kid79 Опубликовано 18 марта, 2016 · Жалоба блин, понял. спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dnvk Опубликовано 18 марта, 2016 · Жалоба 2max1976, обновил вчера вечером конфигуратор. Вчерашняя "незакрывающаяся" https-ссылка (в количестве трёх копий) закрылась. Спасибо. Сегодняшние проверки на winxp: http://tracker.0day.kiev.ua/details.php?id=139180 TYPE http://youtor.org/films/46020-kerol-carol-2015-dvdscr-l2.html TYPE http://video.nur.kz/serial/4603-vinil/sezon-1-seria-2 TYPE http://skachat-torrent.org/filmy/dramy/508-kerol-2015-skachat-torrent.html TYPE http://torrent-filmi.org/113-kerol-2015-skachat-cherez-torrent.html TYPE http://kinovog.com/348/online/ TYPE http://ba3a.org.ua/index.php?page=torrent-details&id=41f49b78d06dfa38bcab38d61ebfe8af0af98390 TYPE http://www.LuxTorrent.com/filmi/5783-kerol-carol-2015-hdrip.html TYPE http://top-kino.biz/8968-vinil-1-sezon-2016.html TYPE http://video.nur.kz/serial/4603-vinil/sezon-1-seria-3 TYPE http://rutor.is/torrent/486889/kjerol_carol-2015-dvdscr-l2 TYPE http://mz-tracker.net/viewtopic.php?f=593&t=65450 TYPE http://calypso-tv.net/2016/02/14/vinil-vinyl-2016-smotret-serial-onlajn/ TYPE http://my-nitroflare.net/filmy/94803-norm-i-nesokrushimye-norm-of-the-north-2016-camrip-1400-700-mb-skachat-s- nitroflarecom.html TYPE http://freemuzichka.com/tunes/����� �������� - ��������, ������! TYPE http://www.youtube-gir.com/watch?v=g7xzZJQGDi0 TYPE http://freemuzichka.com/tunes/����� ������� � ������ TYPE http://audios.xyz/search/����� �������� - �������� ������ TYPE http://www.meendo2.net TYPE https://planetofbets.com/ TYPE https://www.planetofbets.com/ TYPE http://supermagnet-krasnodar.ru/ TYPE http://4fun.mksat.net:8888/137417?filelist=1 TYPE https://melbet.com TYPE https://mobile.williamhill-casino.com/ru TYPE http://37.139.28.143:8001/ TYPE http://sexynakedgirls.xyz/ TYPE https://www.europe-bet.com/ TYPE http://alkomarketnn24.ru/ TYPE http://hentaika.net/blog/s-2-_blog/news/4806-lolikon.html TYPE http://hentaika.net/uploads/posts/2010-06/1276095712_cl-3.jpeg TYPE http://www.pixiv.net/member_illust.php?mode=medium&illust_id=53922027 TYPE http://www.pixiv.net/member_illust.php?mode=manga&illust_id=53919137 TYPE http://www.pixiv.net/member_illust.php?mode=manga&illust_id=53905912 TYPE http://www.pixiv.net/member_illust.php?mode=manga&illust_id=53916686 TYPE http://www.loto-games.com TYPE http://asset-e.soupcdn.com/asset/12275/1537_e89f.zip TYPE http://legalnye-miksy-nizhniy-tagil.cvmg.biz/ TYPE http://kupit-amfetamin-eyforetikhimki.2f2.biz/ TYPE http://www.germaniaru.info/uslugi/perevody/14855.html TYPE http://4fun.mksat.net:8888/137417?filelist=1 TYPE http://www.horizonsports.es/ TYPE http://37.139.28.143:8001/ TYPE http://igrovyieavtomaty.com/ TYPE http://www.pixiv.net/member_illust.php?mode=medium&illust_id=53767791 TYPE http://www.pixiv.net/member_illust.php?mode=manga&illust_id=53720995 TYPE http://asset-5.soupcdn.com/asset/12937/8433_5637.jpg TYPE http://yaoihavenreborn.com/data/gallery/mitsui-jun-shotacon/mitsuijunshotacon_074.jpeg TYPE TYPE http://rcstore.biz/�����-icq-����� TYPE http://padonki.org:8080/creo.do?creoId=14262 TYPE http://classifieds.russianboston.com/rus/boston/business_services/274823/ TYPE http://classifieds.russianboston.com/rus/boston/miscellaneous/265600/ TYPE http://wehasporn.com/content/13644/131330816613.jpg TYPE http://4fun.mksat.net:8888/137417?filelist=1 TYPE http://www.zoo4u.ru/dlya_zhivotnyh/korma/26290.html TYPE http://37.139.28.143:8001/ TYPE http://hdreactor.org/741849-ohota-na-monstra-monster-hunt-2015-bdrip-1080p.html TYPE http://board.ukrhome.net/i/id138345 TYPE http://games.bet365.com/ TYPE http://www.annacasino.com/ TYPE http://doskaplus.info/blok/62197 TYPE http://xprostitutka.com/ TYPE http://alkomarketnn.ru/ TYPE http://hentaika.net/blog/izvrat/news/3444-hentay-kartinki.html TYPE http://stavropol-dosug.net/ TYPE http://voronezh.prostitutki.link TYPE http://home.sesbet.com/ TYPE http://modelinvasion.69.mu TYPE http://narkoman.biz/������-��������-��������/ TYPE http://gde-vzyat-zakazat-nayti-kupit-skorost-mdpv-adler.x4y.biz/ TYPE http://legalnye-poroshki-izhevsk.cvmg.biz/ TYPE http://londongrad.su/smotret/18-2-seriya.html TYPE http://kupit-amfetamin-eyforetiknizhnevartovsk.gaba.biz/ TYPE http://kinomafia.tv/14116-beglec-2015-online.html TYPE http://www.51slot.ru TYPE http://padonki.org:8080/creo.do?creoId=14262 TYPE http://37.48.120.102/contacts.php TYPE http://classifieds.russianboston.com/rus/boston/miscellaneous/265600/ TYPE http://4fun.mksat.net:8888/137417?filelist=1 TYPE http://37.139.28.143:8001/ TYPE http://brorcforum.com/508-legalnyie-kuritelnyie-miksyi-kirov.html TYPE http://allnaturis.com/uncategorized/lolicon-mega-pack-vol-15.html TYPE http://drupich.net/index.php?newsid=2460&seourl=serial-kuhnya-2012-vse-serii-skachat-besplatno-bez- registracii&seocat=serialy TYPE http://trade-leads.rusbiz.ru/Gidroponika_boshki_shishki_79505559638_plan_garik_naturalka_127103.html TYPE http://padonki.org:8080/creo.do?creoId=14262 TYPE https://casino.ru/ TYPE http://spravki-tuymene.ru TYPE при этом программа fullreport.exe и браузер ip рисуют заглушки на http-ссылки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dnvk Опубликовано 18 марта, 2016 · Жалоба 2max1976, конфигуратору необходима доработка логики перезапуска фильтра. Нужен перезапуск при изменении файла ssl_ips. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cache-dx Опубликовано 18 марта, 2016 (изменено) · Жалоба In file included from ../include/main.h:36, from main.cpp:21: ../include/sender.h:44: error: ISO C++ forbids initialization of member ‘code’ ../include/sender.h:44: error: making ‘code’ static ../include/sender.h:44: error: invalid in-class initialization of static data me mber of non-integral type ‘std::string’ все просто на centos 6 вот небольшой патч также добавлен параметр который позволяет настроить редиректить или исключительно метить все пакеты при обнаружении в списках урл и домен для дальнейших действий в iptables. если кому интересно ,) diff --git a/etc/nfqfilter.ini b/etc/nfqfilter.ini index 696c1cd..f1a147d 100644 --- a/etc/nfqfilter.ini +++ b/etc/nfqfilter.ini @@ -9,6 +9,8 @@ ssllist = /path/to/ssl_host ; файл с ip:port для блокировки hostlist = contrib/hosts +;Использовать редирект или только маркировка пакета для дальнейше обрабтки iptables +redirected = true ; куда редиректить в случае наличия в списках redirect_url = http://notify.example.com/? ; HTTP код ответа. default: 302 Moved Temporarily diff --git a/etc/systemd/nfqfilter.service b/etc/systemd/nfqfilter.service index 031a9f4..455b0ed 100644 --- a/etc/systemd/nfqfilter.service +++ b/etc/systemd/nfqfilter.service @@ -5,7 +5,7 @@ After=network.target [service] Type=forking -ExecStart=/usr/local/bin/nfqfilter --daemon --pidfile=/var/run/nfqfilter.pid -c /usr/local/etc/nfqfilter.ini +ExecStart=/usr/local/bin/nfqfilter --daemon --pidfile=/var/run/nfqfilter.pid -c /usr/local/etc/nfqfilter/nfqfilter.ini PIDFile=/var/run/nfqfilter.pid [install] diff --git a/include/AhoCorasickPlus.h b/include/AhoCorasickPlus.h index a3fe4c8..d375768 100644 --- a/include/AhoCorasickPlus.h +++ b/include/AhoCorasickPlus.h @@ -48,7 +48,7 @@ public: RETURNSTATUS_FAILED, // General unknown failure }; - typedef unsigned int PatternId; + typedef long long unsigned int PatternId; struct Match { diff --git a/include/nfqthread.h b/include/nfqthread.h index fd77411..726ba10 100644 --- a/include/nfqthread.h +++ b/include/nfqthread.h @@ -40,6 +40,7 @@ struct nfqConfig bool lower_host; bool match_host_exactly; bool url_decode; + bool redirected; enum ADD_P_TYPES add_p_type; }; diff --git a/include/sender.h b/include/sender.h index 17ebff6..6734c5e 100644 --- a/include/sender.h +++ b/include/sender.h @@ -41,7 +41,7 @@ public: struct params { std::string redirect_url; - std::string code="302 Moved Temporarily"; + std::string code; }; CSender( std::string url ); CSender(struct params &prm); @@ -58,5 +58,4 @@ private: struct params _parameters; }; - #endif diff --git a/src/main.cpp b/src/main.cpp index 4e4af2e..cad2653 100644 --- a/src/main.cpp +++ b/src/main.cpp @@ -75,6 +75,7 @@ void nfqFilter::initialize(Application& self) _config.lower_host=config().getBool("lower_host",false); _config.match_host_exactly=config().getBool("match_host_exactly",false); _config.url_decode=config().getBool("url_decode",false); + _config.redirected=config().getBool("redirected",false); std::string add_p_type=config().getString("url_additional_info","none"); std::transform(add_p_type.begin(), add_p_type.end(), add_p_type.begin(), ::tolower); diff --git a/src/nfqthread.cpp b/src/nfqthread.cpp index 8049bdf..713be81 100644 --- a/src/nfqthread.cpp +++ b/src/nfqthread.cpp @@ -167,7 +167,7 @@ void nfqThread::runTask() } catch (Poco::Exception &excep) { time_t ttm=time(NULL); - std::string s=std::to_string(ttm); + std::string s=ctime(&ttm); Poco::FileOutputStream pdump("/tmp/packet_dump"+s,std::ios::binary); for(int i=0; i < rv; i++) { @@ -562,19 +562,27 @@ int nfqThread::nfqueue_cb(struct nfq_q_handle *qh, struct nfgenmsg *nfmsg, struc if(found) { self->_logger.debug("Host %s present in domain (file line %d) list from ip %s", host, match.id, src_ip->toString()); - std::string add_param; - switch (self->_config.add_p_type) - { - case A_TYPE_ID: add_param="id="+std::to_string(match.id); - break; - case A_TYPE_URL: add_param="url="+host; - break; - default: break; + if(self->_config.redirected) + { + std::string add_param; + switch (self->_config.add_p_type) + { + case A_TYPE_ID: add_param="id="+std::to_string(match.id); + break; + case A_TYPE_URL: add_param="url="+host; + break; + default: break; + } + SenderTask::queue.enqueueNotification(new RedirectNotification(tcp_src_port, tcp_dst_port, src_ip.get(), dst_ip.get(),/*acknum*/ tcph->ack_seq, /*seqnum*/ tcph->seq,/* flag psh */ (tcph->psh ? 1 : 0 ),add_param)); + Poco::Mutex::ScopedLock lock(self->_statsMutex); + self->_stats.redirected_domains++; + nfq_set_verdict(self->qh,id,NF_DROP,0,NULL); + } else { + self->_logger.debug("DOMAIN List: Set mark %d to packet no %d host %s",self->_config.mark_value,id,host); + Poco::Mutex::ScopedLock lock(self->_statsMutex); + self->_stats.marked_hosts++; + nfq_set_verdict2(self->qh,id,NF_ACCEPT,self->_config.mark_value,0,NULL); } - SenderTask::queue.enqueueNotification(new RedirectNotification(tcp_src_port, tcp_dst_port, src_ip.get(), dst_ip.get(),/*acknum*/ tcph->ack_seq, /*seqnum*/ tcph->seq,/* flag psh */ (tcph->psh ? 1 : 0 ),add_param)); - Poco::Mutex::ScopedLock lock(self->_statsMutex); - self->_stats.redirected_domains++; - nfq_set_verdict(self->qh,id,NF_DROP,0,NULL); return 0; } } @@ -629,21 +637,29 @@ int nfqThread::nfqueue_cb(struct nfq_q_handle *qh, struct nfgenmsg *nfmsg, struc if(found) { self->_logger.debug("URL %s present in url (file pos %u) list from ip %s",uri,match.id,src_ip->toString()); - std::string add_param; - switch (self->_config.add_p_type) + if(self->_config.redirected) { - case A_TYPE_ID: add_param="id="+std::to_string(match.id); - break; - case A_TYPE_URL: add_param="url="+uri; - break; - default: break; + std::string add_param; + switch (self->_config.add_p_type) + { + case A_TYPE_ID: add_param="id="+std::to_string(match.id); + break; + case A_TYPE_URL: add_param="url="+uri; + break; + default: break; + } + SenderTask::queue.enqueueNotification(new RedirectNotification(tcp_src_port, tcp_dst_port,src_ip.get(),dst_ip.get(),/*acknum*/ tcph->ack_seq, /*seqnum*/ tcph->seq,/* flag psh */ (tcph->psh ? 1 : 0 ),add_param)); + Poco::Mutex::ScopedLock lock(self->_statsMutex); + self->_stats.redirected_urls++; + nfq_set_verdict(self->qh,id,NF_DROP,0,NULL); + + } else { + self->_logger.debug(" URL List: Set mark %d to packet no %d url %s",self->_config.mark_value,id,uri); + Poco::Mutex::ScopedLock lock(self->_statsMutex); + self->_stats.marked_hosts++; + nfq_set_verdict2(self->qh,id,NF_ACCEPT,self->_config.mark_value,0,NULL); } - SenderTask::queue.enqueueNotification(new RedirectNotification(tcp_src_port, tcp_dst_port,src_ip.get(),dst_ip.get(),/*acknum*/ tcph->ack_seq, /*seqnum*/ tcph->seq,/* flag psh */ (tcph->psh ? 1 : 0 ),add_param)); - Poco::Mutex::ScopedLock lock(self->_statsMutex); - self->_stats.redirected_urls++; - nfq_set_verdict(self->qh,id,NF_DROP,0,NULL); return 0; - } } } Изменено 19 марта, 2016 пользователем Cache-dx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 20 марта, 2016 · Жалоба При сборке nDPI обнаружин баг: config.status: error: cannot find input file: `src/lib/Makefile.in' Решение: cd ./nDPI autoheader \ && aclocal \ && libtoolize --ltdl --copy --force \ && automake --add-missing --copy \ && autoconf \ && ./configure cd ./ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 20 марта, 2016 · Жалоба Кстати, nDPI умеет собирать фрагментированные пакеты, и анализировать tcp-ip поток. Как вам идея реализовать это в nfq_filter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 20 марта, 2016 · Жалоба Не умеет, уже проверяли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 20 марта, 2016 · Жалоба Не умеет, уже проверяли. Знацит, туда надо добавимть поддежку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dnvk Опубликовано 21 марта, 2016 · Жалоба casino.ru у кого-нить успеват в блокировку попадать? ребята особенно активно занимаются сменой ip. пока один в фильтр попадёт - они уже на другой перепрыгивают ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 21 марта, 2016 · Жалоба Обновлена экспериментальная версия nfqfilter. В ней добавлена поддержка многопоточности при обработке пакетов. В командной строке добавлена поддержка задания номера nfqueue очереди и количество потоков обработчика пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 марта, 2016 · Жалоба Обновлена экспериментальная версия nfqfilter. В ней добавлена поддержка многопоточности при обработке пакетов. В командной строке добавлена поддержка задания номера nfqueue очереди и количество потоков обработчика пакетов. А что даёт многопоточность? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 21 марта, 2016 · Жалоба А что даёт многопоточность? Увеличение скорости обработки пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgen.v Опубликовано 21 марта, 2016 · Жалоба Наперлил тут скрипт для проверки блокировки сайтов из реестра, для собственного пользования, решил поделиться, может кому пригодится https://github.com/Joes-Madness/zapret_test Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LKr Опубликовано 21 марта, 2016 · Жалоба Обновлена экспериментальная версия nfqfilter. В ней добавлена поддержка многопоточности при обработке пакетов. В командной строке добавлена поддержка задания номера nfqueue очереди и количество потоков обработчика пакетов. Ай, спасибо, то, что нужно! Для передачи на заглушку одновременно урла+id накидал грязный патчик в аттаче, жаль что связь "номер строки в файле" - запись в базе все равно остается кривая... Нужно для того, чтобы по доп.запросу придирчивого юзера показывать куда он шел (url), по какому шаблону забанили (строка № id в файле) и по какой причине (решение суда и т.п. - есть в базе) В конфиге url_additional_info=both дает ?url=grani.ru/&id=5887 bothurlandidexp.patch.zip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 марта, 2016 · Жалоба А что даёт многопоточность? Увеличение скорости обработки пакетов. Круто! Осталось сделать перечитывание файлов данных без рестарта и будет ок ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 22 марта, 2016 (изменено) · Жалоба Помогите разобраться с внедрением quagga и анонсами на сервера доступа, дело в том, что кваггу никогда не использовал, я так понимаю мне нужно iBGP делать, но внутренняя маршрутизация всегда обходилась статикой default до бордера без OSPF, RIP, BGP etc. Схема: Сервер доступа (Debian) bonding, статикой прописан дефолт роутер на бордер -> коммутатор Juniper с lacp aggregation -> маршрутизатор в мир Juniper с BGP сессиями uplink's Машина с nfqfilter, nfqfilter_config и zapret поднята отдельно, подключена в этот же коммутатор с одним интерфейсом enp5s0f0, установлена quagga, минимальный конфиг: ! ! Zebra configuration saved from vty ! 2016/03/21 19:56:17 ! hostname localdomain password 123 enable password 123 log file /var/log/quagga/quagga.log ! interface enp5s0f0 ipv6 nd suppress-ra ! interface enp5s0f1 ipv6 nd suppress-ra ! interface lo ! ! line vty Какие дальнейшие действия? Как связать теперь nfqfilter сервер с сервером доступа (анонсы), где абоненты? Нужно поднять вначале поднять BGP сессию nfqfilter с Juniper, взять серую AS? Я правильно, понимаю - весь трафик заблокированных ресурсов (ip которые должны анонсироваться по BGP) будет маршрутизировать этот сервер, например попадает туда youtube по резолвингу, url заблокируется, а остальной трафик так же пойдет через этот сервер? [bGP] # номер нашей AS our_as = 4200000000 # router id router_id = 10.80.2.2 # neighbor neighbor = 10.80.0.1 # remote as remote_as = 11111 # ipv6 neighbor neighbor6 = 2a00:0202::1 # путь к конфигу bgpd quagga_config=/etc/quagga/bgpd.conf # путь к vtysh vtysh = /usr/bin/vtysh Изменено 22 марта, 2016 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 22 марта, 2016 · Жалоба ну вы в принципе правильно все описали, iBGP с серой AS по вкусу на джуне отдельный интерфейс от сервера фильтрации и в нём PBR - всё что принимаем на этот фейс выпихиваем в мир не глядя чтобы не было петли при фильтрации ютуба через nfqfilter ходит только трафик его фронтенда, этого достаточно для блокировки роликов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LKr Опубликовано 22 марта, 2016 · Жалоба Коллеги, а кто что думает о вот такой схеме оптимизации списка? Как я понимаю, если в списке есть url, состоящий только из домена (http://lj.rossia.org), то будет заблокирована любая страница с этого домена. Получается, что на этапе разбора полученного реестра можно тупо выкинуть за ненадобностью все более детальные ссылки? Вот что есть по тому же http://lj.rossia.org: http://lj.rossia.org http://lj.rossia.org/users/oranta/157031.html http://lj.rossia.org/users/xazzar/723325.html http://lj.rossia.org/users/stomahin/108411.html Зачем нам тратить ресурсы на сравнение каждого пакета с последними тремя ссылками, если их закроет первая? Понятно, что наиболее короткая ссылка необязательно домен, это может быть http://lj.rossia.org/users например. На отсортированном по алфавиту списке блокируемых url'ов такая избыточная детализация будет четко видна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 марта, 2016 · Жалоба Коллеги, а кто что думает о вот такой схеме оптимизации списка? Как я понимаю, если в списке есть url, состоящий только из домена (http://lj.rossia.org), то будет заблокирована любая страница с этого домена. надзор сказал что нет.. весь сайт блочится только только в случае если указан тип блокировки content.blockType=domain на вопрос почему у них есть http://DOMAIN и http://DOMAIN/ для одного и тогоже домена они не ответили.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LKr Опубликовано 22 марта, 2016 · Жалоба Тогда надо в консерватории поправить. Ибо сейчас, если я пойду например на http://lj.rossia.org/users/xazzar/ , то nfqfilter меня не пустит. И судя по id строки блокировки отработает фильтр по lj.rossia.org, несмотря на то, что content.blockType=domain не выставлен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 22 марта, 2016 · Жалоба Тогда надо в консерватории поправить. Ибо сейчас, если я пойду например на http://lj.rossia.org/users/xazzar/ , то nfqfilter меня не пустит. И судя по id строки блокировки отработает фильтр по lj.rossia.org, несмотря на то, что content.blockType=domain не выставлен Роcтелек блокирует по такой же логике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 марта, 2016 · Жалоба Тогда надо в консерватории поправить. Ибо сейчас, если я пойду например на http://lj.rossia.org/users/xazzar/ , то nfqfilter меня не пустит. И судя по id строки блокировки отработает фильтр по lj.rossia.org, несмотря на то, что content.blockType=domain не выставлен ну я уже спросил, спросите еще и Вы... Я не сильно удивлюсь, если ответ будет другим. Они там, похоже, не сильно понимают как это должно работать. Насколько я помню историю изменения хмл-ки сначала никаких content.blockType небыло. и вроде как резонно было бы предположить, что да, если указан только домен без урла, то оно имеет под собой весь домен (и вроде как на это были указания в их доках). потом появилось content.blockType. записи такие есть. но записей без этого поля и с урлами вида http://DOMAIN много, причем и весьма свежих. после получения их ответа я у себя привожу http://DOMAIN к http://DOMAIN/ при разборе XML (и чтобы не переделывать цепочку дальше уже записи с content.blockType=domain добавляю как http://DOMAIN в свои списки :) и да, тогда уже при наличии такой записи все более длинные выкидываю, чтобы не грузить объемами) Это вообще спорный момент, трактовать урл как ^http://domain/path$ или как ^http://domain/path применительно к фильтрации.. к сожалению устанавливающие правила огранизации не понимают самого вопроса. Соотвественно и ответа не дают. И тут дальше в меру своего разумения... Роcтелек блокирует по такой же логике. ну ростелек дого анонсил /32 всем, даже партнерам на такие сайты целиком, чтобы на него ссылаться ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 22 марта, 2016 (изменено) · Жалоба Тогда надо в консерватории поправить. Ибо сейчас, если я пойду например на http://lj.rossia.org/users/xazzar/ , то nfqfilter меня не пустит. И судя по id строки блокировки отработает фильтр по lj.rossia.org, несмотря на то, что content.blockType=domain не выставлен Роcтелек блокирует по такой же логике. а умеет ли ростелеком блокировать маленькими пакетами? У меня провайдер блокирует даже внутри прокси. На сколько мне известно, чтобы nfqfilter стал настоящим DPI, туда надо интегрировать некоторый код. Например код, который собирает пакеты. Suricata ксати вроде бы умеет соберать фрагментированные пакеты, но как активировать в ней эту функцию, я пока не знаю. Можно конечно, для сборки пакетов взять код из wireshark. Там вроде как есть tcp_reasembly. Изменено 22 марта, 2016 пользователем ne-vlezay80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 23 марта, 2016 (изменено) · Жалоба Для разбора используется nDPI, так что его надо учить собирать пакеты внутри флоу. Попробуйте им реквесте написать) хз что из этого выйдет) Изменено 23 марта, 2016 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 23 марта, 2016 · Жалоба Круто! Осталось сделать перечитывание файлов данных без рестарта и будет ок ) В экспериментальную версию добавлен обработчик SIGHUP для обновления данных из файлов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...