Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

1 минуту назад, Antares сказал:

В каком смысле???

Скрипт может работать с quagga в 2х режимах: интерактивном - команды передаются напрямую в quagga, и в не интерактивном - создается файл-конфиг для quagga.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну тогда в интерактивном, я так понимаю через vtysh

просто до недавней поры всё работало без нареканий

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

25 минут назад, Antares сказал:

ну тогда в интерактивном, я так понимаю через vtysh

просто до недавней поры всё работало без нареканий

Проверьте, может что-то с самой quagga. vtysh -c 'show run' - должно выдать конфиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

квага работает, ip добавляются, но скрипт не завершается

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, Antares сказал:

квага работает, ip добавляются, но скрипт не завершается

Обновите ещё раз скрипт с github'а, ошибка не должна проявляться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, max1976 сказал:

Обновите ещё раз скрипт с github'а, ошибка не должна проявляться.

Вечером проверю, отпишусь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

47 минут назад, Antares сказал:

квага работает, ip добавляются, но скрипт не завершается

почему бы не использовать ip rule c blackhole   ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

57 минут назад, dee сказал:

почему бы не использовать ip rule c blackhole   ? 

Не понял

 

1 час назад, max1976 сказал:

Обновите ещё раз скрипт с github'а, ошибка не должна проявляться.

Спасибо, помогло. Ещё заметил баг, скрипт подтирает статические маршруты, которые были до этого в запущенном конфиге.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Antares сказал:

Не понял

 

ну судя по словам у тебя стоит PC router c quagga , а значит можно не применять саму службу бгп или статик роутов , а создать табличку в iproute , занести в эту табличку весь список запрещённых ip  с префиксом blackhole (ip route add blackhole x.x.x.x.x table blocked ) и через например iptables mark  помечаешь пакеты которые заворачиваешь в эту таблицу через ip rule : 

 

ipset -N not hash:ip
ipset -N not_net hash:net

ip rule add fwmark 0x2/0x2 lookup blocked pref 1000
iptables -t mangle -A PREROUTING -m set ! --match-set not src -m set ! --match-set not_net src -j MARK --set-mark 0x2

 

cat /etc/iproute2/rt_tables 
#
# reserved values
#
255    local
254    main
253    default
0    unspec
#
# local
#
#1    inr.ruhep

100    blocked

 

 

ну и поправить в скрипте что бы не трогал бгп а вносил просто в таблицу (кстати там есть эксклюд типа , выборочным адресам можно отменить блокировку).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, dee сказал:

ну судя по словам у тебя стоит PC router c quagga , а значит можно не применять саму службу бгп или статик роутов , а создать табличку в iproute , занести в эту табличку весь список запрещённых ip  с префиксом blackhole (ip route add blackhole x.x.x.x.x table blocked ) и через например iptables mark  помечаешь пакеты которые заворачиваешь в эту таблицу через ip rule : 

 

ipset -N not hash:ip
ipset -N not_net hash:net

ip rule add fwmark 0x2/0x2 lookup blocked pref 1000
iptables -t mangle -A PREROUTING -m set ! --match-set not src -m set ! --match-set not_net src -j MARK --set-mark 0x2

 

cat /etc/iproute2/rt_tables 
#
# reserved values
#
255    local
254    main
253    default
0    unspec
#
# local
#
#1    inr.ruhep

100    blocked

 

 

ну и поправить в скрипте что бы не трогал бгп а вносил просто в таблицу (кстати там есть эксклюд типа , выборочным адресам можно отменить блокировку).

А зачем так сложно??? На данный момент, после начала проблем со скриптом, чтобы не трогать bgp использую блокировку по ip ipset+iptables

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 часов назад, Antares сказал:

А зачем так сложно??? На данный момент, после начала проблем со скриптом, чтобы не трогать bgp использую блокировку по ip ipset+iptables

ip route blackhole вообще ресурсы не жрёт в отличие от ipset+iptables 

и вообще ничего сложного тут не виду , наоборот оч просто не используя ничего лишнего только штатную систему линукс .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, dee сказал:

ip route blackhole вообще ресурсы не жрёт в отличие от ipset+iptables 

и вообще ничего сложного тут не виду , наоборот оч просто не используя ничего лишнего только штатную систему линукс .

Да ладно, не заметил изменения нагрузки на сервак ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, Antares сказал:

Да ладно, не заметил изменения нагрузки на сервак ))))

когда ip вырастут под десятки тысяч ip адресов , вот тогда будет разница

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, dee сказал:

когда ip вырастут под десятки тысяч ip адресов , вот тогда будет разница

Вот тогда и будем думать )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 29.11.2017 в 15:10, max1976 сказал:

В конфиге никак. Только комментированием в коде со строки https://github.com/max197616/nfqfilter/blob/master/src/pktanalyzer.cpp#L325 по https://github.com/max197616/nfqfilter/blob/master/src/pktanalyzer.cpp#L329

 

 

Кто нибудь это пробовал? Смотрю сторонние форки тоже уже не коммитят у себя...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 07.11.2017 в 18:07, hsvt сказал:

У меня после с 03.11.17 в отчётах начала мелкать вот эта хрень. 

 

По https://52.50.87.120:16869 такое было, но давным давно и тогда решилось вот этим коммитом https://github.com/max197616/extfilter/commit/f95b837a0fdf93b533d7f404d672f7f8f87a905c

 

Сейчас вдруг снова почему то, extfilter последний 6f71a69708bf7698249982f40fa3f2b749a44f17

 

В tcpdump по 52.50.87.120 тишина на сервере extfilter.

 

В списках адреса есть

 

grep -rn '52.50.87.120' /home/extFilter/contrib/*
/home/extFilter/contrib/domains:21585:52.50.87.120
/home/extFilter/contrib/ssl_host:21585:52.50.87.120
/home/extFilter/contrib/ssl_ips:21536:52.50.87.120
 

protos файлик тоже есть.

 

А вот в /home/extFilter/contrib/hosts 52.50.87.120:16869 нет...

 

P.S. опытным путём выяснил. если добавить в hosts 52.50.87.120:16869 и сделать reload процессу extfilter - блокируется через tcp rst как и должно быть, НО стоит только запустить ./extfilter_maker.pl - начинает открываться. 

 

ЧЯДНТ ? 

 

Вот инфо лог работы extfilter_make.pl

 


2017-11-07 19:13:16 | INFO  | main  | Extfilter successfully reloaded/restarted!
2017-11-07 19:15:11 | INFO  | main  | Adding 8001 to http protocol
2017-11-07 19:15:11 | INFO  | main  | Adding 16869 to https protocol
2017-11-07 19:15:13 | INFO  | main  | Adding 8081 to http protocol
2017-11-07 19:15:13 | INFO  | main  | Adding 8080 to http protocol
2017-11-07 19:15:15 | INFO  | main  | Adding 8080 to http protocol
2017-11-07 19:15:15 | INFO  | main  | Adding 888 to http protocol
2017-11-07 19:15:15 | INFO  | main  | Adding 81 to http protocol
2017-11-07 19:15:15 | INFO  | main  | Adding 81 to http protocol
2017-11-07 19:15:16 | INFO  | main  | Adding 16869 to https protocol
2017-11-07 19:15:16 | INFO  | main  | Adding 16869 to https protocol
2017-11-07 19:15:18 | INFO  | main  | Adding 8080 to http protocol
2017-11-07 19:15:19 | INFO  | main  | Adding 8080 to http protocol

 

 

 

Обновился на f7cc2e4c91c6fe339177d42b1efcbe57d1ad3128 поймал тоже самое.

 

UDP. Отмена, уже удалили оказывается. 

 

Что же там за тупость то ***** там творится...

 

./erdi-search.sh 52.50.87.120:16869

Поиск данных в ЕАИС ЕРДИ
Запрос: 52.50.87.120:16869
Начало: -
Выгрузка dump-20171208-125903.xml - отсутствует
Выгрузка dump-20171121-160000.xml.gz - удалено

 

Screenshot_1.jpg

Изменено пользователем hsvt
отмена

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уважаемые, подскажите, что не так с перенаправлениями.

URL http://www.pixiv.net/member_illust.php?mode=medium&illust_id=45934497 блокируется, но в отчёте ревизора стоит

https://www.pixiv.net/member_illust.php?mode=medium&illust_id=45934497, 210.129.120.40, GET Роскомнадзор 20 Ноя, 2014 18:04:20 200 С: http://www.pixiv.net/member_illust.php?mode=medium&illust_id=45934497 (210.129.120.40). Т.е. сайт перенаправления работает. Https, на который осуществляется перенаправление, действительно открывается, но само перенаправление-то у нас не происходит, http блокируется. https-а в реестре нет. Как быть с такой ситуацией? Почему у них перенаправление проходит?

Проводивший тестирование ZapretService еще по одной проблеме высказался

"Вы, скорее всего уже заметили, что в последнее время в отчете АС Ревизор стали появляться пропуски по ресурсам «1xbk.mobi» и «bk-bet-1x.com», но при их открытии исправно производится сброс ssl-соединения. Мы сейчас ведем анализ такого явления и заметили, что сервера данных ресурсов, которые имеют ip-адреса 213.183.44.128, 213.183.43.1 и 213.183.44.3 иногда просто не отдают ssl-сертификат при ssl-соединении, чтобы ZS мог посмотреть SNI-информацию. Следовательно, такой трафик считается валидным и АС Ревизор получает http-ответ 200, поэтому и считает это за пропуск. Пока мы решаем данную проблему рекомендуем Вам внести данные ip-адреса в «Черный список» в качестве временного решения. Сообщаем Вам, что легальные ресурсы на данных ip-адресах мы не обнаружили."

Указанный ресурс 1xbk.mobi при открытии показывает страничку сброса соединения, но в отчёте ревизора показывается, как открывшийся. Как с таким бороться?

А еще не блочится замечательный ресурс http://ru.golos.ua:8081/politika/20110920_vseukrainskaya-politicheskaya-partiya-bratstvo-bratstvo

У него перенаправления нет, но просто так не блокируется, только при добавлении IP в contrib/hosts. Вообще, существует ли blacklist IP? или append в hosts делать постоянно списком?

Изменено пользователем daltech

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, daltech сказал:

А еще не блочится замечательный ресурс http://ru.golos.ua:8081/politika/20110920_vseukrainskaya-politicheskaya-partiya-bratstvo-bratstvo

У него перенаправления нет, но просто так не блокируется, только при добавлении IP в contrib/hosts. Вообще, существует ли blacklist IP? или append в hosts делать постоянно списком?

в реестре ua.golos.ua:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, daltech сказал:

Указанный ресурс 1xbk.mobi при открытии показывает страничку сброса соединения, но в отчёте ревизора показывается, как открывшийся. Как с таким бороться?

Может у вас фильтр медленно отдает ответы в сеть? Приведенная вами цитата не имеет никакого отношения к SNI в работе extfilter. Extfilter просматривает исходящие ssl соединения, а в них от ревизора всегда есть SNI.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ребят, ну неужели все без исключения пересели на extfilter с nfqfilter?

как победить это грёбаную точку в конце домена 1 уровня

 

a61b29d822c90bd0251d81c70a40c8b6.png
https://gyazo.com/a61b29d822c90bd0251d81c70a40c8b6

 

отблагодарю

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

yKpon Попробуй. У меня за ним ревизор вроде блочит

В 08.12.2017 в 13:50, hsvt сказал:

В конфиге никак. Только комментированием в коде со строки https://github.com/max197616/nfqfilter/blob/master/src/pktanalyzer.cpp#L325 по https://github.com/max197616/nfqfilter/blob/master/src/pktanalyzer.cpp#L329

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день

Используем nfqfilter для блокировки и zapret.pl соотвественно для выгрузки. Осчастливил нас недавно роскомнадзор, тем, что участвуем мы в пилотной программе и порядок выгрузки малость меняется. Смысл в том, что каждому оператору связи будет выдаваться логин/пароль и под этими данными и будем получать свою выгрузку, ну и кроме полных выгрузок появятся ещё дельты. Решил пока пойти наиболее быстрым путем и просто выгружать просто полную выгрузку с нового сервиса. В качестве авторизации на сервере роскомнадзора и используется "Basic Authorization" ,  на php soap+basic-auth реализуется моментально, на perl не смог осилить тоже самое  с модулем soap:lite. Может кто подскажет как прикрутить в перле или поделится реализованным? сейчас сделал крайне не красиво, закоментировал в zapret.pl все процедуры работы с soap а взамен вставил через system вызов php файла который и закачивает выгрузку, а далее выгрузка уже обрабатывается parseDump

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

коллеги, добрый вечер.

поставил с нуля 0.89 версию(давно не обновлялся), оч многое изменилось...

сейчас bgp так же обязателен? или от него ушли?

раньше около 1к маршрутов на нем висело

Изменено пользователем himikrzn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, phone сказал:

на perl не смог осилить тоже самое  с модулем soap:lite. Может кто подскажет как прикрутить в перле или поделится реализованным?

В заголовок запроса добавляется один параметр Authorization: Basic ***
где вместо *** base64 зашифрованная строка логин:пароль (через двоеточие). Например для логина 1111 и пароля 2222:  
Authorization: Basic MTExMToyMjIyCg==

Можно не мучиться с генерацией а сразу константой этот параметр впихнуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.