1. Для блокировка используем

[Morphus]

Всё равно ложно блокирует некоторые сайты. Например: http://zenonline.ru/cat/tsvetnye-samokleyaschiesya-plyonki   иногда открывается, иногда нет. Заббикс на белом ип так же ведёт себя.

В ответ на запрос прилетает заглушка.

В конфиге включено:

fragmentation_ipv4_state = true
fragmentation_ipv4_table_size = 512

Могут эти параметры вызывать такое поведение ?

Что-то не так, а что не понятно вообще.

[max1976]

6 часов назад, Morphus сказал:

Могут эти параметры вызывать такое поведение ? 

Что-то не так, а что не понятно вообще. 

Нет, не могут. Ложных срабатываний не видел ни разу. Да и взяться им неоткуда. Если конечно вы используете входящий в комплект скрипт формирования списков блокировки.

[Morphus]

В 29.03.2019 в 18:57, max1976 сказал:

Если конечно вы используете входящий в комплект скрипт формирования списков блокировки.

Всё использую из комплекта. Своего ничего нет.

[kov_serg]

On 3/17/2019 at 7:59 AM, x-pert said:

Есть вариант еще сделать это все под виндой - тоже проверно и работает, но это же не наш метод? А покупать утильку за 2990 на 1год + 14 дней совсем не хочется.

Меня тоже цена годовой лицензии на cd-ejector-ор насторожила. Поэтому вот еще вариант https://github.com/kov-serg/get-cpcert

[Morphus]

8 часов назад, kov_serg сказал:

Поэтому вот еще вариант https://github.com/kov-serg/get-cpcert

уже пробовал ?

[taf_321]

8 часов назад, kov_serg сказал:

Меня тоже цена годовой лицензии на cd-ejector-ор насторожила. Поэтому вот еще вариант https://github.com/kov-serg/get-cpcert 

Хм... Вроде перегнать pfx в pem это не такая и проблема (в OPENSSL_CONF=./openssl.cnf прописываем активацию гостовского engine, чтобы не поломать общесистемные компоненты, которым ГОСТ не впился):

 

OPENSSL_CONF=./openssl.cnf openssl pkcs12 -in p12.pfx -out p12.pem -nodes -clcerts

Проблема с получением оного pfx из защищенного носителя.

[kov_serg]

2 hours ago, Morphus said:

уже пробовал ?

Да. У меня на ubuntu 14.04 LTS 64bit это работает. Но пришлось собрать openssl 1.1.1 и gost-engine, а для них понадобился cmake так что и его пришлось собрать. Я еще бинарники положил если лень собирать. Но лучше скомпилить самому.

./prepare.sh - скачает нужные исходники и соберёт openssl gost-engine и cmake и установит их

./build.sh собственно скомпилирует утилиту.

Потом экспортируете ключ из криптопро4 на флешку. и указываете проге путь до этой директории и пароль

./get-cpcert /media/flash/test.000 password > test-cert.pem

и проверяете подписывание с помощью ./test-cert.sh

 

сертификат для опытов можно получить тут http://www.cryptopro.ru/certsrv/certrqma.asp

Изменено 2 апреля, 2019 пользователем kov_serg

[Morphus]

@kov_serg ,спасибо за развёрнутый ответ! как только поменяем ключи, сразу попробую.

[kov_serg]

5 hours ago, taf_321 said:

Хм... Вроде перегнать pfx в pem это не такая и проблема (в OPENSSL_CONF=./openssl.cnf прописываем активацию гостовского engine, чтобы не поломать общесистемные компоненты, которым ГОСТ не впился):

 

OPENSSL_CONF=./openssl.cnf openssl pkcs12 -in p12.pfx -out p12.pem -nodes -clcerts

Проблема с получением оного pfx из защищенного носителя. 

Проблема в том что никто кроме cryptopro не вкурсе что такое  OID 1.2.840.113549.1.12.1.80

[moog]

В 17.03.2019 в 06:59, x-pert сказал:

Поменялся алгоритм хэширования и старая бесплатная утилитка перестала с ним работать. Штатными средствами шиндовс достать контейнер не получится - разные алгоритмы хэширования.

 

У мепня прокатило вот такое:

Ставим крипто про 4 (триальная работает пару недель).

Используя утилитку из набора 1 раз подписываем запрос командой вида:

C:\"Program files"\"Crypto Pro"\CSP\csptest.exe -sfsign -sign -detached -add -in <путь к фалу>request.xml -out <путь к фалу>request.bin -my <имя владельца сертификата>@example.ru

Потом перекидываем в нужную дерикторию в линуксе файл request.bin и убираем из скрипта подписывание, которое в перл-скрипте выглядело примерно так:
system ("/gost-ssl/bin/openssl smime -sign -in /gost-ssl/rzs/request.xml -out /gost-ssl/rzs/request.bin". " -signer /gost-ssl/rzs/provider.pem -outform DER -nodetach");

 

После этого у нас остается генерация только XML-файла для запроса, а подпись всегда используем полученную из винды.

Никаких проблем.

Есть вариант еще сделать это все под виндой - тоже проверно и работает, но это же не наш метод? А покупать утильку за 2990 на 1год + 14 дней совсем не хочется.

 

Также столкнулся с обновлением ЭП, выдали ключи. там 6 файлов (header,masks,masks2,name,primary,primary2 ,формат key) через крипто про 4, импорт, далее командой 

#csptest.exe -sfsign -sign -detached -add -in C:\Zapros_reestr.xml -out C:\Zapros_reestr.xml.sign -my mail@domen.ru

 

на сайте  vigruzki.rkn.gov.ru ручная выгрузка проходит, а вот автомат, через фильтр днс(skydns) в тех.поддержке указали на  "не корректное значение ЭП" 

[kov_serg]

2 hours ago, moog said:

на сайте  vigruzki.rkn.gov.ru ручная выгрузка проходит, а вот автомат, через фильтр днс(skydns) в тех.поддержке указали на  "не корректное значение ЭП" 

У меня без проблем выгружает c gost2012-256, правда через скрипт на php

...
function sign_file($sign,$req,$cert) {
    exec("openssl smime -sign -binary -noattr -in $req -signer $cert -out $sign -outform DER 2>&1",$out,$res);
    if ($res!=0) { foreach($out as $line) trace("OPENSSL: $line\n"); }
    return $res==0;
}
...
$r=sign_file($sign_file,$request_file,$cert_file);

 

tail get-all.log -n 7
02.04.2019 13:38:03 get-all sending request for xxx
02.04.2019 13:38:03 get-all rescode=ae3ec09264066c3891ea8674aa93fdbe
02.04.2019 13:38:03 get-all getResult ae3ec09264066c3891ea8674aa93fdbe
02.04.2019 13:38:03 get-all result not ready
02.04.2019 13:41:03 get-all getResult ae3ec09264066c3891ea8674aa93fdbe
02.04.2019 13:41:04 get-all store result to tmp/list-xxx.zip
02.04.2019 13:41:04 get-all success

unzip -p list-xxx.zip dump.xml | xmllint --format - | iconv -f cp1251 -t utf8 | sed '1 s/windows-1251/utf-8/' | gzip -9 > dump.xml.gz
zcat dump.xml.gz | head

<?xml version="1.0" encoding="utf-8"?>
<reg:register xmlns:reg="http://rsoc.ru" xmlns:tns="http://rsoc.ru" updateTime="2019-04-02T13:30:00+03:00" updateTimeUrgently="2019-04-02T13:30:00+03:00" formatVersion="2.4">
  <content id="656" includeTime="2012-11-24T15:34:17" entryType="1" hash="D0853C128D92ACB78FBDF6EB31F9EE72">
    <decision date="2012-11-14" number="2/1/11-168" org="ФСКН"/>
    <url><![CDATA[http://cannabay.org/]]></url>
    <domain><![CDATA[cannabay.org]]></domain>
    <ip>94.76.213.163</ip>
  </content>
  <content id="5081" includeTime="2014-02-17T19:20:19" entryType="1" blockType="domain" hash="8828E65CA186219FEDB9516D6099C5A5">
    <decision date="2013-02-06" number="2/1/11-2350" org="ФСКН"/>

openssl version
OpenSSL 1.1.1c-dev  xx XXX xxxx

Изменено 2 апреля, 2019 пользователем kov_serg

[Morphus]

кто нибудь пользуется таблицей исключений zap_domain_ex , например ? Если да, опишите процесс. 

[Morphus]

А надо ли сетевым интерфейсам, которые уходят в dpdk, назначать изначально ип адрес и прочие настройки ?

[epollia]

25 минут назад, Morphus сказал:

А надо ли сетевым интерфейсам, которые уходят в dpdk, назначать изначально ип адрес и прочие настройки ?

Изначально в системе? (Нет)

[max1976]

Добавил в extFilter команду show filter sni|url URL, позволяющую произвести поиск по SNI/URL в загруженных в фильтр данных.

Пример:

Цитата

extfilter> show filter sni rutracker.org
show filter sni rutracker.org
Searching for SNI: rutracker.org
This SNI is listed
Record id in db: 68667
Record in db: rutracker.org

 

Цитата

extfilter> show filter url rutracker.org
show filter url rutracker.org
Searching for host: rutracker.org, url: /
This URL is listed
Record id in db: 96986
Record in db: rutracker.org/

 

 

[epollia]

13 часов назад, max1976 сказал:

Добавил в extFilter команду show filter sni|url URL, позволяющую произвести поиск по SNI/URL в загруженных в фильтр данных.

Пример:

 

Ищет точные сопоставления или .*rutracker.org.* ?

[max1976]

5 часов назад, epollia сказал:

Ищет точные сопоставления или .*rutracker.org.* ? 

Ищет точно так, как должно быть по логике РКН и как работает фильтр. В данном случае www1.rutracker.org не выдаст совпадения, т.к. в реестре есть запись url rutracker.org/, а не *.rutracker.org.

 

[Morphus]

Глупый вопрос, а как подключиться к cli фильтра ?

[epollia]

30 минут назад, Morphus сказал:

Глупый вопрос, а как подключиться к cli фильтра ?

 telnet 127.0.0.1 9999

[aalexanderr]

Доброй ночи!

 

Народ, подскажите, у вас https://r6.tracker.network/ (104.27.132.49) нормально открывается или падает в блокировку по ssl_ips ?

 

В листах нашёл IP адрес на котором висит r6.tracker.network:

  <content id="1183537" includeTime="2018-11-08T20:27:03" entryType="1" blockType="domain" hash="8EA36F3FBA802EF1973442E308C723BA">
    <decision date="2018-02-13" number="2-6-20/2018-02-12-1404-АИ" org="ФНС"/>
    <domain><![CDATA[www.cleopatracasino.com]]></domain>
    <ip>104.27.133.49</ip>
    <ip>104.27.132.49</ip>
  </content>
 

  <content id="1414143" includeTime="2019-03-18T10:53:57" entryType="1" blockType="domain" hash="E7D59EFA664611B0A293C1BD4485C55C">
    <decision date="2019-03-14" number="2019-03-13-1452" org="МВД"/>
    <domain><![CDATA[nydra2web.net]]></domain>
    <ip>104.27.133.49</ip>
    <ip>104.27.132.49</ip>
    <ipv6>2606:4700:0030:0000:0000:0000:681b:8531</ipv6>
    <ipv6>2606:4700:0030:0000:0000:0000:681b:8431</ipv6>
  </content>
 

В первом и втором случае тип блокировки domain, т.е. по идее должна происходить блокировка и http и https трафика (т.к. в конфиге extfilter-maker domains_ssl в true), при этом указаны IP адреса на которых висит домен, получается, что если в конфиге extFilter'a стоит block_ssl_no_sni=true и SNI не указан при обращении к сайту r6.tracker.network, то будет происходить блокировка ввиду того, что на IP адресе на котором висит r6.tracker.network висит так же и nydra2web.net и www.cleopatracasino.com ?

 

При этом достаточно странно, т.к. при обращении к https://r6.tracker.network/ SNI указан, но всё равно улетаю в RST..

Изменено 30 апреля, 2019 пользователем aalexanderr

[max1976]

11 часов назад, aalexanderr сказал:

Народ, подскажите, у вас https://r6.tracker.network/ (104.27.132.49) нормально открывается или падает в блокировку по ssl_ips ?

Открывается без проблем. Не надо включать блокировку по IP. 

[aalexanderr]

4 часа назад, max1976 сказал:

Открывается без проблем. Не надо включать блокировку по IP. 

Речь о block_ssl_no_sni ? Установил в false, проблема ушла. Вопроса 2:

1-будут ли пропуски ?

2-фунционал sni не работает ?

[max1976]

4 часа назад, aalexanderr сказал:

Речь о block_ssl_no_sni ? Установил в false, проблема ушла. Вопроса 2:

1-будут ли пропуски ?

2-фунционал sni не работает ?

1. Не будет пропусков. 

2. Работает, иначе были бы пропуски. 

[aalexanderr]

1 час назад, max1976 сказал:

1. Не будет пропусков. 

2. Работает, иначе были бы пропуски. 

Я имел ввиду, что при включении настройки block_ssl_no_sni=true - блокируются все сайты без разбора, даже если SNI указан.

Пример привёл выше, несмотря на то, что SNI был указан всё равно происходила блокировка.

Изменено 1 мая, 2019 пользователем aalexanderr

[max1976]

1 час назад, aalexanderr сказал:

Я имел ввиду, что при включении настройки block_ssl_no_sni=true - блокируются все сайты без разбора, даже если SNI указан.

Пример привёл выше, несмотря на то, что SNI был указан всё равно происходила блокировка.

 

Да, в коде есть ошибка, приводящая к данному эффекту.