1. Для блокировка используем

[flow-control]

процессор 2х ядерный?

[fox_m]

Гм, я что-то не понял, если в URL заменяю доменное имя на ip адрес, то nfqfilter такой адрес пропускает. Это так и должно быть?

 

Кто на ком стоял ? Вы на попытку пойти на запрещенный ресурс выдаете 301 и URL вашего сервера с заглушкой? В тексте заглушки срисуте буквы по ссылке что я привел выше. Они их увидят и возрадуются. или пишите им что вашу заглушку неправилно определяет и дальше объясняйте как им ее определить.

 

У меня почему-то не возрадовались ) Снял заглушку, сегодня в отчете только 8 пропусков. Я правильно понял, заглушка должна быть примерно такая:

 

<html>
<head><meta charset=utf-8 />
       <title>Resource is blocked</title>
       <!-- for RKN:
               <title>Доступ ограничен</title>
       -->
</head>
<body>
       <h1>Resource is blocked</h1>
       <p>Sorry, but requested content was blocked.</p>
       <hr>
</body>

[myth]

процессор 2х ядерный?

да. Но сетевуха к DPDK подключена одна

Изменено 4 февраля, 2017 пользователем myth

[flow-control]

 

Нужно минимум 2 свободных ядра, не считая master. Т.е. запустить можно не менее чем на 4х ядерном процессоре.

[fox_m]

Коллеги, скрипт zapret.pl поддерживает собственный black list. Туда то нужно вносить: url, domian name или ip?

[Rick]

Собрал новый компьютер. Все собралось. Всплыла новая проблема

extFilter --config-file /etc/extfilter.ini
EAL: Detected 2 lcore(s)
EAL: No free hugepages reported in hugepages-1048576kB
EAL: Probing VFIO support...
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:1521 rte_igb_pmd
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:1521 rte_igb_pmd

 

Покажите пожалуйста вывод cat /proc/cpuinfo

и заодно cat /proc/meminfo | grep Huge

Да и оперативки маловато, желательно 8Gb

[hsvt]

4 мало точно, тоже не заводилось. Добавляли.

[Rick]

А вывод cat /proc/cpuinfo

и заодно cat /proc/meminfo | grep Huge

можно посмотреть ?

[myth]

а nfqfilter можно по схеме с BGP использовать?

 

или squid+squidGuard сразу втыкать?

[fox_m]

а nfqfilter можно по схеме с BGP использовать?

 

или squid+squidGuard сразу втыкать?

 

Можно, почему нет. У меня на сервере с nfqfilter стоит quagga, которая анонсит /32 префиксы.

[myth]

Я анонсирую запрещенные IP на фильтр, через ip rule избавлюсь от маршрутной петли. Что дальше?

[myth]

Ну вот, Интернет на сервер я подал в обход правил блокировки(серый IP), запрещенные IP туда завернул. Помогите настроить forward...

[myth]

Прозрачный squid В качестве транспорта - работает, все блокируется

 

Но хочется, чтоб без него работало

[taf_321]

блин, ну вы даете.

 

сходил на сайт, скачал и собрал dpdk-stable-16.07.2, скачал и собрал extfilter. extfilter поставлен слушать enp5s0. управление и ответы отправляются через enp6s0. На enp5s0 миррорится тот трафик, что является входящим для Internal-порта пограничника (то есть весь исходящий трафик). Для скорости сервер с фильтром завязан с BRAS-ами прямыми BGP-пирами.

 

ip r
default via 172.31.0.1 dev enp6s0 
...
172.16.0.5 via 172.31.0.3 dev enp6s0  proto bird 
172.16.0.8 via 172.31.0.3 dev enp6s0  proto bird 
172.16.0.10 via 172.31.0.1 dev enp6s0  proto bird 
172.16.0.17 via 172.31.0.3 dev enp6s0  proto bird 
...

ip -6 r
2a02:XXXX:26:1::/64 via fd00::102 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:2::/64 via fd00::101 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:5::/64 via fd00::101 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:6::/64 via fd00::102 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:7::/64 via fd00::102 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:8::/64 via fd00::101 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:a::/64 via fd00::102 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:b::/64 via fd00::101 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:c::/64 via fd00::102 dev enp6s0  proto bird  metric 1024  pref medium
2a02:XXXX:26:d::/64 via fd00::101 dev enp6s0  proto bird  metric 1024  pref medium

все. формируемые extfilter ответы направляются прямо на тот брас, на котором висит запросивший заблоченный ресурс клиент.

 

Блокировка IP сделана отдельно на пограничнике, где эти адреса тупо заворачиваются в NULL:

bird-4-null.conf
...
route 1.179.201.18/32 via "lo";
route 5.11.85.178/32 via "lo";
route 5.34.177.217/32 via "lo";
route 5.34.177.218/32 via "lo";
route 5.101.125.99/32 via "lo";
route 5.104.107.239/32 via "lo";
...

[swelf]

Появилась проблема с ssl в nfqfilter. Есть https host, похоже что хостинг провайдер делает sslbump, в итоге при установлении соединения я получаю server name, сертификат самоподписанный, но он не совпадает с именем хоста, соответственно этот хост не блокируется ни по server_name(не совпадает), ни по ssl_ip списку, потомучто список используется только когда совсем нету server_name. Это что получается, ssl теперь только по ip блокировать?

 

Либо если возможно, добавлять в nfqfilter проверку валидности сертификата.

[nickD]

По dns блокировать.

[myth]

Больше не работает

[dnvk]

myth, что не работает? *filter или блокировка по днс?

[swelf]

блокировка по днс. Ревизор идет по адресу сразу, не делая запросов.

[Стич]

Он сначала идёт по адресу который отрезолвил: от этого гарантированно спасёт блокировка по DNS

Потом идёт по IP адресу который в реестре: от этого гарантированно спасёт блокировка по IP:порт из реестра

Но рытьё DPI в SSL, не спасёт.

Изменено 8 февраля, 2017 пользователем Стич

[myth]

от этого гарантированно спасёт блокировка по DNS

в данном случае - это лишнее звено. От блокировки по днс я со спокойной совестью отказался.

 

рытьё DPI в SSL, не спасёт.

по Hello пакету вполне себе спасает

[arhead]

Сегодня письмецо пришло

 

Обращаем внимание, что начиная с 19.01.2017 изменен алгоритм проверки доступности запрещенных ресурсов, используемый системой «Ревизор». Если ранее проверка Ревизором проводилась только с использованием IP-адресов, полученных от DNS оператора связи, то теперь дополнительно к этому проверяется доступность ресурсов, используя IP-адреса, указанные в Реестре.

[hsvt]

Сегодня письмецо пришло

 

Обращаем внимание, что начиная с 19.01.2017 изменен алгоритм проверки доступности запрещенных ресурсов, используемый системой «Ревизор». Если ранее проверка Ревизором проводилась только с использованием IP-адресов, полученных от DNS оператора связи, то теперь дополнительно к этому проверяется доступность ресурсов, используя IP-адреса, указанные в Реестре.

 

А какие адреса указаны в ресстре ? Которые на момент выгрузки были актуальны и отрезолвены? или про тут речь про block type = ip ?

[tyva]

Получается, нужно около 48К ip адресов блокировать сейчас? В том числе и адреса http url-ов? Тогда на кой теперь всякие DPI нужны? Если требуют блочить все ip?

Кто-нибудь так уже делает?

[myth]

Работа nfqfilter устраивает Ревизор. Ни единого пропуска.

Схема такая

 

eth1.2 - BGP стык между NAS и сервером с nfqfilter

 

eth1.3 - Инет для nfqfilter

Изменено 8 февраля, 2017 пользователем myth