hsvt Опубликовано 24 апреля, 2018 · Жалоба 1 час назад, admf сказал: тоже стоит nfqfilter, но блокирует домены. Есть пропуски по ссылкам типа: http://av.av4.xyz/v/s://video.fc2.com/content/2013090369DYpXhh/title/%E5%AF%9D%E3%81%A6%E3%82%8B%E5%AD%90%E3%81%AE%E3%82%A2%E3%83%8A%E3%83%AB%E3%81%AB%E3%81%93%E3%81%A3%E3%81%9D%E3%82%8A%E6%8C%BF%E5%85%A5%20[2:36x240p] а вы чей nfqfilter используете (правда я не знаю есть ли разница между ними: myth11 max197616)? у меня наоборот, эту ссылку блочит, а вот как у Укропа - тоже пропускает, версию уже не помню, много наплодили что-то ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
admf Опубликовано 24 апреля, 2018 · Жалоба 5 минут назад, hsvt сказал: у меня наоборот, эту ссылку блочит, а вот как у Укропа - тоже пропускает, версию уже не помню, много наплодили что-то ) уже интереснее, у меня стоит от myth11, попробую собрать от max197616 - посмотрим что изменится. А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 24 апреля, 2018 · Жалоба 16 минут назад, admf сказал: уже интереснее, у меня стоит от myth11, попробую собрать от max197616 - посмотрим что изменится. А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker да, этим же скриптом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 24 апреля, 2018 · Жалоба @admf @hsvt да, файлы этим же скриптом формирую, а вот сборка nfqfilter честно уже не помню от кого Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
admf Опубликовано 24 апреля, 2018 (изменено) · Жалоба 2 часа назад, admf сказал: уже интереснее, у меня стоит от myth11, попробую собрать от max197616 - посмотрим что изменится. А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker у меня ситуация не изменилась, ссылки также открываются, домены заблокированы. А может проблема в том, что "howto" nDPI = 1.7-stable (ставится автоматически с github с наложением необходимых патчей) а ставится nDPI 1.8.0-HEAD-612-f51fef6 Изменено 24 апреля, 2018 пользователем admf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 24 апреля, 2018 (изменено) · Жалоба extFilter проработал почти сутки и упал. При запуске: Syntax error: Cannot convert to boolean: none Подскажите пожалуйста, куда смотреть. UPD1: сейчас пересмотрю конфиг, т.к. с дефолтным конфигом уже другие, соответствующие ошибки. UPD2: пардон, всё летатет ;) Сам в конфиг вписал none, там где должно быть false. max197616, спасибо огромное за твой труд! Изменено 24 апреля, 2018 пользователем alexdirty UPD2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 24 апреля, 2018 · Жалоба Я тут задумался как облегчить жизнь пользователям в период блокировки google. Как думаете на счет rpz в днс? резолвим www.google.com , translate.google.com etc. Формируем rpz зону исключая заблокированные ip, получаем dns выдачу без заблокированных ip , не поломав основную зону google.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
privetprivet Опубликовано 24 апреля, 2018 · Жалоба Ребят, привет, а у кого нибудь есть проблема с автоматической выгрузкой реестра? У меня скрипт отваливается по тайм-ауту, такая же беда была два дня назад. Починилось спустя сутки после звонка в РКН Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
admf Опубликовано 24 апреля, 2018 · Жалоба 2 минуты назад, privetprivet сказал: Ребят, привет, а у кого нибудь есть проблема с автоматической выгрузкой реестра? У меня скрипт отваливается по тайм-ауту, такая же беда была два дня назад. Починилось спустя сутки после звонка в РКН проблем не было замечено. 37 минут назад, yKpon сказал: @admf @hsvt да, файлы этим же скриптом формирую, а вот сборка nfqfilter честно уже не помню от кого а подскажите по конфигу nfqfilter, ; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами. ; block_undetected_ssl = false ; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true) ; sslips = /path/to/file ; перевод host: в строчные символы ; lower_host = false ; ; match_url_exactly = false ; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы ; url_decode = false включали чего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 24 апреля, 2018 · Жалоба 1 минуту назад, admf сказал: проблем не было замечено. а подскажите по конфигу nfqfilter, ; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами. ; block_undetected_ssl = false ; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true) ; sslips = /path/to/file ; перевод host: в строчные символы ; lower_host = false ; ; match_url_exactly = false ; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы ; url_decode = false включали чего? block_undetected_ssl = true send_rst = true Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 24 апреля, 2018 · Жалоба 4 минуты назад, admf сказал: включали чего? вот конфиг ; номер очереди queue = 0 ; файл с доменами для блокировки domainlist = /usr/local/etc/nfqfilter/dumps/domains ; файл с url для блокировки urllist = /usr/local/etc/nfqfilter/dumps/urls ; файл с ssl доменами для блокировки ssllist = /usr/local/etc/nfqfilter/dumps/ssl_host ; файл с ip:port для блокировки hostlist = /usr/local/etc/nfqfilter/dumps/hosts ; куда редиректить в случае наличия в списках redirect_url = http://10.2.0.3:81/? ; HTTP код ответа. default: 302 Moved Temporarily http_code = 302 Moved Temporarily ; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего url_additional_info=none ; дополнительные порты для протоколов (nDPI) ; protocols = /usr/local/etc/nfqfilter/dumps/protos ; время вывода статистики по использованию памяти, минут statistic_interval = 10 ; если установлено в true, то сам nfqfilter отправляет tcp rst клиенту и серверу (тогда mark_value не используется) в случае фильтрации https и ip:port send_rst = true ; каким значением метить пакеты для iptables в случае наличия в списках ssl и hosts mark_value = 17 ; количество обрабатываемых пакетов (default: 1024) ; max_pending_packets = 1024 ; сохранять пакеты ошибками в /tmp ; save_bad_packets = false ; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами. ; block_undetected_ssl = false ; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true) ; sslips = /path/to/file ; перевод host: в строчные символы lower_host = true ; host должен точно совпадать со списком, т.е. в списке есть example.com, в запросе www.example.com - не блокируем. ; match_host_exactly = false ; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы ; url_decode = false ; Количество потоков обработки пакетов num_threads = 1 [logging] ;loggers.root.level = information ;loggers.root.level = debug ;loggers.root.channel = fileChannel ;channels.fileChannel.class = FileChannel ;channels.fileChannel.path = /var/log/nfqfilter/nfqfilter.log ;channels.fileChannel.rotation = 1 M ;channels.fileChannel.archive = timestamp ;channels.fileChannel.formatter.class = PatternFormatter ;channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t ;channels.fileChannel.formatter.times = local Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
admf Опубликовано 24 апреля, 2018 · Жалоба у меня не чего не меняется, а у Вас какая ОС? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 24 апреля, 2018 · Жалоба Ревизор нашёл пропуск в виде https://www.mepin.com Я в реестре не нашёл его. Есть ли такой в реестре? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 24 апреля, 2018 · Жалоба 6 минут назад, alexdirty сказал: www.mepin.com Нет, и в истории не наблюдаю такого url Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 24 апреля, 2018 (изменено) · Жалоба 7 минут назад, swsn сказал: Нет, и в истории не наблюдаю такого url А, нашёл, это они так проверяют блокировку по подсетям. Ломанулись на http://18.197.0.0 и https://18.197.0.0 и получив редирект на www.mepin.com зафиксировали таким образом пропуск. Адрес перенаправления С: http://18.197.0.0 (18.197.0. 0), https://18.197.0.0/ (18. 197.0.0) Была необходимость на несколько секунд роуты погасить ((( Изменено 24 апреля, 2018 пользователем alexdirty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 24 апреля, 2018 · Жалоба я так понимаю проверка блокировки сети на адресе сети и заканчивается:D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 апреля, 2018 · Жалоба со временем допилят рандом. они раньше и по type=ip проверяли только http, а теперь и https тоже проверяют, даже если по http нет ответа/icmp/tcp-reject Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 24 апреля, 2018 · Жалоба 2 часа назад, swsn сказал: как облегчить жизнь пользователям в период блокировки google. Как думаете на счет rpz в днс? попробуйте unbound + private-address в нем. список адресов, которые надо исключать из выдачи, можно взять на https://usher2.club/ dnssec, видимо, поломается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 24 апреля, 2018 · Жалоба 3 часа назад, boco сказал: попробуйте unbound + private-address в нем. список адресов, которые надо исключать из выдачи, можно взять на https://usher2.club/ dnssec, видимо, поломается. Попробовал, при совпадении в ответе одного айпишника вырезает всё) только ipv6 оставляет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 25 апреля, 2018 · Жалоба 6 часов назад, swsn сказал: Попробовал, при совпадении в ответе одного айпишника вырезает всё) только ipv6 оставляет. странно, у меня работает. unbound 1.7.0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 25 апреля, 2018 · Жалоба 4 часа назад, boco сказал: странно, у меня работает. unbound 1.7.0 да, в версии из пакетов не работало, 1.7 скомпилил - заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 25 апреля, 2018 · Жалоба В 24.04.2018 в 04:20, rm_ сказал: А, так вот этот оператор "сына маминой подруги" и разгадка почему у него "всё открывается". До первой прокурорской проверки "в поле". Нас уже пытались таким образом приголубить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 25 апреля, 2018 (изменено) · Жалоба В 24.04.2018 в 09:08, Tamahome сказал: Ревизор начал "штрафовать" за гугл... Тоже в отчетах такое есть. Хочется позвонить и спросить что вы там курите и гугл не блокируете. Изменено 25 апреля, 2018 пользователем arhead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 25 апреля, 2018 · Жалоба Умственные способности "блокировщиков" не перестают удивлять. Что они хотели добиться этими url`ами в ресеетре?: http://1000symbols.ru/?utm_source=google.ru http://1000symbols.ru/?utm_source=www.google.ru В 24.04.2018 в 09:13, Antares сказал: Тоже со вчерашнего дня такие "пропуски" Это они так детектят пропуски по IP. Ломятся на IP, а там редирект. И в пропуск пишут уже domain после редиректа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 25 апреля, 2018 · Жалоба youtube опять отвалился. s.ytimg.com в блоке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...