overty Опубликовано 24 августа, 2016 · Жалоба Странно, проверил у себя - блочатся нормально. У вас блочится потому что браузер, скорее всего убирает точку в конце URL. Проблема только с URL оканчивающими на '/.' Например через curl (curl -v expirience.ru/kak-sdelat-kastet/.) пролетает свободно при match_url_exactly = false, хотя должно блокировать. GET /kak-sdelat-kastet/. HTTP/1.1 > User-Agent: curl/7.29.0 > Host: expirience.ru > Accept: */* > < HTTP/1.1 200 OK < Server: nginx/1.2.1 < Date: Wed, 24 Aug 2016 12:38:40 GMT < Content-Type: text/html;charset=UTF-8 ... ... Пролетает так же curl -v expirience.ru/kak-sdelat-kastet > GET /kak-sdelat-kastet HTTP/1.1 > User-Agent: curl/7.29.0 > Host: expirience.ru > Accept: */* > < HTTP/1.1 200 OK < Server: nginx/1.2.1 < Date: Wed, 24 Aug 2016 12:43:58 GMT < Content-Type: text/html;charset=UTF-8 ... ... А вот curl -v expirience.ru/kak-sdelat-kastet/ - блокируется, но параметр url_additional_info=url как-то не правильно работает в последней версии. > GET /kak-sdelat-kastet/ HTTP/1.1 > User-Agent: curl/7.29.0 > Host: expirience.ru > Accept: */* > < HTTP/1.1 302 Moved Temporarily < Location: hXXp://www.example.com/block.html?url=http://expirience.ru/kak-sdelat-kastet/http://expirience.ru/kak-sdelat-kastet/ < Connection: close url повторяется два раза. С доменами такой проблемы не наблюдаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
overty Опубликовано 25 августа, 2016 · Жалоба Временно добавил строки $url11 =~ s/\/$//; $url2 =~ s/\/$//; в nfqfilter_config для удаление последнего слеша "/". URL с окончанием /. у меня заблокировались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 августа, 2016 (изменено) · Жалоба Временно добавил строки $url11 =~ s/\/$//; $url2 =~ s/\/$//; в nfqfilter_config для удаление последнего слеша "/". URL с окончанием /. у меня заблокировались. Я добавил удаление /. в конце url. Изменено 25 августа, 2016 пользователем max1976 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 26 августа, 2016 (изменено) · Жалоба 2016-08-25 12:10:26.132 [28291] Information Application - Starting up on queue: 4 2016-08-25 12:10:26.141 [28291] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:10:26.142 [28291] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:10:26.258 [28291] Fatal Application - Bad url format in line 1797 2016-08-25 12:10:49.719 [28304] Information Application - Starting up on queue: 4 2016-08-25 12:10:49.730 [28304] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:10:49.732 [28304] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:10:49.848 [28304] Fatal Application - Bad url format in line 1797 2016-08-25 12:11:19.910 [28386] Information Application - Starting up on queue: 4 2016-08-25 12:11:19.921 [28386] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:11:19.923 [28386] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:11:20.049 [28386] Fatal Application - Bad url format in line 1797 Для всех строчек в файле urls где нет в конце "/" nfqfilter не может запуститься. Изменено 26 августа, 2016 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 27 августа, 2016 · Жалоба 2016-08-25 12:10:26.132 [28291] Information Application - Starting up on queue: 4 2016-08-25 12:10:26.141 [28291] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:10:26.142 [28291] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:10:26.258 [28291] Fatal Application - Bad url format in line 1797 2016-08-25 12:10:49.719 [28304] Information Application - Starting up on queue: 4 2016-08-25 12:10:49.730 [28304] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:10:49.732 [28304] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:10:49.848 [28304] Fatal Application - Bad url format in line 1797 2016-08-25 12:11:19.910 [28386] Information Application - Starting up on queue: 4 2016-08-25 12:11:19.921 [28386] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:11:19.923 [28386] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:11:20.049 [28386] Fatal Application - Bad url format in line 1797 Для всех строчек в файле urls где нет в конце "/" nfqfilter не может запуститься. Используйте последнюю версию nfqfilter. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 27 августа, 2016 · Жалоба 2016-08-25 12:10:26.132 [28291] Information Application - Starting up on queue: 4 2016-08-25 12:10:26.141 [28291] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:10:26.142 [28291] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:10:26.258 [28291] Fatal Application - Bad url format in line 1797 2016-08-25 12:10:49.719 [28304] Information Application - Starting up on queue: 4 2016-08-25 12:10:49.730 [28304] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:10:49.732 [28304] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:10:49.848 [28304] Fatal Application - Bad url format in line 1797 2016-08-25 12:11:19.910 [28386] Information Application - Starting up on queue: 4 2016-08-25 12:11:19.921 [28386] Warning Application - Pattern xn--80aafc2bcqz.xn--p1ai already present in domains list 2016-08-25 12:11:19.923 [28386] Warning Application - Pattern xn--e1awew.xn--p1ai already present in domains list 2016-08-25 12:11:20.049 [28386] Fatal Application - Bad url format in line 1797 Для всех строчек в файле urls где нет в конце "/" nfqfilter не может запуститься. Используйте последнюю версию nfqfilter. Речь как раз про последнюю. root@blocked:/opt/nfqfilter$ git rev-parse HEAD bf3259929f5ab5b6f83a6c2d9a89549f64fa973f Откатил конфигуратор на предыдущий коммит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 27 августа, 2016 · Жалоба Речь как раз про последнюю. Вы что-то путаете. Посмотрите код nfqfilter, там уже нет текста такой ошибки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 29 августа, 2016 · Жалоба А проблема с запуском через крон не у кого не было? Что то ни в какую запускать на закачку и обновление не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WisDem Опубликовано 29 августа, 2016 · Жалоба А проблема с запуском через крон не у кого не было? Что то ни в какую запускать на закачку и обновление не хочет. было, модули перла не находил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 29 августа, 2016 · Жалоба А проблема с запуском через крон не у кого не было? Что то ни в какую запускать на закачку и обновление не хочет. было, модули перла не находил. А поподробнее? Просто если вручную то все хорошо запускается а через крон ни в какую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apog Опубликовано 29 августа, 2016 (изменено) · Жалоба А поподробнее? Просто если вручную то все хорошо запускается а через крон ни в какую Нужна правильная переменная PATH. Пропишите настройки запуска скрипта примерно таким образом: cat /etc/cron.d/zapret SHELL=/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 35 * * * * root /path/to/zapret.pl Изменено 29 августа, 2016 пользователем apog Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
apog Опубликовано 29 августа, 2016 · Жалоба max1976, в файле настроек конфигуратора можно указать адреса DNS для локального блэклиста. Как правильно пользоваться этим блэклистом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 30 августа, 2016 · Жалоба max1976, в файле настроек конфигуратора можно указать адреса DNS для локального блэклиста. Как правильно пользоваться этим блэклистом? В конфигураторе больше нет поддержки блэклиста, его поддержка перенесена в zapret. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 31 августа, 2016 · Жалоба Интересно ли кому-нибудь решение на базе nfqfilter не для nfqueue, а для зеркалированного трафика? Для работы с сетевой картой используется DPDK, поэтому производительность очень высокая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
overty Опубликовано 31 августа, 2016 · Жалоба Интересно ли кому-нибудь решение на базе nfqfilter не для nfqueue, а для зеркалированного трафика? Для работы с сетевой картой используется DPDK, поэтому производительность очень высокая. У меня nfqfilter в режиме зеркала работает с марта. Никаких проблем с этим нет. Снимаю исходящий трафик с 10Г SPAN порта коммутатора CISCO. Сетевка в мосте с вызовом iptables для попадания в nfqueue. Нагрузка порта 3Гбит/сек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 31 августа, 2016 · Жалоба Интересно ли кому-нибудь решение на базе nfqfilter не для nfqueue, а для зеркалированного трафика? Для работы с сетевой картой используется DPDK, поэтому производительность очень высокая. Да, интересно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dnvk Опубликовано 1 сентября, 2016 · Жалоба Интересно ли кому-нибудь решение на базе nfqfilter не для nfqueue, а для зеркалированного трафика? Для работы с сетевой картой используется DPDK, поэтому производительность очень высокая. интересно. Получается, не будет необходимости держать кучу записей в таблице маршрутизации? (как бонус) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 1 сентября, 2016 · Жалоба Получается, не будет необходимости держать кучу записей в таблице маршрутизации? (как бонус) Да Но при этом зеркалировать ВЕСЬ исходящий внешний трафик (а возможно и входящий ?) на nfqfilter Что проще - ХЗ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 1 сентября, 2016 · Жалоба Интересно ли кому-нибудь решение на базе nfqfilter не для nfqueue, а для зеркалированного трафика? Для работы с сетевой картой используется DPDK, поэтому производительность очень высокая. интересно. Получается, не будет необходимости держать кучу записей в таблице маршрутизации? (как бонус) Придется держать только маршруты, которые блокируются по ip (отправляем их в /dev/null). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pasha_49 Опубликовано 1 сентября, 2016 · Жалоба Подскажите пожалуйста по сборке в debian x86_64. Poco версии 1.7.5. Собирал и без параметров, и с "--static". Poco собирается и устанавливается. Но при конфигурировании nfqfilter ошибка: ... checking Poco/Util/Timer.h usability... yes checking Poco/Util/Timer.h presence... yes checking for Poco/Util/Timer.h... yes checking for main in -lPocoFoundation... yes configure: error: linking with PocoFoundation failed. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 1 сентября, 2016 · Жалоба Подскажите пожалуйста по сборке в debian x86_64. Poco версии 1.7.5. Собирал и без параметров, и с "--static". Poco собирается и устанавливается. Но при конфигурировании nfqfilter ошибка: ... checking Poco/Util/Timer.h usability... yes checking Poco/Util/Timer.h presence... yes checking for Poco/Util/Timer.h... yes checking for main in -lPocoFoundation... yes configure: error: linking with PocoFoundation failed. Смотрите config.log для поиска причины. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deniska00 Опубликовано 2 сентября, 2016 · Жалоба max1976 Здравствуйте! Спасибо за софт, он прекрасен! Я написал свой парсер для файла дампа ркн и генерирую для nfqfilter файлы (url, domains, ssl_domeins и т.д)! у меня к Вам 2 вопроса: 1. Не баняться некоторые домены https (все url что по ssl я обрезаю до домена и баню целиком домен, черевато, ну да ладно), как я понимаю это нормально (у тех. что d ssl пакете нет server_name )? 2. Некоторые url http у меня тоже не блокируются, как их нужно готовить для nfqfilter? Например не баниться (http://BigCinema-HD.tv/serialy/1203-serial-molodezhka-3-sezon-31-seriya.html, так же те url в конце у которых # аля blabla.ru/index.php#). Могу отправить еще примеры! Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 2 сентября, 2016 · Жалоба max1976 Здравствуйте! Спасибо за софт, он прекрасен! Я написал свой парсер для файла дампа ркн и генерирую для nfqfilter файлы (url, domains, ssl_domeins и т.д)! у меня к Вам 2 вопроса: 1. Не баняться некоторые домены https (все url что по ssl я обрезаю до домена и баню целиком домен, черевато, ну да ладно), как я понимаю это нормально (у тех. что d ssl пакете нет server_name )? 2. Некоторые url http у меня тоже не блокируются, как их нужно готовить для nfqfilter? Например не баниться (http://BigCinema-HD.tv/serialy/1203-serial-molodezhka-3-sezon-31-seriya.html, так же те url в конце у которых # аля blabla.ru/index.php#). Могу отправить еще примеры! Спасибо! Для nfqfilter имеется конфигуратор, который всё делает как надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 5 сентября, 2016 · Жалоба Как и обещал, представляю вашему вниманию фильтр extFilter, использующий DPDK, и работающий с зеркалом исходящего трафика от пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 5 сентября, 2016 · Жалоба Как и обещал, представляю вашему вниманию фильтр extFilter, использующий DPDK, и работающий с зеркалом исходящего трафика от пользователей. Спасибо! А можно еще пример внедрения с iptables\ebtables и vmbr на Linux, тут даже вроде писали про то что подходит инструкция от карбона — http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1259090 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...