Jump to content
Калькуляторы

apog

Пользователи
  • Content Count

    66
  • Joined

  • Last visited

1 Follower

About apog

  • Rank
    Абитуриент
  1. Кому нужен был рабочий рецепт с ipset: Вот мой вариант работы через ipset: На бордере есть четыре списка ipset - dropnets, dropnetsrunning, tofilternets, tofilternetsrunning Для блокирования запрещенных ip работает такое правило: iptables -A FORWARD -m set --match-set dropnetsrunning dst -j DROP Для перенаправления трафика на сторонний сервер с nfqfilter используется Policy-Routing: iptables -t mangle -A PREROUTING ! -s 1.2.3.4/32 -m set --match-set tofilternetsrunning dst -j MARK --set-mark 3 ip route add default via 10.10.10.10 table 3 ip rule add fwmark 3 table 3 На сервере с nfqfilter трафик nat-ится, 1.2.3.4 - это внешний интерфейс, 10.10.10.10 - внутренний интерфейс. Для обновления списков ipset взял за основу скрипт от max1976, выбросил лишнее, и вот что получилось:
  2. У меня тоже, по крайней мере на той неделе 52.50.87.120:16869. Пока так и не нашёл причину и зависимость почему у некоторых всё отлично, а у других пропуски. Вроде все нужные патчи есть. При этом используется sslips = /home/nfqfilter/contrib/ssl_ips и block_undetected_ssl = true yKpon, hsvt, а какие сборки nfqfilter используете? У меня такая же проблема. У меня сборка патченная тов. myth, block_undetected_ssl тоже включен и файл с айпишниками присутствует. Пока решаю проблему просто закрыв пропускаемые урлы по IP.
  3. Подтверждаю, есть такое. Сборка от тов. myth
  4. Через мегафон удалось войти в ЛК, но отчеты не формируются
  5. Плюсую. Мужики, спасибо, полезное дело делаете... Только заморочно метаться между репозиториями.
  6. Вот мой вариант работы через ipset: На бордере есть четыре списка ipset - dropnets, dropnetsrunning, tofilternets, tofilternetsrunning Для блокирования запрещенных ip работает такое правило: iptables -A FORWARD -m set --match-set dropnetsrunning dst -j DROP Для перенаправления трафика на сторонний сервер с nfqfilter используется Policy-Routing: iptables -t mangle -A PREROUTING ! -s 1.2.3.4/32 -m set --match-set tofilternetsrunning dst -j MARK --set-mark 3 ip route add default via 10.10.10.10 table 3 ip rule add fwmark 3 table 3 На сервере с nfqfilter трафик nat-ится, 1.2.3.4 - это внешний интерфейс, 10.10.10.10 - внутренний интерфейс. Для обновления списков ipset взял за основу скрипт от max1976, выбросил лишнее, и вот что получилось:
  7. max1976, в файле настроек конфигуратора можно указать адреса DNS для локального блэклиста. Как правильно пользоваться этим блэклистом?
  8. Нужна правильная переменная PATH. Пропишите настройки запуска скрипта примерно таким образом: cat /etc/cron.d/zapret SHELL=/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 35 * * * * root /path/to/zapret.pl
  9. Куплю оптический усилитель на 16 или более выходов с WDM мультиплексором. Мощность не менее 19 дБм на выход.
  10. ИМХО абсолютная глупость заниматься скурпулезным фильтрованием. Самый правильный вариант - сделать так, чтобы тебя не наказали после очередной проверки, но при этом не заблокировать пол Интернета своим абонентам, что как раз получается при блокировании по IP. Вот потому и затеваются пляски с DPI.
  11. В переменную CFLAGS добавлял -static - не помогло. Направьте, пожалуйста, как правильно сделать. Надо играться с флагом static или все нужные библиотеки в переменной LIBS достаточно перечислить?
  12. max1976, как собрать nfqfilter со статической линковкой библиотек?
  13. Спасибо dnvk, буду пробовать на amd64. Авторам тоже респект. А про параллельные процессы можно в ридми упомянуть.
  14. Товарищи коллеги, я правильно понимаю, что на Debian 8 с архитектурой i686 даже не стоит пытаться собирать? Ткните носом, где написано 64-only