1. Для блокировка используем

[hsvt]

Объясните кто-нибудь механизм доставки ответов клиенту. Нигде не могу найти

 

Ну в классическом режиме, один интерфейс на приём зеркала, а другой на отправку ответов\редиректов на заглушку. А вообще разработчик много раз говорил что схема такая же как и у карбон редуктора.

 

http://xgu.ru/wiki/Carbon_Reductor#.D0.9A.D0.B0.D0.BA_.D1.81.D0.BE.D0.B1.D1.81.D1.82.D0.B2.D0.B5.D0.BD.D0.BD.D0.BE_.D0.BE.D0.BD.D0.BE_.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D0.B0.D0.B5.D1.82

[myth]

а другой на отправку ответов\редиректов на заглушку

куда его втыкать то? На тазике кроме стыка что настраивать надо?

 

Перепробовал уже кучу вариантов, но не могу собрать DPDK на A4-3300. Оно в принципе на нем не собирается?

Изменено 3 февраля, 2017 пользователем myth

[myth]

Выдало таки ERROR: This system does not support "SSSE3". Теперь все ясно.

Изменено 2 февраля, 2017 пользователем myth

[yKpon]

nfqfilter, через него завернут весь исходящий трафик

 

в отчётах ревизора 80 пропусков, к примеру этот урл

https://gyazo.com/141ffee50b45f79f3b266efcf8df4d9b

 

он есть в базе, но реально не блокирует

 

вот полный список http://paste.org.ru/?ohfaae

 

P.S. из изменений в фильтре отключена квага

Изменено 3 февраля, 2017 пользователем yKpon

[fox_m]

Коллеги, подскажите. Установлен nfqfuilter. Запустил в работу вчера. Базы обновляет раз в час. Запросил сегодня отчет за сегодняшний день. В отчете около 1000 не заблокированных сайтов. Выборочно проверил несколько десятков сайтов из списка все - блочатся. Стоит аппаратный ревизор. Это он тупит или может у меня что-то не так?

 

Пример:

 

С: http://nr2.ru (104.28.21.87) 
С: http://nr2.ru (104.28.20.87) 
С: http://obozrevatel.com/politics/42537-pravyij-sektor-narodam-rossii-vasha-sudba-reshaetsya-v-ukraine.htm (91.194.251.72) 
С: http://obozrevatel.com/politics/42537-pravyij-sektor-narodam-rossii-vasha-sudba-reshaetsya-v-ukraine.htm (91.194.251.76) 
С: http://www.muqawamah.net (104.18.56.28) 
С: http://www.muqawamah.net (104.18.57.28) 
С: http://www.youtube.com/channel/UCaqmcdPL9ihWGzxntBKN8EA (64.233.165.198) 
С: http://www.youtube.com/channel/UCaqmcdPL9ihWGzxntBKN8EA (74.125.196.132) 
С: http://mirror297.graniru.info/ (104.239.182.79) 
С: http://mirror297.graniru.info/ (161.47.17.26) 
С: http://www.youtube.com/channel/UCaXQL81ri3Z3Jl0M-YQzJmw (64.233.165.198) 
С: http://www.youtube.com/channel/UCaXQL81ri3Z3Jl0M-YQzJmw (74.125.196.132) 
С: http://www.youtube.com/watch?v=c7AuAKq7r8Q (64.233.165.198) 
С: http://www.youtube.com/watch?v=c7AuAKq7r8Q (74.125.196.132) 
С: http://www.youtube.com/watch?v=eTnXv1OMZZc (64.233.165.198) 
С: http://www.youtube.com/watch?v=eTnXv1OMZZc (74.125.196.132) 
С: http://www.youtube.com/watch?v=mTO6CHl5M2I (64.233.165.198) 
С: http://www.youtube.com/watch?v=mTO6CHl5M2I (74.125.196.132) 
С: http://www.youtube.com/watch?v=KnX8xtZfnmI (64.233.165.198) 
С: http://www.youtube.com/watch?v=KnX8xtZfnmI (74.125.196.132) 
С: http://www.youtube.com/channel/UCtkY6_4e_hy0kjULxkVvtzA (64.233.165.198) 
С: http://www.youtube.com/channel/UCtkY6_4e_hy0kjULxkVvtzA (74.125.196.132) 
С: http://www.youtube.com/watch?v=iGZWURd1hQo (64.233.165.198) 
С: http://www.youtube.com/watch?v=iGZWURd1hQo (74.125.196.132) 
С: http://mirror337.graniru.info/ (161.47.17.26) 
С: http://mirror337.graniru.info/ (104.239.182.59) 
С: http://mirror45.graniru.info/ (104.130.52.155) 
С: http://mirror45.graniru.info/ (104.130.52.124) 
С: http://mirror45.graniru.info/ (162.209.115.12) 
С: http://mirror45.graniru.info/ (161.47.17.26) 
С: http://mirror45.graniru.info/ (162.209.114.79) 
С: http://mirror102.graniru.info/ (104.130.236.8) 
С: http://mirror102.graniru.info/ (161.47.17.26) 
С: http://mirror463.graniru.info/ (104.239.226.200) 
С: http://mirror463.graniru.info/ (161.47.17.26) 
С: http://www.youtube.com/channel/UCHhwcndxiVKMfYurJxQry2A (64.233.165.198) 
С: http://www.youtube.com/channel/UCHhwcndxiVKMfYurJxQry2A (74.125.196.132) 
С: http://mirror226.graniru.info/ (104.130.52.136) 
С: http://mirror226.graniru.info/ (161.47.17.26) 
С: http://mirror475.graniru.info/ (161.47.17.26) 
С: http://mirror207.graniru.info/ (104.130.52.198) 

Изменено 3 февраля, 2017 пользователем fox_m

[zhenya`]

IP поди меняются.

[fox_m]

Позвонил у тех поддержку, сказали что аппаратный ревизор про проверке помимо того, что делает резолв доменного имени, а так же делает проверку по ip адресам ресурса, указанных в реестре.

[micol]

Коллеги, поделитесь опытом, кто как блокирует отдельные ролики на youtube.com при помощи nfqfilter?

 

Проверяете curl-ом не браузером... Если хоть раз ходили браузером на ютуб - то он автоматом будет на HTTPS кидать, а там не сработает, т.к. ссылка в реестре HTTP

[fox_m]

Коллеги, подскажите, почему в конфиг quagga/zebra попадает всего около 900 маршрутов, тогда как доменов гораздо больше?

[skinner]

потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше

[fox_m]

потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше

 

Вот и я про тоже. Куда копать в zapret.pl или make_files.pl?

[fox_m]

потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше

 

Коллеги, как понимать это сообщение:

 

2017-02-03 11:56:35 | INFO  | main  | Quagga configuration successfully updated: added 34516 ipv4 ips, added 0 ipv6 ips, deleted 0 ipv4 ips, deleted 0 ipv6 ips, added 832 ipv4 routes to blackhole, 
added 0 ipv6 routes to blackhole, deleted 0 ipv4 routes from blackhole, deleted 0 ipv6 routes from blackhole.\

 

Куда он добавил 34516 маршрутов? И почему только 832 завернул в Null?

[hsvt]

потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше

 

Коллеги, как понимать это сообщение:

 

2017-02-03 11:56:35 | INFO  | main  | Quagga configuration successfully updated: added 34516 ipv4 ips, added 0 ipv6 ips, deleted 0 ipv4 ips, deleted 0 ipv6 ips, added 832 ipv4 routes to blackhole, 
added 0 ipv6 routes to blackhole, deleted 0 ipv4 routes from blackhole, deleted 0 ipv6 routes from blackhole.\

 

Куда он добавил 34516 маршрутов? И почему только 832 завернул в Null?

 

832 это те которые оператор должен блокировать по IP наглухо, какой там тип в выгрузке сейчас не помню.

 

Остальные 34516 это то, что отрезолвил скрипт zapret.pl, эти маршруты должны анонсироваться на сервер доступа с клиентами или на бордер. Далее когда клиент пытается зайти на badsite.net если DNS запись еще актуальна и сайт не сменил IP, маршрутом его завернёт на сервер с nfqfilter и сам демон сверит со списком доменов и прочем. Вроде примерно так.

Изменено 3 февраля, 2017 пользователем hsvt

[hsvt]

а другой на отправку ответов\редиректов на заглушку

куда его втыкать то? На тазике кроме стыка что настраивать надо?

 

Перепробовал уже кучу вариантов, но не могу собрать DPDK на A4-3300. Оно в принципе на нем не собирается?

 

У нас воткнуто в ядро интерфейс для ответов, уже зависит от схематичности и топологии.

[myth]

pppoe, один сервер. Сетевуху с DPDK планирую втыкать в зеркало аплинка

[fox_m]

потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше

 

Коллеги, как понимать это сообщение:

 

2017-02-03 11:56:35 | INFO  | main  | Quagga configuration successfully updated: added 34516 ipv4 ips, added 0 ipv6 ips, deleted 0 ipv4 ips, deleted 0 ipv6 ips, added 832 ipv4 routes to blackhole, 
added 0 ipv6 routes to blackhole, deleted 0 ipv4 routes from blackhole, deleted 0 ipv6 routes from blackhole.\

 

Куда он добавил 34516 маршрутов? И почему только 832 завернул в Null?

 

832 это те которые оператор должен блокировать по IP наглухо, какой там тип в выгрузке сейчас не помню.

 

Остальные 34516 это то, что отрезолвил скрипт zapret.pl, эти маршруты должны анонсироваться на сервер доступа с клиентами или на бордер. Далее когда клиент пытается зайти на badsite.net если DNS запись еще актуальна и сайт не сменил IP, маршрутом его завернёт на сервер с nfqfilter и сам демон сверит со списком доменов и прочем. Вроде примерно так.

 

Все с этим разобрался. Поясните еще, как работает ревизор для разных blockType? Если, например, blockType=domain или вообще ничего не указано, будет ли он проверять еще и ip адрес?

[dzek.ru]

....slip

[root@block quagga]# grep network /etc/quagga/bgpd.conf|wc -l

43409

[root@block quagga]#

[fox_m]

....slip

[root@block quagga]# grep network /etc/quagga/bgpd.conf|wc -l

43409

[root@block quagga]#

 

[root@rkn contrib]# grep network /etc/quagga/bgpd.conf|wc -l

34643

 

А вы zapret.pl и make_files.pl используете?

[fox_m]

Коллеги, я совсем чего-то запутался, вот конфиг nfqfilter:

 

; Queue number
queue = 0

domainlist = /opt/rkn/contrib/domains

urllist = /opt/rkn/contrib/urls
; SSL domains
ssllist = /opt/rkn/contrib/ssl_host
; ip:port block
hostlist = /opt/rkn/contrib/hosts

; Reirect url
redirect_url = http://193.33.XXX.XXX/msg.html


; HTTP code answer
http_code = 302 Moved Temporarily

;url_additional_info=url


;protocols = /opt/rkn/contrib/protocols

statistic_interval = 300

send_rst = true

mark_value = 17

; max_pending_packets = 1024

; save_bad_packets = false

; block_undetected_ssl = false

; sslips = /opt/rkn/contrib/ssl_ips

; lower_host = false
; 
; match_url_exactly = false

; url_decode = false

; num_threads = 2

[logging]
loggers.root.level = information
;loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/nfqfilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

 

Соответственно, когда я из браузера захожу на запрещенный сайт, то получаю заглушку. Но Ревизор, судя по всему, расценивает ответ от сервера с заглушкой, как ответ от сайта и считает, что он не закрыт. Сегодня получил отчет и там везде фигурирует мой сервер с заглушкой. Получается, что с редиректом не получится? Или я что то не до понял?

[st_re]

Соответственно, когда я из браузера захожу на запрещенный сайт, то получаю заглушку. Но Ревизор, судя по всему, расценивает ответ от сервера с заглушкой, как ответ от сайта и считает, что он не закрыт. Сегодня получил отчет и там везде фигурирует мой сервер с заглушкой. Получается, что с редиректом не получится? Или я что то не до понял?

 

 

http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=1366814

 

тут написано на что оно (вроде как) реагирует что там заглушка.

[fox_m]

Гм, я что-то не понял, если в URL заменяю доменное имя на ip адрес, то nfqfilter такой адрес пропускает. Это так и должно быть?

[Vans]

Да. Мы ж блокируем URL, а подстановкой IP URL по сути меняется. И это в целом так и должно быть.

[st_re]

Гм, я что-то не понял, если в URL заменяю доменное имя на ip адрес, то nfqfilter такой адрес пропускает. Это так и должно быть?

 

Кто на ком стоял ? Вы на попытку пойти на запрещенный ресурс выдаете 301 и URL вашего сервера с заглушкой? В тексте заглушки срисуте буквы по ссылке что я привел выше. Они их увидят и возрадуются. или пишите им что вашу заглушку неправилно определяет и дальше объясняйте как им ее определить.

[myth]

Собрал новый компьютер. Все собралось. Всплыла новая проблема

extFilter --config-file /etc/extfilter.ini
EAL: Detected 2 lcore(s)
EAL: No free hugepages reported in hugepages-1048576kB
EAL: Probing VFIO support...
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:1521 rte_igb_pmd
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:1521 rte_igb_pmd

[myth]

Памяти 4GB