Morphus Опубликовано 29 марта, 2019 · Жалоба Всё равно ложно блокирует некоторые сайты. Например: http://zenonline.ru/cat/tsvetnye-samokleyaschiesya-plyonki иногда открывается, иногда нет. Заббикс на белом ип так же ведёт себя. В ответ на запрос прилетает заглушка. В конфиге включено: fragmentation_ipv4_state = true fragmentation_ipv4_table_size = 512 Могут эти параметры вызывать такое поведение ? Что-то не так, а что не понятно вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 29 марта, 2019 · Жалоба 6 часов назад, Morphus сказал: Могут эти параметры вызывать такое поведение ? Что-то не так, а что не понятно вообще. Нет, не могут. Ложных срабатываний не видел ни разу. Да и взяться им неоткуда. Если конечно вы используете входящий в комплект скрипт формирования списков блокировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 30 марта, 2019 · Жалоба В 29.03.2019 в 18:57, max1976 сказал: Если конечно вы используете входящий в комплект скрипт формирования списков блокировки. Всё использую из комплекта. Своего ничего нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kov_serg Опубликовано 1 апреля, 2019 · Жалоба On 3/17/2019 at 7:59 AM, x-pert said: Есть вариант еще сделать это все под виндой - тоже проверно и работает, но это же не наш метод? А покупать утильку за 2990 на 1год + 14 дней совсем не хочется. Меня тоже цена годовой лицензии на cd-ejector-ор насторожила. Поэтому вот еще вариант https://github.com/kov-serg/get-cpcert Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 2 апреля, 2019 · Жалоба 8 часов назад, kov_serg сказал: Поэтому вот еще вариант https://github.com/kov-serg/get-cpcert уже пробовал ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 2 апреля, 2019 · Жалоба 8 часов назад, kov_serg сказал: Меня тоже цена годовой лицензии на cd-ejector-ор насторожила. Поэтому вот еще вариант https://github.com/kov-serg/get-cpcert Хм... Вроде перегнать pfx в pem это не такая и проблема (в OPENSSL_CONF=./openssl.cnf прописываем активацию гостовского engine, чтобы не поломать общесистемные компоненты, которым ГОСТ не впился): OPENSSL_CONF=./openssl.cnf openssl pkcs12 -in p12.pfx -out p12.pem -nodes -clcerts Проблема с получением оного pfx из защищенного носителя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kov_serg Опубликовано 2 апреля, 2019 (изменено) · Жалоба 2 hours ago, Morphus said: уже пробовал ? Да. У меня на ubuntu 14.04 LTS 64bit это работает. Но пришлось собрать openssl 1.1.1 и gost-engine, а для них понадобился cmake так что и его пришлось собрать. Я еще бинарники положил если лень собирать. Но лучше скомпилить самому. ./prepare.sh - скачает нужные исходники и соберёт openssl gost-engine и cmake и установит их ./build.sh собственно скомпилирует утилиту. Потом экспортируете ключ из криптопро4 на флешку. и указываете проге путь до этой директории и пароль ./get-cpcert /media/flash/test.000 password > test-cert.pem и проверяете подписывание с помощью ./test-cert.sh сертификат для опытов можно получить тут http://www.cryptopro.ru/certsrv/certrqma.asp Изменено 2 апреля, 2019 пользователем kov_serg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 2 апреля, 2019 · Жалоба @kov_serg ,спасибо за развёрнутый ответ! как только поменяем ключи, сразу попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kov_serg Опубликовано 2 апреля, 2019 · Жалоба 5 hours ago, taf_321 said: Хм... Вроде перегнать pfx в pem это не такая и проблема (в OPENSSL_CONF=./openssl.cnf прописываем активацию гостовского engine, чтобы не поломать общесистемные компоненты, которым ГОСТ не впился): OPENSSL_CONF=./openssl.cnf openssl pkcs12 -in p12.pfx -out p12.pem -nodes -clcerts Проблема с получением оного pfx из защищенного носителя. Проблема в том что никто кроме cryptopro не вкурсе что такое OID 1.2.840.113549.1.12.1.80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
moog Опубликовано 2 апреля, 2019 · Жалоба В 17.03.2019 в 06:59, x-pert сказал: Поменялся алгоритм хэширования и старая бесплатная утилитка перестала с ним работать. Штатными средствами шиндовс достать контейнер не получится - разные алгоритмы хэширования. У мепня прокатило вот такое: Ставим крипто про 4 (триальная работает пару недель). Используя утилитку из набора 1 раз подписываем запрос командой вида: C:\"Program files"\"Crypto Pro"\CSP\csptest.exe -sfsign -sign -detached -add -in <путь к фалу>request.xml -out <путь к фалу>request.bin -my <имя владельца сертификата>@example.ru Потом перекидываем в нужную дерикторию в линуксе файл request.bin и убираем из скрипта подписывание, которое в перл-скрипте выглядело примерно так: system ("/gost-ssl/bin/openssl smime -sign -in /gost-ssl/rzs/request.xml -out /gost-ssl/rzs/request.bin". " -signer /gost-ssl/rzs/provider.pem -outform DER -nodetach"); После этого у нас остается генерация только XML-файла для запроса, а подпись всегда используем полученную из винды. Никаких проблем. Есть вариант еще сделать это все под виндой - тоже проверно и работает, но это же не наш метод? А покупать утильку за 2990 на 1год + 14 дней совсем не хочется. Также столкнулся с обновлением ЭП, выдали ключи. там 6 файлов (header,masks,masks2,name,primary,primary2 ,формат key) через крипто про 4, импорт, далее командой #csptest.exe -sfsign -sign -detached -add -in C:\Zapros_reestr.xml -out C:\Zapros_reestr.xml.sign -my mail@domen.ru на сайте vigruzki.rkn.gov.ru ручная выгрузка проходит, а вот автомат, через фильтр днс(skydns) в тех.поддержке указали на "не корректное значение ЭП" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kov_serg Опубликовано 2 апреля, 2019 (изменено) · Жалоба 2 hours ago, moog said: на сайте vigruzki.rkn.gov.ru ручная выгрузка проходит, а вот автомат, через фильтр днс(skydns) в тех.поддержке указали на "не корректное значение ЭП" У меня без проблем выгружает c gost2012-256, правда через скрипт на php ... function sign_file($sign,$req,$cert) { exec("openssl smime -sign -binary -noattr -in $req -signer $cert -out $sign -outform DER 2>&1",$out,$res); if ($res!=0) { foreach($out as $line) trace("OPENSSL: $line\n"); } return $res==0; } ... $r=sign_file($sign_file,$request_file,$cert_file); tail get-all.log -n 7 02.04.2019 13:38:03 get-all sending request for xxx 02.04.2019 13:38:03 get-all rescode=ae3ec09264066c3891ea8674aa93fdbe 02.04.2019 13:38:03 get-all getResult ae3ec09264066c3891ea8674aa93fdbe 02.04.2019 13:38:03 get-all result not ready 02.04.2019 13:41:03 get-all getResult ae3ec09264066c3891ea8674aa93fdbe 02.04.2019 13:41:04 get-all store result to tmp/list-xxx.zip 02.04.2019 13:41:04 get-all success unzip -p list-xxx.zip dump.xml | xmllint --format - | iconv -f cp1251 -t utf8 | sed '1 s/windows-1251/utf-8/' | gzip -9 > dump.xml.gz zcat dump.xml.gz | head <?xml version="1.0" encoding="utf-8"?> <reg:register xmlns:reg="http://rsoc.ru" xmlns:tns="http://rsoc.ru" updateTime="2019-04-02T13:30:00+03:00" updateTimeUrgently="2019-04-02T13:30:00+03:00" formatVersion="2.4"> <content id="656" includeTime="2012-11-24T15:34:17" entryType="1" hash="D0853C128D92ACB78FBDF6EB31F9EE72"> <decision date="2012-11-14" number="2/1/11-168" org="ФСКН"/> <url><![CDATA[http://cannabay.org/]]></url> <domain><![CDATA[cannabay.org]]></domain> <ip>94.76.213.163</ip> </content> <content id="5081" includeTime="2014-02-17T19:20:19" entryType="1" blockType="domain" hash="8828E65CA186219FEDB9516D6099C5A5"> <decision date="2013-02-06" number="2/1/11-2350" org="ФСКН"/> openssl version OpenSSL 1.1.1c-dev xx XXX xxxx Изменено 2 апреля, 2019 пользователем kov_serg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 7 апреля, 2019 · Жалоба кто нибудь пользуется таблицей исключений zap_domain_ex , например ? Если да, опишите процесс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 12 апреля, 2019 · Жалоба А надо ли сетевым интерфейсам, которые уходят в dpdk, назначать изначально ип адрес и прочие настройки ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 12 апреля, 2019 · Жалоба 25 минут назад, Morphus сказал: А надо ли сетевым интерфейсам, которые уходят в dpdk, назначать изначально ип адрес и прочие настройки ? Изначально в системе? (Нет) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 16 апреля, 2019 · Жалоба Добавил в extFilter команду show filter sni|url URL, позволяющую произвести поиск по SNI/URL в загруженных в фильтр данных. Пример: Цитата extfilter> show filter sni rutracker.org show filter sni rutracker.org Searching for SNI: rutracker.org This SNI is listed Record id in db: 68667 Record in db: rutracker.org Цитата extfilter> show filter url rutracker.org show filter url rutracker.org Searching for host: rutracker.org, url: / This URL is listed Record id in db: 96986 Record in db: rutracker.org/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 17 апреля, 2019 · Жалоба 13 часов назад, max1976 сказал: Добавил в extFilter команду show filter sni|url URL, позволяющую произвести поиск по SNI/URL в загруженных в фильтр данных. Пример: Ищет точные сопоставления или .*rutracker.org.* ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 17 апреля, 2019 · Жалоба 5 часов назад, epollia сказал: Ищет точные сопоставления или .*rutracker.org.* ? Ищет точно так, как должно быть по логике РКН и как работает фильтр. В данном случае www1.rutracker.org не выдаст совпадения, т.к. в реестре есть запись url rutracker.org/, а не *.rutracker.org. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 29 апреля, 2019 · Жалоба Глупый вопрос, а как подключиться к cli фильтра ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 29 апреля, 2019 · Жалоба 30 минут назад, Morphus сказал: Глупый вопрос, а как подключиться к cli фильтра ? telnet 127.0.0.1 9999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 30 апреля, 2019 (изменено) · Жалоба Доброй ночи! Народ, подскажите, у вас https://r6.tracker.network/ (104.27.132.49) нормально открывается или падает в блокировку по ssl_ips ? В листах нашёл IP адрес на котором висит r6.tracker.network: <content id="1183537" includeTime="2018-11-08T20:27:03" entryType="1" blockType="domain" hash="8EA36F3FBA802EF1973442E308C723BA"> <decision date="2018-02-13" number="2-6-20/2018-02-12-1404-АИ" org="ФНС"/> <domain><![CDATA[www.cleopatracasino.com]]></domain> <ip>104.27.133.49</ip> <ip>104.27.132.49</ip> </content> <content id="1414143" includeTime="2019-03-18T10:53:57" entryType="1" blockType="domain" hash="E7D59EFA664611B0A293C1BD4485C55C"> <decision date="2019-03-14" number="2019-03-13-1452" org="МВД"/> <domain><![CDATA[nydra2web.net]]></domain> <ip>104.27.133.49</ip> <ip>104.27.132.49</ip> <ipv6>2606:4700:0030:0000:0000:0000:681b:8531</ipv6> <ipv6>2606:4700:0030:0000:0000:0000:681b:8431</ipv6> </content> В первом и втором случае тип блокировки domain, т.е. по идее должна происходить блокировка и http и https трафика (т.к. в конфиге extfilter-maker domains_ssl в true), при этом указаны IP адреса на которых висит домен, получается, что если в конфиге extFilter'a стоит block_ssl_no_sni=true и SNI не указан при обращении к сайту r6.tracker.network, то будет происходить блокировка ввиду того, что на IP адресе на котором висит r6.tracker.network висит так же и nydra2web.net и www.cleopatracasino.com ? При этом достаточно странно, т.к. при обращении к https://r6.tracker.network/ SNI указан, но всё равно улетаю в RST.. Изменено 30 апреля, 2019 пользователем aalexanderr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 1 мая, 2019 · Жалоба 11 часов назад, aalexanderr сказал: Народ, подскажите, у вас https://r6.tracker.network/ (104.27.132.49) нормально открывается или падает в блокировку по ssl_ips ? Открывается без проблем. Не надо включать блокировку по IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 1 мая, 2019 · Жалоба 4 часа назад, max1976 сказал: Открывается без проблем. Не надо включать блокировку по IP. Речь о block_ssl_no_sni ? Установил в false, проблема ушла. Вопроса 2: 1-будут ли пропуски ? 2-фунционал sni не работает ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 1 мая, 2019 · Жалоба 4 часа назад, aalexanderr сказал: Речь о block_ssl_no_sni ? Установил в false, проблема ушла. Вопроса 2: 1-будут ли пропуски ? 2-фунционал sni не работает ? 1. Не будет пропусков. 2. Работает, иначе были бы пропуски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 1 мая, 2019 (изменено) · Жалоба 1 час назад, max1976 сказал: 1. Не будет пропусков. 2. Работает, иначе были бы пропуски. Я имел ввиду, что при включении настройки block_ssl_no_sni=true - блокируются все сайты без разбора, даже если SNI указан. Пример привёл выше, несмотря на то, что SNI был указан всё равно происходила блокировка. Изменено 1 мая, 2019 пользователем aalexanderr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 1 мая, 2019 · Жалоба 1 час назад, aalexanderr сказал: Я имел ввиду, что при включении настройки block_ssl_no_sni=true - блокируются все сайты без разбора, даже если SNI указан. Пример привёл выше, несмотря на то, что SNI был указан всё равно происходила блокировка. Да, в коде есть ошибка, приводящая к данному эффекту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...