dragjj

ну я и *****, спасибо))

Да

поправил в итоге получил еще больше ошибок Хотя старый скрипт на выгрузку работает

Они там еще от старого скрипта остались, единственное что я делал это раз в год cert.pem обновлял, req_template.xml со скриптом по умолчанию шел, еще 2 файла reg* сами создаются при запуске скрипта

Никто не сталкивался с проблемой ЭП на новом скрипте zapret? Вывод zapret_update.log И в консоль Со старым скриптом реестр не парсится, но загружается

blocktype=ip Остальное должно обрабатыватся фильтром Смысл тогда вообще анонсировать ip которые не надо блочить? есть пропуски такого вида https://52.50.87.120:16869/ru/odds-list/countries/Alpine-Skiing подобные урлы с ip адресами nfqfilter не блокирует. Таких немного, за почти пол года такое впервые, поэтому просто добавил руками

Кто нибудь сталкивался с такой проблемой, уже второй день подряд ревизор выдает пропуски на урл, . в урле есть символы которые попадают в nfqfilter в виде каракуль, и не блокируется, как то можно решить данную проблему? еще есть проблема с блокировкой ip адресов, адреса которые анонсируются в кваггу не блокируются, блокируются только те к которым есть нулевой маршрут, но нулевой маршрут делается от силы на 900 адресов, а остальные 40000 просто анонсируются и не блокируются никак и ревизор так же фиксирует это.

Раз в неделю примерно бывает такая фигня. В отчете показывает сайты которых нету в реестре, возможно они сами знают, нам пока ничего не приходило по этим пропускам

подскажите, ./make_files.pl должен вроде nfqfilter перезапускать? ревизор нарушение нашел, как оказалось nfqfilter не перезапускался. ./make_files.pl срабатывает без ошибок, но nfqfilter не перезапускается. куда глянуть? или так и должно быть?

Так и должно быть. Есть сети, которые должны анонсироваться бордеру (через network) для перенаправления трафика и есть IP, подлежащие фильтрации (роутинг в null) IP с роутингом в null также обьявляются через network <IP> Анонсирует то он 45000 адресов, а в Null уходят от силы 900, остальные 44100 адресов не блокируется. По какому принципу он определяет какие ip блочить, а какие нет? Может уже не по теме вопрос, на сайте ревизора скачал отчет, где был указан якобы не заблокированный урл, по факту он блокируется, проверил через браузер, ip не блокируется.

Проверяли эффективность блокировки ревизором? Использовать BGP что бы заворачивать трафик по IP на nfqfilter, будет не очень эффективно, сейчас если использовать фильтрацию по IP из реестра, не заблокированными остаются сотни URL и у Роскомнадзора возникают вопросы к оператору, использование дополнительно резолвинга доменных имен повышает эффективность, но недостаточно, многие сайты используют CloudFare c их сетью CDN, ip адреса сайтов быстро меняются. Самыми эффективными способами фильтрации с точки зрения Ревизора по убыванию: 1. Установка системы фильтрации в разрыв, где система фильтрации подключена как L2 бридж. Результат близится к 100% (наверно у nfqfilter будет аналогичный результат, если заворачивать весь трафик абонентов) 2. Зеркалирование всего трафика на систему фильтрации, чуть менее эффективно первого варианта (extFilter) 3. Грубая фильтрация трафика по IP с дальнейшим перенаправлением для более точной фильтрации в систему фильтрации. Результат более 95% - высокая вероятность штрафа от РКН. Есть еще вариант с перехватом всех DNS запросов клиентов и перенаправление на свои DNS сервера, хз какой результат. У меня как раз таки к компу с nfqfilter и подключен ревизор. как ревизором можно проверить эффективность? в личном кабинете оператора ничего не появляется. В данный момент nfqfilter блокирует по доменам, но в дампе ркн есть еще ip адреса, вот для ip адресов и хотел прикрутить кваггу, или ркн не придирается к ip? помимо этого домены еще блочит DNS.

как я понял, из всего что тут тесть, Вам нужен extFilter, он как раз для вашей задачи. поковырялся в файле rkn.conf и скрипт начал отрабатывать без зависания, и все 45000 ip адресов попали в конфиг квагги, но только как анонсированные сети, т.е. network 1.1.1.1 и т.д., а вот маршруты созданы только для 900 ip адресов. видимо что то не так я в конфиге сделал. что нужно указывать в quagga_config=? путь к bgpd.conf? вроде все норм, но почему маршруты не все? или может так и должно быть?

Доброго времени суток всем. Юзаю в тестовом режиме nfqfilter, вроде всё норм, но без квагги. Сейчас пытаюсь прикрутить кваггу, но хз, что не так, при запуске скрипта make_files.pl, скрипт может сутки висеть, и в кваггу добавляются где то 700-900 ip адресов. Как можно посмотреть что ему не хватает, что бы всё добавить? Заметил еще, что появился еще extFilter, что лучше юзать nfqfilter или переходить на extFilter?

Благодарю, скрипт срабатывает. Буду теперь тестить

Я не знаю perl, поэтому пока нет догадок, что происходит в 112 строке, в rkn.conf прописал базу, юзера и пароль, в секции BGP пути до конфига, остальное по умолчанию

Подскажите, чего не хватает скрипту? root@rknblock:/nfqfilter_config-master# ./make_files.pl perl: warning: Setting locale failed. perl: warning: Please check that your locale settings: LANGUAGE = (unset), LC_ALL = (unset), LANG = "en_US.UTF8" are supported and installed on your system. perl: warning: Falling back to the standard locale ("C"). Exiting: failed to connect to any daemons. Could not open file '' No such file or directory at ./make_files.pl line 112. Я правильно понял, что этот скрипт берет из БД домены и ip и кладет их в папку nfqfilter в файлы domains, urls, ssl_host, hosts? если у меня есть другой парсер я могу через него в эти папки кидать без этого скрипта? или у него еще какой то функционал есть? по сути BGP мне не нужен, через этот комп юзеры будут натиться.

В общем сделал по данной инструкции Интернет работает без ограничений, ничего не блокируется. Делал по этой инструкции: http://www.linux.org.ru/forum/admin/12123889 Все работает, но на данную команду iptables -A FORWARD -m set --match-set zapret_gov_ssl_ip dst -p tcp -j REJECT --reject-with tcp-rst iptables ругается, и https не переводит на страницу с объяснением блокировки, а пишет, что ошибка при установлении защищённого соединения.

Добрый день всем. Может кто нибудь объяснить как юзать nfqfilter? Установил, запустил: LD_LIBRARY_PATH=/usr/local/lib/ nfqfilter -c /nfqfilter-master/etc/nfqfilter.ini прописал: iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp -j NFQUEUE --queue-num 0 --queue-bypass Но дальше ничего не происходит, ничего не блокируется. В логах ничего не появляется.