1. Для блокировка используем

[hsvt]

1 час назад, admf сказал:

тоже стоит nfqfilter, но блокирует домены. Есть пропуски по ссылкам типа:

http://av.av4.xyz/v/s://video.fc2.com/content/2013090369DYpXhh/title/%E5%AF%9D%E3%81%A6%E3%82%8B%E5%AD%90%E3%81%AE%E3%82%A2%E3%83%8A%E3%83%AB%E3%81%AB%E3%81%93%E3%81%A3%E3%81%9D%E3%82%8A%E6%8C%BF%E5%85%A5%20[2:36x240p]

 

а вы чей nfqfilter используете (правда я не знаю есть ли разница между ними:  myth11 max197616)?

у меня наоборот, эту ссылку блочит, а вот как у Укропа - тоже пропускает, версию уже не помню, много наплодили что-то )

[admf]

5 минут назад, hsvt сказал:

у меня наоборот, эту ссылку блочит, а вот как у Укропа - тоже пропускает, версию уже не помню, много наплодили что-то )

уже интереснее, у меня стоит от myth11,  попробую собрать от max197616 - посмотрим что изменится.

 

А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker

[hsvt]

16 минут назад, admf сказал:

уже интереснее, у меня стоит от myth11,  попробую собрать от max197616 - посмотрим что изменится.

 

А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker

да, этим же скриптом.

[yKpon]

@admf @hsvt да, файлы этим же скриптом формирую, а вот сборка nfqfilter честно уже не помню от кого

[admf]

2 часа назад, admf сказал:

уже интереснее, у меня стоит от myth11,  попробую собрать от max197616 - посмотрим что изменится.

 

А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker

у меня ситуация не изменилась, ссылки также открываются, домены заблокированы.

 

А может проблема в том, что "howto" 

 nDPI = 1.7-stable (ставится автоматически с github с наложением необходимых патчей)

а ставится  nDPI 1.8.0-HEAD-612-f51fef6

 

 

Изменено 24 апреля, 2018 пользователем admf

[alexdirty]

extFilter проработал почти сутки и упал.

При запуске:

Syntax error: Cannot convert to boolean: none

Подскажите пожалуйста, куда смотреть.

 

UPD1: сейчас пересмотрю конфиг, т.к. с дефолтным конфигом уже другие, соответствующие ошибки.

UPD2: пардон, всё летатет ;)  Сам в конфиг вписал none, там где должно быть false.

 

max197616, спасибо огромное за твой труд!

Изменено 24 апреля, 2018 пользователем alexdirty
UPD2

[swsn]

Я тут задумался как облегчить жизнь пользователям в период блокировки google.

Как думаете на счет rpz в днс?

резолвим www.google.com , translate.google.com etc.

Формируем rpz зону  исключая заблокированные ip, получаем dns  выдачу без заблокированных ip , не поломав основную зону google.com

[privetprivet]

Ребят, привет, а у кого нибудь есть проблема с автоматической выгрузкой реестра? У меня скрипт отваливается по тайм-ауту, такая же беда была два дня назад. Починилось спустя сутки после звонка в РКН

[admf]

2 минуты назад, privetprivet сказал:

Ребят, привет, а у кого нибудь есть проблема с автоматической выгрузкой реестра? У меня скрипт отваливается по тайм-ауту, такая же беда была два дня назад. Починилось спустя сутки после звонка в РКН

проблем не было замечено.

 

37 минут назад, yKpon сказал:

@admf @hsvt да, файлы этим же скриптом формирую, а вот сборка nfqfilter честно уже не помню от кого

а подскажите по конфигу nfqfilter, 

 

; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами.
; block_undetected_ssl = false
; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true)
; sslips = /path/to/file
; перевод host: в строчные символы
; lower_host = false
;
; match_url_exactly = false
; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы
; url_decode = false
 

включали чего?

 

 

[hsvt]

1 минуту назад, admf сказал:

проблем не было замечено.

 

а подскажите по конфигу nfqfilter, 

 

; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами.
; block_undetected_ssl = false
; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true)
; sslips = /path/to/file
; перевод host: в строчные символы
; lower_host = false
;
; match_url_exactly = false
; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы
; url_decode = false
 

включали чего?

 

 

block_undetected_ssl = true

send_rst = true

[yKpon]

4 минуты назад, admf сказал:

включали чего?

вот конфиг

; номер очереди
queue = 0
; файл с доменами для блокировки
domainlist = /usr/local/etc/nfqfilter/dumps/domains
; файл с url для блокировки
urllist = /usr/local/etc/nfqfilter/dumps/urls
; файл с ssl доменами для блокировки
ssllist = /usr/local/etc/nfqfilter/dumps/ssl_host
; файл с ip:port для блокировки
hostlist = /usr/local/etc/nfqfilter/dumps/hosts

; куда редиректить в случае наличия в списках
redirect_url = http://10.2.0.3:81/?
; HTTP код ответа. default: 302 Moved Temporarily
http_code = 302 Moved Temporarily
; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего
url_additional_info=none

; дополнительные порты для протоколов (nDPI)
; protocols = /usr/local/etc/nfqfilter/dumps/protos
; время вывода статистики по использованию памяти, минут
statistic_interval = 10
; если установлено в true, то сам nfqfilter отправляет tcp rst клиенту и серверу (тогда mark_value не используется) в случае фильтрации https и ip:port
send_rst = true
; каким значением метить пакеты для iptables в случае наличия в списках ssl и hosts
mark_value = 17
; количество обрабатываемых пакетов (default: 1024)
; max_pending_packets = 1024
; сохранять пакеты ошибками в /tmp
; save_bad_packets = false
; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами.
; block_undetected_ssl = false
; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true)
; sslips = /path/to/file
; перевод host: в строчные символы
lower_host = true
; host должен точно совпадать со списком, т.е. в списке есть example.com, в запросе www.example.com - не блокируем.
; match_host_exactly = false
; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы
; url_decode = false
; Количество потоков обработки пакетов
num_threads = 1

[logging]
;loggers.root.level = information
;loggers.root.level = debug
;loggers.root.channel = fileChannel
;channels.fileChannel.class = FileChannel
;channels.fileChannel.path = /var/log/nfqfilter/nfqfilter.log
;channels.fileChannel.rotation = 1 M
;channels.fileChannel.archive = timestamp
;channels.fileChannel.formatter.class = PatternFormatter
;channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
;channels.fileChannel.formatter.times = local

[admf]

у меня не чего не меняется, а у Вас какая ОС?

[alexdirty]

Ревизор нашёл пропуск в виде https://www.mepin.com
Я в реестре не нашёл его. Есть ли такой в реестре?

[swsn]

6 минут назад, alexdirty сказал:

www.mepin.com

Нет, и в истории не наблюдаю такого url

[alexdirty]

7 минут назад, swsn сказал:

Нет, и в истории не наблюдаю такого url

А, нашёл, это они так проверяют блокировку по подсетям. Ломанулись на http://18.197.0.0 и https://18.197.0.0 и получив редирект на www.mepin.com зафиксировали таким образом пропуск.

 

Адрес перенаправления
С: http://18.197.0.0 (18.197.0.
0), https://18.197.0.0/ (18.
197.0.0)

Была необходимость на несколько секунд роуты погасить (((

Изменено 24 апреля, 2018 пользователем alexdirty

[swsn]

я так понимаю проверка блокировки сети на адресе сети и заканчивается:D

[s.lobanov]

со временем допилят рандом. они раньше и по type=ip проверяли только http, а теперь и https тоже проверяют, даже если по http нет ответа/icmp/tcp-reject

[boco]

2 часа назад, swsn сказал:

как облегчить жизнь пользователям в период блокировки google. Как думаете на счет rpz в днс?

попробуйте unbound + private-address в нем. список адресов, которые надо исключать из выдачи, можно взять на https://usher2.club/

dnssec, видимо, поломается.

[swsn]

3 часа назад, boco сказал:

попробуйте unbound + private-address в нем. список адресов, которые надо исключать из выдачи, можно взять на https://usher2.club/

dnssec, видимо, поломается.

Попробовал, при совпадении в ответе одного айпишника вырезает всё) только ipv6 оставляет. 

[boco]

6 часов назад, swsn сказал:

Попробовал, при совпадении в ответе одного айпишника вырезает всё) только ipv6 оставляет. 

странно, у меня работает. unbound 1.7.0

[swsn]

 

4 часа назад, boco сказал:

странно, у меня работает. unbound 1.7.0

да, в версии из пакетов не работало, 1.7 скомпилил - заработало.

[taf_321]

В 24.04.2018 в 04:20, rm_ сказал:

А, так вот этот оператор "сына маминой подруги" и разгадка почему у него "всё открывается".

До первой прокурорской проверки "в поле". Нас уже пытались таким образом приголубить.

[arhead]

В 24.04.2018 в 09:08, Tamahome сказал:

Ревизор начал "штрафовать" за гугл...

Тоже в отчетах такое есть. Хочется позвонить и спросить что вы там курите и гугл не блокируете.

Изменено 25 апреля, 2018 пользователем arhead

[alexdirty]

Умственные способности "блокировщиков" не перестают удивлять.

 

Что они хотели добиться этими url`ами в ресеетре?:
 

http://1000symbols.ru/?utm_source=google.ru
http://1000symbols.ru/?utm_source=www.google.ru

 

 

В 24.04.2018 в 09:13, Antares сказал:

Тоже со вчерашнего дня такие "пропуски"

Это они так детектят пропуски по IP. Ломятся на IP, а там редирект. И в пропуск пишут уже domain после редиректа.

[oleg_n]

youtube опять отвалился. s.ytimg.com в блоке.