Марат, здравствуйте!
Вот вы задали вопрос про белые списки интернета, как они могут быть ограниченными и чем отличаются от чёрных списков.Я как ИТ-специалист могу объяснить понятным языком.
Правила фильтрации трафика в упрощённом понимании представляют собой списки групп адресов - подсетей (на уровне IP, а есть ещё SNI, то есть по доменам, но белые списки реализованы в основном на уровне IP, блокировка только по SNI не так сложно обходится). Подсеть представляет собой группу соседних IP-адресов с одинаковым значением старших разрядов. Количество старших разрядов может быть любым в пределах длины адреса - от 0 до 32 бит (для адресов IPv4, а есть ещё IPv6, там адреса в 4 раза длиннее, 128 бит, но принцип такой же). Самая большая подсеть 0 бит представляет собой все адреса в интернете, а самая маленькая 32 бита - один конкретный адрес. И оба этих крайних случая требуют примерно одинаковых ресурсов для обработки. Не важно, какой размер подсети, важно их количество. На каждую подсеть используется определённое количество памяти (и не обычной оперативки, а специальной ассоциативной памяти для
маршрутизаторов), поэтому количество подсетей в списке ограничено. Но для работы ресурсов из белых списков используются самые обычные IP-адреса, никто их специально не группирует, а работа каждого ресурса требует подключения к большому числу разных IP-адресов, и далеко не всегда эти адреса объединяются в одну подсеть. Приходится нарезать диапазоны адресов маленькими кусочками, занимая ресурсы памяти. Если нарезать более крупными кусками, будет использоваться меньше памяти, но в белые списки будут попадать адреса других ресурсов, которые не
планировались к включению туда, а это открывает возможности обхода. Поэтому размеры белых списков ограничены, это обусловлено ограниченностью памяти маршрутизаторов, а не просто количеством адресов. Можно было бы выделить под белые списки отдельные блоки адресов и сгруппировать адреса белых списков в небольшое количество диапазонов (для IPv6 это вполне возможно), тогда такого ограничения можно было бы избежать, но это повлекло бы за собой другие проблемы с назначением этих адресов сервисам (в обычных условиях они должны открываться по одним
адресам, а при ограничениях по другим, кроме того, IPv6 поддерживают только 2 оператора МТС и Мегафон, остальные нет, а в IPv4 нет уже возможности выделить такой блок, адреса разобрали), поэтому так не стали делать.
С уважением, Николай.
