Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

В конфиге quagga. В частности в bgp

vtysh -d bgpd -c 'show run' | grep config-type

если выдаст bgp config-type cisco значит попробуй убрать данную строку из конфига quagga

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45 минут назад, Nickollla сказал:

В конфиге quagga. В частности в bgp

vtysh -d bgpd -c 'show run' | grep config-type

если выдаст bgp config-type cisco значит попробуй убрать данную строку из конфига quagga

 

нет там такого )) просто у меня такая проблема тоже была, победить не смог, ушёл на iptables+ipset

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Antares значит тебе придется лезть в сам скрипт и смотреть.

Моя проблема заключалась в том что анонсы не убирал из bgp. При этом роут в null убирал. Связано это было с форматом конфига в quagge

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Nickollla сказал:

@Antares значит тебе придется лезть в сам скрипт и смотреть.

Моя проблема заключалась в том что анонсы не убирал из bgp. При этом роут в null убирал. Связано это было с форматом конфига в quagge

я забил ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, Nickollla said:

Это вероятно из-за формата в котором хранит конфигурацию quagga.

У вас вероятно в конфиге стоит bgp config-type cisco
Скрипт ожидает формат network 1.179.201.18/32, а в cisco нотации получает network 1.179.201.18 mask 255.255.255.255

 

Нет, с типом конфига порядок.

 

Уточнение в квагге:

 не удаляются и network для subnets и

 не удаляются ip route для subnets, но в разных количествах.

ХЗ откуда берется разница.

 

 Очистил конфиг квагги (no network, no ip route), залил по новой через make_files.pl

После перезаливки, по сравнению с предидущим конфигом:

diff по network -327 строк, сети от /10 до /24, но не мельче

diff по route -30 строк, также от /10 до /24, но не мельче

 

Простое решение - периодически чистить конфиг квагги

 (или забить :-) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, приветствую.

С 1 июля Ревизор в одном из населенных пунктов вообще ах*ел. Посыпались отчеты о неблокировке HTTPS-доменов. После некоторой диагностики выяснили, что при проверках, Ревизор перестал использовать IP-адреса от нашего DNS-сервера, а стал использовать реальные из реестра для проверки заблокированного HTTPS-домена. Весь DNS-трафик мы принудительно перенаправляем на свой DNS, в котором залоченным HTTPS-доменам подменяем IP на свои (заглушка).

 

Пришло постановление и в суд. 

Пришлось фильтровать HTTPS по IP. ***ы.

 

Кто сталкивался я подобным поведением ?

 

PS Хотим ходатайствовать в суде и указать на официальные (https://rkn.gov.ru/docs/11111_Rekomendacii_15.pdf) рекомендации по блокироке HTTPS-доменов - там сказано, что фильтровать зашифрованные сайты можно через фильтрацию DNS-запросов. Где сказано, как, ***, ревизор проверяет сайты ? Где-нибудь сказано, что ему *** на DNS-провайдера ?

Изменено пользователем morf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, morf сказал:

Ревизор перестал использовать IP-адреса от нашего DNS-сервера, а стал использовать реальные из реестра для проверки заблокированного HTTPS-домена.

Данный алгоритм работы ревизора очень давно внедрен. Я сильно удивлен что Вы только-только споткнулись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, AN111 сказал:

Простое решение - периодически чистить конфиг квагги

 (или забить :-) )

А может вам для кваги попробовать использовать https://github.com/max197616/extfilter/tree/exp/scripts/extfilter-quagga?

Он идет в комплекте с extfilter. Я сижу на нем

Изменено пользователем Nickollla

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вчера словили кучу (30+) пропусков по сетям и отдельным ip: https://antizapret.info/site.php?id=426592 

Поскольку все стали умными и обзавелись dpi, прежние способы заработка работают не очень хорошо

Новый алгоритм заработка на провайдерах: добавить подсетей в реестр, в тот же день (час? минуту?) удалить из реестра, а проверку делать по старым данным. ПРОФИТ!

Для пущей профитности можно ежедневно (ежечасно? ежеминутно?) добавлять+убирать сети из реестра и рандомно производить проверки https://antizapret.info/news/?search2=104.236.234.91

 

 

Изменено пользователем Bl_cK

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Та же самая картина уже запарила в край, через день то 0 пропусков, то от 30 до 100+ записей. 

 

Вот за 19.06.18 фигурирует ID 900226 и в нём содержится множество ip и ip с timestamp, а в отчёте домены которых нету в реестре.

 

https://survey.openstack.org/,
23.253.92.56, GET

https://www.atkinandthyme.co.
uk/, 104.25.243.21, GET

http://www.games-hacks.org/,
172.104.228.143, GET

 

и ещё вот например https://antizapret.info/?search=104.239.135.129&p=1

 

Долго эта канитель продолжаться будет ? Они вносят и удаляют сразу чтоли ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Неплохо придумано, да?

Продолжаться будет примерно всегда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть желающие потестировать extfilter в режиме бриджа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, max1976 сказал:

Есть желающие потестировать extfilter в режиме бриджа?

Есть, более чем, как резервную систему блокировки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 минут назад, voiphw сказал:

Есть, более чем, как резервную систему блокировки.

Соберите из исходников фильтр. Выполните настройку в соответствии с инструкцией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, max1976 сказал:

Соберите из исходников фильтр. Выполните настройку в соответствии с инструкцией.

Спасибо!!! Попробуем

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, Antares сказал:

Спасибо!!! Попробуем

Сообщите по результату тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, max1976 сказал:

Сообщите по результату тестирования.

Обязательно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё небольшое замечание - jumbo frames пока не поддерживается, из-за чего могут возникнуть проблемы с прохождение qinq пакетов через фильтр. В будущем добавлю опцию в конфиг. Сейчас включить поддержку jumbo frames можно только путем внесения изменений в исходники.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно ли extfilter как то интегрировать с openvswitch?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 часов назад, max1976 сказал:

Есть желающие потестировать extfilter в режиме бриджа?

Я бы с радостью тестанул, но трафика очень много да и схема подключения злая(. Но новость отличная. Спасибо.

Изменено пользователем epollia

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, myth сказал:

Для пропуска 2г трафика какое нужно железо?

Скорее надо учитывать pps, а не ширину канала. В любом случае нужно современное железо. Можете ориентироваться на требования для СКАТа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день

Подскажите пожалуйста в чем может быть проблема, пытаюсь поставить extfilter(os centos 7 x64, сетевая для dpdk X710), собрался успешно, но при попытке запуска выдает следующее:

Скрытый текст

EAL: Detected 4 lcore(s)
EAL: Probing VFIO support...
EAL: PCI device 0000:00:1f.6 on NUMA socket -1
EAL:   probe driver: 8086:15b7 net_e1000_em
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:1572 net_i40e
i40e_set_symmetric_hash_enable_per_port(): Symmetric hash has already been disabled
eth_i40e_dev_init(): FW 5.0 API 1.5 NVM 05.00.05 eetrack 80002927
eth_i40e_dev_init(): Failed to sync phy type: -95
EAL: Requested device 0000:01:00.0 cannot be used
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:1572 net_i40e
i40e_set_symmetric_hash_enable_per_port(): Symmetric hash has already been disabled
eth_i40e_dev_init(): FW 5.0 API 1.5 NVM 05.00.05 eetrack 80002927
i40e_pf_setup(): Hardware capability of hash lookup table size: 512
i40e_update_flow_control(): Link auto negotiation not completed
EAL: PCI device 0000:05:00.0 on NUMA socket -1
EAL:   probe driver: 8086:1533 net_e1000_igb
Out of range
 

вывод  ./dpdk-devbind.py --status

Скрытый текст

Network devices using DPDK-compatible driver
============================================
0000:01:00.0 'Ethernet Controller X710 for 10GbE SFP+ 1572' drv=igb_uio unused=
0000:01:00.1 'Ethernet Controller X710 for 10GbE SFP+ 1572' drv=igb_uio unused=

Network devices using kernel driver
===================================
0000:00:1f.6 'Ethernet Connection (2) I219-LM 15b7' if=eno1 drv=e1000e unused=igb_uio
0000:05:00.0 'I210 Gigabit Network Connection 1533' if=eno2 drv=igb unused=igb_uio *Active*

содержимое extfilter.ini

Скрытый текст

; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
;lower_host = false

domainlist = /etc/extfilter/rules/domains
urllist = /etc/extfilter/rules/urls
ssllist = /etc/extfilter/rules/ssl_host

; файл с ip:port для блокировки
hostlist = /etc/extfilter/rules/hosts

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /etc/extfilter/rules/ssl_ips

; если false, то будет послан rst пакет вместо редиректа. Default: false
http_redirect = true

redirect_url = http://95.66.188.38

; HTTP код ответа. default: 302 Moved Temporarily
http_code = 302 Found

; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего
url_additional_info = none

; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true

; Default: 0 - disable
statistic_interval = 300

; Default: false
match_url_exactly = false

; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
block_ssl_no_sni = false

; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
block_ssl_no_sni = false

; Какие ядра использовать. Default: все ядра, кроме management.
core_mask = 7

; файл статистики (для extfilter-cacti)
;statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500

; количество тредов для отсылки уведомлений о блокировке
; num_of_senders = 1

; делать ли нормализацию url
url_normalization = true

; удалять ли точку в конце имени хоста
remove_dot = true

; CLI для управления или сбора статистики extfilter
; cli_port = 9999
; cli_address = 127.0.0.1

; Количество каналов памяти (для DPDK)
memory_channels = 2

; notify_enabled = false
; Формат файла ip/mask @group_id, где group_id группа оповещения. Например:
; 192.168.0.0/24 @0
; 10.0.0.0/24 @0
; 10.20.0.0/24 @1
; notify_acl_file = /usr/local/etc/extfilter/notify_acl

; здесь задаются порты, с которых необходимо снимать трафик
; формат:
; [port n]
; queues = a,b; a1,b1...
; n - номер порта dpdk
; a - номер очереди
; b - ядро, обрабатывающее очередь a
; Пример:
[port 0]
queues = 0,1;.
[port 1]
queues = 1,2;.
; Группа оповещения 0
;[notify 0]
;http_code = 302 Found
;redirect_url = http://announce.example.com/?
;rst_to_server = false
; через какое время делать редирект (секунды)
;period = 1800
; количество редиректов, если 0 - не ограничено
;repeat = 0

[dpi]
; Максимальное количество обрабатываемых потоков (flow)
max_active_flows_ipv4 = 1000000
; max_active_flows_ipv6 = 1000000

; Собирать и анализировать фрагментированные пакеты
; fragmentation_ipv6_state = true
fragmentation_ipv4_state = true
fragmentation_ipv4_table_size = 512
; fragmentation_ipv6_table_size = 512

; Собирать и анализировать tcp потоки с неправильными порядком
tcp_reordering = true

[logging]
;loggers.root.level = information
loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 4
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

Изменено пользователем DenisNK

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.