apog

Кому нужен был рабочий рецепт с ipset: Вот мой вариант работы через ipset: На бордере есть четыре списка ipset - dropnets, dropnetsrunning, tofilternets, tofilternetsrunning Для блокирования запрещенных ip работает такое правило: iptables -A FORWARD -m set --match-set dropnetsrunning dst -j DROP Для перенаправления трафика на сторонний сервер с nfqfilter используется Policy-Routing: iptables -t mangle -A PREROUTING ! -s 1.2.3.4/32 -m set --match-set tofilternetsrunning dst -j MARK --set-mark 3 ip route add default via 10.10.10.10 table 3 ip rule add fwmark 3 table 3 На сервере с nfqfilter трафик nat-ится, 1.2.3.4 - это внешний интерфейс, 10.10.10.10 - внутренний интерфейс. Для обновления списков ipset взял за основу скрипт от max1976, выбросил лишнее, и вот что получилось:

У меня тоже, по крайней мере на той неделе 52.50.87.120:16869. Пока так и не нашёл причину и зависимость почему у некоторых всё отлично, а у других пропуски. Вроде все нужные патчи есть. При этом используется sslips = /home/nfqfilter/contrib/ssl_ips и block_undetected_ssl = true yKpon, hsvt, а какие сборки nfqfilter используете? У меня такая же проблема. У меня сборка патченная тов. myth, block_undetected_ssl тоже включен и файл с айпишниками присутствует. Пока решаю проблему просто закрыв пропускаемые урлы по IP.

Подтверждаю, есть такое. Сборка от тов. myth

Через мегафон удалось войти в ЛК, но отчеты не формируются

https://portal.rfc-revizor.ru/login/ не работает у всех?

Плюсую. Мужики, спасибо, полезное дело делаете... Только заморочно метаться между репозиториями.

Вот мой вариант работы через ipset: На бордере есть четыре списка ipset - dropnets, dropnetsrunning, tofilternets, tofilternetsrunning Для блокирования запрещенных ip работает такое правило: iptables -A FORWARD -m set --match-set dropnetsrunning dst -j DROP Для перенаправления трафика на сторонний сервер с nfqfilter используется Policy-Routing: iptables -t mangle -A PREROUTING ! -s 1.2.3.4/32 -m set --match-set tofilternetsrunning dst -j MARK --set-mark 3 ip route add default via 10.10.10.10 table 3 ip rule add fwmark 3 table 3 На сервере с nfqfilter трафик nat-ится, 1.2.3.4 - это внешний интерфейс, 10.10.10.10 - внутренний интерфейс. Для обновления списков ipset взял за основу скрипт от max1976, выбросил лишнее, и вот что получилось:

max1976, в файле настроек конфигуратора можно указать адреса DNS для локального блэклиста. Как правильно пользоваться этим блэклистом?

Нужна правильная переменная PATH. Пропишите настройки запуска скрипта примерно таким образом: cat /etc/cron.d/zapret SHELL=/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 35 * * * * root /path/to/zapret.pl

Куплю оптический усилитель на 16 или более выходов с WDM мультиплексором. Мощность не менее 19 дБм на выход.

ИМХО абсолютная глупость заниматься скурпулезным фильтрованием. Самый правильный вариант - сделать так, чтобы тебя не наказали после очередной проверки, но при этом не заблокировать пол Интернета своим абонентам, что как раз получается при блокировании по IP. Вот потому и затеваются пляски с DPI.

В переменную CFLAGS добавлял -static - не помогло. Направьте, пожалуйста, как правильно сделать. Надо играться с флагом static или все нужные библиотеки в переменной LIBS достаточно перечислить?

max1976, как собрать nfqfilter со статической линковкой библиотек?

Спасибо dnvk, буду пробовать на amd64. Авторам тоже респект. А про параллельные процессы можно в ридми упомянуть.

Товарищи коллеги, я правильно понимаю, что на Debian 8 с архитектурой i686 даже не стоит пытаться собирать? Ткните носом, где написано 64-only