlinode-05.07.2024-pakt.pcapng (4.9 KB)

Это похоже на динамические блокировки Psiphon. Фильтр, по который я видел ранее (в прошлом месяце), был без таймаута — отправив TCP или UDP-пакеты на два и более IP-адреса Psiphon, доступ ко многим диапазонам OVH, Fastly, Akamai блокировался навсегда для этого IP-адреса, и восстановить доступ можно было только сменой адреса (переподключением роутера).

Что при этом интересно, рубятся не все .TLD.

Так висим:
curl -Svk https://nmap.org --connect-to ::50.116.1.184
curl -Svk https://nmap.com --connect-to ::50.116.1.184
curl -Svk https://nmap.net --connect-to ::50.116.1.184

А так все ОК:
curl -Svk https://nmap.gov --connect-to ::50.116.1.184
curl -Svk https://nmap.ru --connect-to ::50.116.1.184

И так ОК:
curl -Svk https://nm.com --connect-to ::50.116.1.184

Зачем так сложно заморачиваются?

Да, если здесь заменить https:// на http://, то висим везде.

Дополнительно: если на IP-адресе есть служба SSH (как минимум на 22 порту), то при простом TCP-подключении (например при помощи telnet) не получаю в ответ SSH banner. Само TCP-соединение при этом устанавливается (как и в случае HTTP(S) на 80 и 443 портах).

Блокировка HTTP так же работает только на 80 порту.

@Istr, вы как-то активировали блокировку, или она у вас сразу была?

Если и активировал, то сам того не зная. Замечаю, что есть блокировка, когда у меня перестает открываться reddit.com. Так или иначе какой-либо VPN service на IP-адресах провайдеров/CDN из названия темы не использую.

Проблема пришла ко мне на домашний канал, в 2024-07-06T18:31:00Z.

Помимо всего прочего, на IP-адресе одного из прокси-серверов АнтиЗапрета 51.38.124.173 (OVH) заблокировался весь TCP-трафик (не проходит TCP SYN ни до одного порта), при этом другие адреса в диапазоне заблокированы обычным образом (соединение «зависает»).

Блокируется только IPv4.

2024-07-07T22:31:00Z заблокировали 51.68.220.147
2024-07-08T13:32:00Z заблокировали 51.38.124.100

Аналогично на МГТС (AS25513) - недоступны Akamai и OVH, но ни к каким публичным VPN сервисам с этого IP не подключались.

У меня последние пару дней картинки с habr.com стали через раз грузиться, с домена habrastorage.org.
А сейчас вечером вообще не грузятся.
При этом на телнет адреса отвечают, а curl не грузит.
Проводной Ростелеком.
Адреса habrastorage.org как раз на ovh и hetzner расположены.

Да, это оно, у меня тоже не открывается один из адресов (51.89.30.72):

habrastorage.org has address 51.89.30.72
habrastorage.org has address 65.21.120.121
habrastorage.org has address 65.109.153.168

Ещё столкнулся с блокировкой некоторых адресов fastpic.org.
Например:
i114.fastpic.org
i123.fastpic.org
i121.fastpic.org
Блокируются адреса 51.77.200.203, 51.77.211.179 (ovh)
Из других подсетей не блокируются. Прям все домены я конечно не перебирал.
Картина та же, телнет на 80 и 433 порты проходит. curl не грузит страницу, ни по https, ни по http.

Сообщают про https://gentoo.org, тоже за fastly

Ко мне тоже пришла эта проблема.

Самое обидное, что не могу попасть на мой собственный личный сайт, который хостится у OVH, и никакого отношения к обходу блокировок вообще не имеет. При этом, если на тот же сервер повесить домен .ru, то все ок.
Ну и на мой любимый gentoo.org тоже попасть не могу.

Проблема наблюдается у меня на основном провайдере - на Билайн Москва (проводной). На моих запасных провайдерах - Билайне мобильном, МТС мобильном и Ростелекоме проводном - этой проблемы нет. А теперь самое интересное наблюдение - у моих знакомых с Билайн Москва этой проблемы нет.

По всей видимости это расширение динамических блокировок на ТСПУ, и блокировки применяются только при одновременном совпадении ряда условий:

  • если запрос идет к определенным доменным зонам (com, net, org, ?)
  • если IP-адрес назначения находится у определенных провайдеров (OVH и др.)
  • если IP-адрес источника ранее неоднократно замечен в использовании “запрещенных” VPN-протоколов

Целью, вероятно, является блокировка VPN-протоколов, маскирующихся под http(s).

При этом я уже довольно давно не использую OpenVPN с Билайна, но до сих пор одной из первой получаю все новинки блокировок. Похоже, что мой билайновский IP-адрес попал в черный список ТСПУ на очень долгий срок, если не навечно.

del

Ещё неприятные блокировки (Ростелеком):

https://fosstodon.org - Fastly
https://www.openstreetmap.org - Hurricane Electric
https://www.reverso.net - OVH

Видимо решили в борьбе с впнами совсем не считаться с сопутствующим ущербом.

Это же Cloudflare, а не HE.

2024-07-11T13:25:00Z не работает не только в РФ

Подтверждаю, на Билайне не работает 2024-07-11T13:25:00Z.

Помимо вышеперечисленного не работают только на Ростелекоме (работают на других)
195.154.81.43 - download.cpuid.com - Scaleway
104.94.100.72 - www.turkishairlines.com - Akamai

Давно не работает нигде, не могу понять почему
37.19.202.36 - cdn78.foxitsoftware.com