Перейти к содержимому
Калькуляторы

apog

Пользователи
  • Публикации

    66
  • Зарегистрирован

  • Посещение

Все публикации пользователя apog


  1. Кому нужен был рабочий рецепт с ipset: Вот мой вариант работы через ipset: На бордере есть четыре списка ipset - dropnets, dropnetsrunning, tofilternets, tofilternetsrunning Для блокирования запрещенных ip работает такое правило: iptables -A FORWARD -m set --match-set dropnetsrunning dst -j DROP Для перенаправления трафика на сторонний сервер с nfqfilter используется Policy-Routing: iptables -t mangle -A PREROUTING ! -s 1.2.3.4/32 -m set --match-set tofilternetsrunning dst -j MARK --set-mark 3 ip route add default via 10.10.10.10 table 3 ip rule add fwmark 3 table 3 На сервере с nfqfilter трафик nat-ится, 1.2.3.4 - это внешний интерфейс, 10.10.10.10 - внутренний интерфейс. Для обновления списков ipset взял за основу скрипт от max1976, выбросил лишнее, и вот что получилось:
  2. У меня тоже, по крайней мере на той неделе 52.50.87.120:16869. Пока так и не нашёл причину и зависимость почему у некоторых всё отлично, а у других пропуски. Вроде все нужные патчи есть. При этом используется sslips = /home/nfqfilter/contrib/ssl_ips и block_undetected_ssl = true yKpon, hsvt, а какие сборки nfqfilter используете? У меня такая же проблема. У меня сборка патченная тов. myth, block_undetected_ssl тоже включен и файл с айпишниками присутствует. Пока решаю проблему просто закрыв пропускаемые урлы по IP.
  3. Подтверждаю, есть такое. Сборка от тов. myth
  4. Через мегафон удалось войти в ЛК, но отчеты не формируются
  5. https://portal.rfc-revizor.ru/login/ не работает у всех?
  6. Плюсую. Мужики, спасибо, полезное дело делаете... Только заморочно метаться между репозиториями.
  7. Вот мой вариант работы через ipset: На бордере есть четыре списка ipset - dropnets, dropnetsrunning, tofilternets, tofilternetsrunning Для блокирования запрещенных ip работает такое правило: iptables -A FORWARD -m set --match-set dropnetsrunning dst -j DROP Для перенаправления трафика на сторонний сервер с nfqfilter используется Policy-Routing: iptables -t mangle -A PREROUTING ! -s 1.2.3.4/32 -m set --match-set tofilternetsrunning dst -j MARK --set-mark 3 ip route add default via 10.10.10.10 table 3 ip rule add fwmark 3 table 3 На сервере с nfqfilter трафик nat-ится, 1.2.3.4 - это внешний интерфейс, 10.10.10.10 - внутренний интерфейс. Для обновления списков ipset взял за основу скрипт от max1976, выбросил лишнее, и вот что получилось:
  8. max1976, в файле настроек конфигуратора можно указать адреса DNS для локального блэклиста. Как правильно пользоваться этим блэклистом?
  9. Нужна правильная переменная PATH. Пропишите настройки запуска скрипта примерно таким образом: cat /etc/cron.d/zapret SHELL=/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 35 * * * * root /path/to/zapret.pl
  10. Куплю оптический усилитель на 16 или более выходов с WDM мультиплексором. Мощность не менее 19 дБм на выход.
  11. ИМХО абсолютная глупость заниматься скурпулезным фильтрованием. Самый правильный вариант - сделать так, чтобы тебя не наказали после очередной проверки, но при этом не заблокировать пол Интернета своим абонентам, что как раз получается при блокировании по IP. Вот потому и затеваются пляски с DPI.
  12. В переменную CFLAGS добавлял -static - не помогло. Направьте, пожалуйста, как правильно сделать. Надо играться с флагом static или все нужные библиотеки в переменной LIBS достаточно перечислить?
  13. max1976, как собрать nfqfilter со статической линковкой библиотек?
  14. Спасибо dnvk, буду пробовать на amd64. Авторам тоже респект. А про параллельные процессы можно в ридми упомянуть.
  15. Товарищи коллеги, я правильно понимаю, что на Debian 8 с архитектурой i686 даже не стоит пытаться собирать? Ткните носом, где написано 64-only
  16. Опубликована Процедура блокировки некошерной инфо

    Сейчас выключил debug и вот теперь: Character in 'C' format wrapped in pack at /usr/lib/perl5/Net/DNS.pm line 530 Таких строк несколько десятков вываливается. С включенным debug не замечал их потому как там и так слишком много всего выводилось в STDOUT.
  17. Опубликована Процедура блокировки некошерной инфо

    Да, теперь с кириллицей порядок, по крайней мере в таблице zap2_records. Спасибо. И, да, удачного отпуска, коллега.
  18. Опубликована Процедура блокировки некошерной инфо

    И еще, можно в конфиг добавить опцию отключения аутентификации на SMTP сервере (на случай если свой сервер, например)?
  19. Опубликована Процедура блокировки некошерной инфо

    Таблица zap2_records после загрузки данных с тестового API:
  20. Опубликована Процедура блокировки некошерной инфо

    В 175 строке похоже опечатка в расширении: unlink $dir.'/dump.xlm'; Кириллица в БД кракозябрами. Танцы с изменением кодировки БД на cp1251 не помогли (в sql файле со структурой базы CHARSET=utf8). Не помогла и переконвертация dump.xml из cp1251 в utf8. Локаль на машине ru_RU.UTF-8
  21. Опубликована Процедура блокировки некошерной инфо

    Wingman, что-то у меня не работает... $ ./zapret.pl Type of arg 1 to keys must be hash (not hash element) at ./zapret.pl line 359, near "}) " Execution of ./zapret.pl aborted due to compilation errors. со строки 359 в скрипте такой код: foreach my $k (keys $data->{content}) { eval { my ( $decision_number, $decision_org, $decision_date, $entry_type, $include_time ); $decision_number = $decision_org = $decision_date = $entry_type = ''; my $decision_id = $k; $entry_type = ''; Что не так делаю? Upd: Уж не знаю на сколько корректно выкрутился, но кажется помогло вот что: foreach my $k (keys %{$data->{content}}) { То есть заключил $data->{content} в %{}. Спасибо яндексу на этот раз.
  22. Опубликована Процедура блокировки некошерной инфо

    Да, спасибо, так хорошо.
  23. Опубликована Процедура блокировки некошерной инфо

    Спасибо за скриптик, коллега. Только пришел на форум спросить о непонятных =comment и =cut в 960-й и 966-й строчках соответственно, как вижу уже обновленная версия есть. Хотел вот еще что... предложить заменить "# This must be in cp1251:" на нечто вроде "/usr/bin/iconv -f UTF8 -t WINDOWS-1251 $req_file -o $req_file". Что думаете?
  24. Ценник может конечно уже и не такой. Нам называли цену от 280. И это видимо не потолок. Видел уже у кого то на сайте цена 340, естественно самой железки еще у них нету. Летом уже появится в России. До конца года Vector планировали начать выпуск модификации на 36 аналоговых каналов в одном юните.
  25. Сообщением выше писал, да, получил. Спасибо еще раз. В личку отписался со своими вопросами. В родных доках все так непонятно как работает.. а тут сразу стало ясно. Очень помогли.