Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Пришлите конфиг, с которым запускаете фильтр.

; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
lower_host = true

domainlist = /usr/local/etc/extfilter/domains
urllist = /usr/local/etc/extfilter/urls
ssllist = /usr/local/etc/extfilter/ssl_host
hostlist = /usr/local/etc/extfilter/hosts

; Файл с портами для nDPI.
;protocols = /usr/local/etc/extfilter/protos

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /usr/local/etc/extfilter/ssl_ips

; если false, то будет послан rst пакет вместо редиректа. Default: false
http_redirect = true

redirect_url = http://block.local

; HTTP код ответа. default: 302 Moved Temporarily
http_code = 302 Found

; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего
url_additional_info=none


; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true

; Default: 0 - disable
statistic_interval = 300

; Default: false
match_url_exactly = false

; Default: false
block_undetected_ssl = false

; dpdk порт, где анализировать трафик
dpdk_port = 0

; dpdk порт(ы), где анализировать трафик
;dpdk_ports = 0,1

; размер пула mbuf. Default: 8191
;mbuf_pool_size = 8191

; количество потоков по анализу трафика
;num_of_workers=1

; Какие ядра использовать. Default: все ядра, кроме management.
core_mask = 1,2

; файл статистики (для extfilter-cacti)
statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500

; Количество flow, обрабатываемых программой. Должно быть кратно 2.
; flowhash_size = 1048576

; количество тредов для отсылки уведомлений о блокировке
; num_of_senders = 1

; делать ли нормализацию url
url_normalization = true

; удалять ли точку в конце имени хоста
remove_dot = true

[logging]
loggers.root.level = information
;loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 4
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

core_mask=1,2

 

Такое значение ничего не дает, т.к. здесь должно быть целое число (маска), а не список ядер. В данном случае фильтр запускается на ядрах, отличных от мастер-ядра.

У вас трафика не очень много - попробуйте установить

flowhash_size = 524288

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро?

 

Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро?

 

Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15.

Поставил, наблюдаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вываливается. Пробую с одним воркером

ps: не помогло...падает

Изменено пользователем Antares

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

Может быть увеличить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

Может быть увеличить?

 

Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

Может быть увеличить?

 

Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages.

Увеличил, наблюдаю

Раньше только это попадало в messages

Feb 26 17:00:38 ExtFilter systemd: extfilter.service: main process exited, code=killed, status=6/ABRT
Feb 26 17:00:38 ExtFilter systemd: Unit extfilter.service entered failed state.
Feb 26 17:00:38 ExtFilter systemd: extfilter.service failed.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно чуть подробней про новые опции

; делать ли нормализацию url
url_normalization = true

; удалять ли точку в конце имени хоста
remove_dot = true

 

Что есть "нормализация", защита от кривых урлов в реестре ? Это как то может влиять на пропуски?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

Может быть увеличить?

 

Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages.

Увеличил, наблюдаю

Раньше только это попадало в messages

Feb 26 17:00:38 ExtFilter systemd: extfilter.service: main process exited, code=killed, status=6/ABRT
Feb 26 17:00:38 ExtFilter systemd: Unit extfilter.service entered failed state.
Feb 26 17:00:38 ExtFilter systemd: extfilter.service failed.

Упало, в логах тоже только это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Упало, в логах тоже только это

 

Запустите extfilter в gdb и когда процесс завершится, введите bt и пришлите вывод этой команды.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро?

 

Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15.

так 15 - это 1111

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приветствую.

Подскажите какова эффективность блокировки с помощью extfilter и nfqfilter?

Сколько URL не блокируется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем проверить? Только в тему стал вникать... ревизором?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем проверить? Только в тему стал вникать... ревизором?

 

1. Регаешься тут: https://portal.rfc-revizor.ru "

2. оформляешь заявку на ревизор(ы), насколько знаю аппаратные агенты уже кончились, получишь VM

3. устанавливаешь агента

4. в портале подаешь запрос на отчет

 

В принципе можно не делать отчет.

Если все плохо куратор из Роскомнадзора позвонит контактному лицу в Вашей компании, с предупреждением.

Изменено пользователем Prototype-X

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не лишним будет перед перезапуском nfqfilter сделать drop для ревизора. Иначе возможны разовые пропуски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если все плохо куратор из Роскомнадзора позвонит контактному лицу в Вашей компании, с предупреждением.

Это от отношений зависит. Скорее всего просто выпишут протокол и никто никуда звонить не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем проверить? Только в тему стал вникать... ревизором?

 

https://github.com/orgtechservice/roskombox/tree/legacy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем проверить? Только в тему стал вникать... ревизором?

 

https://github.com/orgtechservice/roskombox/tree/legacy

 

слишком замарочено столько подтягивать и разворачивать, простая чекалка на питоне где-то была, сам не могу найти)

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

собралось.

если теперь из src запустить ./nfqfilter

./nfqfilter: error while loading shared libraries: libPocoNet.so.48: cannot open shared object file: No such file or directory

 

ldd nfqfilter

linux-vdso.so.1 => (0x00007ffdfb1eb000)

libnfnetlink.so.0 => /usr/lib/x86_64-linux-gnu/libnfnetlink.so.0 (0x00007fde3b625000)

libnetfilter_queue.so.1 => /usr/lib/x86_64-linux-gnu/libnetfilter_queue.so.1 (0x00007fde3b41e000)

libPocoNet.so.48 => not found

libPocoUtil.so.48 => not found

libPocoFoundation.so.48 => not found

libstdc++.so.6 => /usr/lib/x86_64-linux-gnu/libstdc++.so.6 (0x00007fde3b09a000)

libgcc_s.so.1 => /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x00007fde3ae84000)

libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fde3ac67000)

libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fde3a89d000)

libmnl.so.0 => /lib/x86_64-linux-gnu/libmnl.so.0 (0x00007fde3a697000)

libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fde3a38e000)

/lib64/ld-linux-x86-64.so.2 (0x000055cda3e33000)

 

хотя они лежат в

ls /usr/local/lib/

libPocoFoundationd.so libPocoJSONd.so libPocoNetd.so libPocoUtild.so libPocoXMLd.so python2.7

libPocoFoundationd.so.48 libPocoJSONd.so.48 libPocoNetd.so.48 libPocoUtild.so.48 libPocoXMLd.so.48 python3.5

libPocoFoundation.so libPocoJSON.so libPocoNet.so libPocoUtil.so libPocoXML.so

libPocoFoundation.so.48 libPocoJSON.so.48 libPocoNet.so.48 libPocoUtil.so.48 libPocoXML.so.48

Сделай

$ sudo ln -s /usr/local/lib/libPocoNet.so.48 /usr/lib/libPocoNet.so.48
$ sudo ldconfig

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток всем. Юзаю в тестовом режиме nfqfilter, вроде всё норм, но без квагги. Сейчас пытаюсь прикрутить кваггу, но хз, что не так, при запуске скрипта make_files.pl, скрипт может сутки висеть, и в кваггу добавляются где то 700-900 ip адресов. Как можно посмотреть что ему не хватает, что бы всё добавить? Заметил еще, что появился еще extFilter, что лучше юзать nfqfilter или переходить на extFilter?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток всем. Юзаю в тестовом режиме nfqfilter, вроде всё норм, но без квагги. Сейчас пытаюсь прикрутить кваггу, но хз, что не так, при запуске скрипта make_files.pl, скрипт может сутки висеть, и в кваггу добавляются где то 700-900 ip адресов. Как можно посмотреть что ему не хватает, что бы всё добавить? Заметил еще, что появился еще extFilter, что лучше юзать nfqfilter или переходить на extFilter?

как я понял, из всего что тут тесть, Вам нужен extFilter, он как раз для вашей задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.