Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Вроде еще выгрузки не выгружаются такие. Как пилить скрипт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 минут назад, myth сказал:

Вроде еще выгрузки не выгружаются такие. Как пилить скрипт?

там вроде как только два новых тега добавилось и атрибут внутри соответствующий. Нужно проверку на эти теги сделать в content-e и добавлять их также в таблицу к v4ip.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, Morphus сказал:

Уважаемый @max1976. Планируется ли обновление скрипта https://github.com/max197616/zapret под 2.4 версию дампа ?

Да, добавлю поддержку разбора ipv6 тегов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 minutes ago, max1976 said:

Да, добавлю поддержку разбора ipv6 тегов.

И можно сразу костыли, реагирующие на попадание адресов ipv6 в другие теги. =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 28.08.2018 в 10:52, SokolovS сказал:

Я уверен. Т.к. помимо zapret.pl есть еще один загрузчик реестра, который всегда отправляет один и тот же запрос с подписью. На нем вчера и проверял ГОСТ 2012.

 

Вчера все успешно сконвертировал с помощью p12fromgostcsp. Мне кажется, что сам ключ в бинарном виде просто конвертируется из одного представления в другое вот и все, т.е. сам криптоалгоритм с помощью которого сгенерирован ключ тут не важен. CSP и PEM это же только формат хранения ключа и сертификата.

 

Все так. Но опция в конфиге првильней.

 

Опция уже давно есть в конфиге. Ставьте form_request = 0 в секции [API] и тогда файлы не будут генерироваться, а будут взяты из каталога с программой с именами из req_file и sig_file.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет. После очередного штрафа, хочу собрать и дублировать фильтр от вышестоящего. Хочу собрать extfilter и зеркалить на него трафик.

подскажите что под него собрать из железа?

трафика больше гига не бывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, есть ли возможность сделать что-то типа whitelist, чтоб указать ip, для которых не нужно проводить фильтрацию трафика?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, evgen.v сказал:

Подскажите, есть ли возможность сделать что-то типа whitelist, чтоб указать ip, для которых не нужно проводить фильтрацию трафика?

Можно через suricat'у

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, ne-vlezay80 сказал:

Можно через suricat'у

Забыл уточнить, используется extfilter, интересует именно в нем. Раньше стоял nfqfilter, там выкрутился через iptables, а вот как в extfilter такое провернуть - хз

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, evgen.v сказал:

Забыл уточнить, используется extfilter, интересует именно в нем. Раньше стоял nfqfilter, там выкрутился через iptables, а вот как в extfilter такое провернуть - хз

Там нужен sss3 и ssse4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 21.09.2018 в 22:03, evgen.v сказал:

Забыл уточнить, используется extfilter, интересует именно в нем. Раньше стоял nfqfilter, там выкрутился через iptables, а вот как в extfilter такое провернуть - хз

блокировка по IP реализуется через blackhole, просто не анонсируйте нужные сети, либо пропишите маршруты на меньшие префиксы.

 

ну я не уверен что реализовано это, надо смотреть скрипты генерации конфигов, но в базе есть нексолько таблиц,zap2_ex.... я так понял туда можно запсать исклчения, но надо проверять)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там речь о другом. Мимо фильтра протаскивайте тех кому без фильтра надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, zhenya` сказал:

Там речь о другом. Мимо фильтра протаскивайте тех кому без фильтра надо.

Не отправляй их трафик на фильтр) ACL и т.п. Как варианта можно использовать ACL ни исходящем интерфейсе, блокировать пакеты от/к ip, трафик коорых не нужно фильтровать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 23.09.2018 в 06:07, zhenya` сказал:

Там речь о другом. Мимо фильтра протаскивайте тех кому без фильтра надо.

вообще нет проблем , на том серкаке (на мак чего идут ответы о блоке) нужно блочнуть что то в стиле :

iptables -A FORWARD -i ethX -m set --match-set not_filter dst -j DROP

где ethX это интерфейс прихода ответов от фильтра 

а nof_filter это ipset где перечисляются все , кому не нужно слать ответы 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 21.09.2018 в 14:43, evgen.v сказал:

указать ip, для которых не нужно проводить фильтрацию трафика?

таблица ex_ips

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, dee сказал:

вообще нет проблем , на том серкаке (на мак чего идут ответы о блоке) нужно блочнуть что то в стиле :

iptables -A FORWARD -i ethX -m set --match-set not_filter dst -j DROP

где ethX это интерфейс прихода ответов от фильтра 

а nof_filter это ipset где перечисляются все , кому не нужно слать ответы 

Ето если пассивный DPI. Если активный, то не прокатет.

 

В 9/23/2018 в 06:07, zhenya` сказал:

Там речь о другом. Мимо фильтра протаскивайте тех кому без фильтра надо.

А кто это может быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, ne-vlezay80 сказал:

Ето если пассивный DPI. Если активный, то не прокатет.

 

А кто это может быть?

да что вы говорите , у меня отлично блокируются ответы от extFiler именно таким образом 

или речь идёт о бриджевой связке ? 

если бридж , то ebtables  так же никто не отменял

Изменено пользователем dee

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, dee сказал:

или речь идёт о бриджевой связке ? 

если бридж , то ebtables  так же никто не отменял

а как это делать через ebtables?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

наконец-то

Quote

Later this week we expect Mozilla's Firefox to become the first browser to support the new protocol in their Nightly release. In the months to come, the plan is for it go mainstream. And it's not just Mozilla. There's been significant interest from all the major browser makers and I'm hopeful they'll all add support for ESNI over time.

https://blog.cloudflare.com/esni/

Изменено пользователем Bl_cK

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А на убунте кто нить собирал extfilter ?

что то у меня закончилось этим:

Цитата

make
Making all in src
make[1]: Entering directory '/usr/src/extfilter/src'
g++ -DHAVE_CONFIG_H -I. -I../include  -I/usr/src/dpdk-17.05.1/build/include -I.././peafowl/src -I.././marisa/include -march=native -mtune=native  -std=c++11 -O3 -Wall -fno-stack-protector -pthread -march=native -mtune=native -mpopcnt -mavx2 -MT main.o -MD -MP -MF .deps/main.Tpo -c -o main.o main.cpp
main.cpp:11:10: fatal error: rte_config.h: No such file or directory
 #include <rte_config.h>
          ^~~~~~~~~~~~~~
compilation terminated.
Makefile:376: recipe for target 'main.o' failed
make[1]: *** [main.o] Error 1
make[1]: Leaving directory '/usr/src/extfilter/src'
Makefile:346: recipe for target 'all-recursive' failed
make: *** [all-recursive] Error 1

 

а на centos 7 это выглядит так:

 make install
Making install in src
make[1]: Entering directory `/usr/src/extfilter/src'
g++ -DHAVE_CONFIG_H -I. -I../include  -I/usr/src/dpdk-18.08/build/include -I.././peafowl/src -I.././marisa/include -march=native -mtune=nat             ive  -std=c++11 -O3 -Wall -fno-stack-protector -pthread -march=native -mtune=native -mpopcnt -mavx2 -MT main.o -MD -MP -MF .deps/main.Tpo -             c -o main.o main.cpp
main.cpp: In member function ‘int extFilter::initSenderPort(uint8_t, ether_addr*, uint8_t)’:
main.cpp:258:18: error: ‘struct rte_eth_rxmode’ has no member named ‘header_split’
  portConf.rxmode.header_split = DPDK_CONFIG_HEADER_SPLIT;
                  ^
main.cpp:259:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_ip_checksum’
  portConf.rxmode.hw_ip_checksum = DPDK_CONFIG_HW_IP_CHECKSUM;
                  ^
main.cpp:260:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_vlan_filter’
  portConf.rxmode.hw_vlan_filter = DPDK_CONFIG_HW_VLAN_FILTER;
                  ^
main.cpp:264:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_strip_crc’
  portConf.rxmode.hw_strip_crc = DPDK_CONFIG_HW_STRIP_CRC;
                  ^
main.cpp: In member function ‘int extFilter::initPort(uint8_t, ether_addr*, bool)’:
main.cpp:340:18: error: ‘struct rte_eth_rxmode’ has no member named ‘header_split’
  portConf.rxmode.header_split = DPDK_CONFIG_HEADER_SPLIT;
                  ^
main.cpp:341:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_ip_checksum’
  portConf.rxmode.hw_ip_checksum = DPDK_CONFIG_HW_IP_CHECKSUM;
                  ^
main.cpp:342:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_vlan_filter’
  portConf.rxmode.hw_vlan_filter = DPDK_CONFIG_HW_VLAN_FILTER;
                  ^
main.cpp:360:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_strip_crc’
  portConf.rxmode.hw_strip_crc = DPDK_CONFIG_HW_STRIP_CRC;
                  ^
main.cpp: In member function ‘virtual void extFilter::initialize(Poco::Util::Application&)’:
main.cpp:920:14: warning: ‘uint16_t rte_eth_dev_count()’ is deprecated (declared at /usr/src/dpdk-18.08/build/include/rte_ethdev.h:1398) [-             Wdeprecated-declarations]
  _nb_ports = rte_eth_dev_count();
              ^
main.cpp:920:32: warning: ‘uint16_t rte_eth_dev_count()’ is deprecated (declared at /usr/src/dpdk-18.08/build/include/rte_ethdev.h:1398) [-             Wdeprecated-declarations]
  _nb_ports = rte_eth_dev_count();
                                ^
make[1]: *** [main.o] Error 1
make[1]: Leaving directory `/usr/src/extfilter/src'
make: *** [install-recursive] Error 1
[root@localhost extfilter]#

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуй собрать на dpdk что указана в рекомендациях

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 минут назад, epollia сказал:

попробуй собрать на dpdk что указана в рекомендациях

и это пробовал, только последняя версия dpdk собирается на centos 7 а вот что указана в описании extfilter, dpdk даже не собрался.

 

== Build lib/librte_eal/linuxapp/kni
  LD      /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/built-in.o
  CC [M]  /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_misc.o
  CC [M]  /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.o
/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: unknown field ‘ndo_change_mtu’ specified in initializer
  .ndo_change_mtu = kni_net_change_mtu,
  ^
/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: missing braces around initializer [-Werror=missing-braces]
/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: (near initialization for ‘kni_net_netdev_ops.<anonymous>’) [-Werror=missing-braces]
/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: initialization from incompatible pointer type [-Werror]
/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: (near initialization for ‘kni_net_netdev_ops.<anonymous>.ndo_select_queue’) [-Werror]
cc1: all warnings being treated as errors
make[8]: *** [/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.o] Error 1
make[7]: *** [_module_/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni] Error 2
make[6]: *** [sub-make] Error 2
make[5]: *** [rte_kni.ko] Error 2
make[4]: *** [kni] Error 2
make[3]: *** [linuxapp] Error 2
make[2]: *** [librte_eal] Error 2
make[1]: *** [lib] Error 2
make: *** [all] Error 2

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поищи в теме, где то была ссылкуа на патч дпдк для сборки под сентос 7

 

diff --git a/lib/librte_eal/linuxapp/kni/compat.h b/lib/librte_eal/linuxapp/kni/compat.h
index 3f8c0bc..6a6968d 100644
--- a/lib/librte_eal/linuxapp/kni/compat.h
+++ b/lib/librte_eal/linuxapp/kni/compat.h
@@ -101,6 +101,11 @@
 #undef NET_NAME_UNKNOWN
 #endif

+#if (defined(RHEL_RELEASE_CODE) && \
+       (RHEL_RELEASE_CODE >= RHEL_RELEASE_VERSION(7, 5)))
+#define ndo_change_mtu ndo_change_mtu_rh74
+#endif
+
 #if LINUX_VERSION_CODE >= KERNEL_VERSION(4, 11, 0)
 #define HAVE_SIGNAL_FUNCTIONS_OWN_HEADER
 #endif

Вроде это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.