1. Для блокировка используем

[paveli]

On 6/13/2019 at 4:25 PM, alibek said:

Вот и у меня подоспела замена ключа.

Экспортировать удалось штатными методами, без утилиты P12FromGostCSP.

openssl ключ читает, пишет MAC verified OK, но потом жалуется на неподдерживаемый алгоритм.

Буду обновлять openssl, подключать новый engine.

  Какими штатными методами удалось экспортировать?

[alibek]

 

[Tamahome]

P12FromGostCSP стоит копейки, работает, проверено.
 

[alibek]

Предлагаю купить на горсть копеек пачку лицензий и раздать их здесь.

[wpuch]

On 7/5/2019 at 2:59 PM, paveli said:

  Какими штатными методами удалось экспортировать?

Тут было

get-cpcert

Ставим get-cpcert,
1. Экспортируем ЭЦП на флешку из КриптоПро- будет папка с файлами {header.key  masks2.key  masks.key  name.key  primary2.key  primary.key}
2. Через get-cpcert получаем PEM - ./get-cpcert /path/dir.000 > cert.pem

Обновляем openssl

[oborot.bolta]

В 07.05.2019 в 21:16, max1976 сказал:

Видимо внесли в список блокировки домен, на который делается редирект, а по факту оригинальный домен, указанный в реестре, не блокируется. 

Carbon блочит.

 

[root@extfilter alex]# curl -v -4 "http://w.kyzdar.net"
* About to connect() to w.kyzdar.net port 80 (#0)
*   Trying 109.236.240.246...
* Connected to w.kyzdar.net (109.236.240.246) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: w.kyzdar.net
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx/1.10.2
< Date: Thu, 11 Jul 2019 06:27:20 GMT
< Content-Type: text/html
< Content-Length: 966
< Last-Modified: Fri, 04 Jul 1975 05:00:34 GMT
< Connection: keep-alive
< ETag: "a5a2d72-3c6"
< Accept-Ranges: bytes
<
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title>Доступ ограничен</title>
    <!-- just for RKN util:
    <title>Доступ ограничен</title>
    -->
    <style type="text/css">
        body {
            font-family: Helvetica, sans-serif;
        }
        h1 {
            font-size: 60px;
        }
        p {
            font-size: 55px;
        }
    </style>
</head>
<body>
<table border=0 width=100% height=100%>
    <tr valign=center>
        <td align=center>
            <h1>Доступ запрещён</h1>
            <p>Доступ к информационному ресурсу ограничен на основании Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"</p>
        </td>
    </tr>
</table>
</body>
</html>
* Connection #0 to host w.kyzdar.net left intact
[root@extfilter alex]#

 

[oborot.bolta]

В 28.05.2019 в 10:48, max1976 сказал:

Поставьте в конфиге скрипта в секции [BGP]:

 

 

А в конфиге extfilter.ini еще работает такая секция?:

 

; notify_enabled = false
; Формат файла ip/mask @group_id, где group_id группа оповещения. Например:
; 192.168.0.0/24 @0
; 10.0.0.0/24 @0
; 10.20.0.0/24 @1
; notify_acl_file = /usr/local/etc/extfilter/notify_acl

 

 

; Группа оповещения 0
;[notify 0]
;http_code = 302 Found
;redirect_url = http://announce.example.com/?
;rst_to_server = false
; через какое время делать редирект (секунды)
;period = 1800
; количество редиректов, если 0 - не ограничено
;repeat = 0

 

[max1976]

50 минут назад, oborot.bolta сказал:

А в конфиге extfilter.ini еще работает такая секция?:

Нет, не работает.

 

1 час назад, oborot.bolta сказал:

Carbon блочит.

Я рад за него.

[epollia]

3 часа назад, oborot.bolta сказал:

Carbon блочит.

 

 

Почитай в ветке выше, как раз с этим ресурсом боролись.

Изменено 11 июля, 2019 пользователем epollia

[Morphus]

Доброго всем.

1) Никак не могу исправить: появляются пропуски по отчёту. Перезапуск фильтра не помогает. Очищаю конфиги, переформировываю их. Перезапускаю фильтр - начинает блокировать. Перезапуск фильтра делаю через htop - F9 - SIGTERM KILL (скриншот), если это важно. Скрипты с гита фильтра. Сталкивался кто-нить ?

    1.1 Сделал скрипт для очистки конфигов. Если я буду делать reload фильтра каждый раз независимо от того есть новые домены/урлы или нет, это же не затратная операция и ничем не повредит ?

2) ркн разбанил вроде как много ип адресов, но в отчёте они приходят как пропуски, в дампе их нет. В сапорте сказали типо за 1% не выходит, забейте, не беспокойтесь :) ип продолжают прибывать в отчёте. Что скажите ?)

Скрытый текст

По факту если бы пропусков было намного больше, по этим записям были бы получены однозначные скриншоты и система смогла бы сформировать отчёт, то акт был бы оправлен в РКН (т.к. на момент фиксирования нарушения эти адреса всё еще были в реестре). Но вам беспокоится по этим пропускам не надо т.к. вы не превысили процентный порог, после которого мы проверяем оператора на нарушение, и запросы по ip-адресам обычно не дают однозначного доступа к каким либо сайтам, по которым было бы видно, что доступ к запрещенному контенту не блокируется.

В итоге можете считать в данном случае, что это были ложные срабатывания на агенте.

 

3) оО, только заметил пока лазил вокруг systemctl. Это явно не нормально "Active: failed " ? При этом фильтр работает, блокирует, в логах без ошибок.

[root@localhost config-reconfig]# systemctl status extfilter.service 
● extfilter.service - extFilter is a daemon for filtering traffic using DPDK
   Loaded: loaded (/etc/systemd/system/extfilter.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Пт 2019-07-12 10:38:44 +08; 1h 7min ago
  Process: 619 ExecReload=/bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
  Process: 19305 ExecStart=/usr/local/bin/extFilter --config-file /home/extfilter/extfilter.ini --daemon --pidfile=/var/run/extFilter.pid (code=exited, status=0/SUCCESS)
 Main PID: 19306 (code=exited, status=70)

июл 12 10:38:44 localhost.localdomain systemd[1]: Starting extFilter is a daemon for filtering traffic using DPDK...
июл 12 10:38:44 localhost.localdomain systemd[1]: PID file /var/run/extFilter.pid not readable (yet?) after start.
июл 12 10:38:44 localhost.localdomain systemd[1]: Started extFilter is a daemon for filtering traffic using DPDK.
июл 12 10:38:44 localhost.localdomain systemd[1]: extfilter.service: main process exited, code=exited, status=70/n/a
июл 12 10:38:44 localhost.localdomain systemd[1]: Unit extfilter.service entered failed state.
июл 12 10:38:44 localhost.localdomain systemd[1]: extfilter.service failed.

 

Изменено 12 июля, 2019 пользователем Morphus

[Morphus]

У всех в логах extmaker такая строчка ?

2019-07-18 01:33:14 | WARN  | main  | Bad scheme (ftp) for: ftp://nozdr.ru/biblio/survival/%D0%A1%D0%B1%D0%BE%D1%80%D0%BD%D0%B8%D0%BA%20%D0%92%D1%8B%D0%B6%D0%B8%D0%B2%D0%B0%D0%BB%D1%8C%D1%89%D0%B8%D0%BA%D0%B0/Ensiklopedii%20Sborniki%20Vu$i%20Vuzivatelskay%20tematika/Kniga/%D0%92%D0%B7%D1%80%D1%8B%D0%B2%D0%BD%D0%BE%D0%B5%20%D0%B4%D0%B5%D0%BB%D0%BE.doc. Skip it.

 

[hsvt]

В 18.07.2019 в 04:46, Morphus сказал:

У всех в логах extmaker такая строчка ?

2019-07-18 01:33:14 | WARN  | main  | Bad scheme (ftp) for: ftp://nozdr.ru/biblio/survival/%D0%A1%D0%B1%D0%BE%D1%80%D0%BD%D0%B8%D0%BA%20%D0%92%D1%8B%D0%B6%D0%B8%D0%B2%D0%B0%D0%BB%D1%8C%D1%89%D0%B8%D0%BA%D0%B0/Ensiklopedii%20Sborniki%20Vu$i%20Vuzivatelskay%20tematika/Kniga/%D0%92%D0%B7%D1%80%D1%8B%D0%B2%D0%BD%D0%BE%D0%B5%20%D0%B4%D0%B5%D0%BB%D0%BE.doc. Skip it.

 

да, есть.

 

1.1) скрипты Макса сами всё делают и очищают и заполняют и рестартят фильтр.

Изменено 19 июля, 2019 пользователем hsvt

[evgen.v]

Добрый день.

Extfilter перестал блокировать сайты, в логах вот что
 

Скрытый текст

2019-07-30 14:11:15.003 [5281] Information Application - Got HUP signal - reload data
2019-07-30 14:11:15.003 [5281] Information ReloadTask - Reloading data from files...
2019-07-30 14:11:15.007 [5281] Information ACL - Preparing 381 rules for IPv4 ACL
2019-07-30 14:11:15.019 [5281] Information ReloadTask - ACLs successfully loaded
2019-07-30 14:11:15.082 [5281] Information TriesControl - Loaded 103049 lines from the domains file '/usr/local/etc/extfilter/domains'
2019-07-30 14:11:15.130 [5281] Information TriesControl - Loaded 78971 lines from the urls file '/usr/local/etc/extfilter/urls'
2019-07-30 14:11:15.151 [5281] Information TriesControl - Masked domains: #keys 17278, #nodes 24136
2019-07-30 14:11:15.537 [5281] Information TriesControl - URLS: #keys 181971, #nodes 260064
2019-07-30 14:11:15.537 [5281] Information TriesControl - Set active trie in the slot 1
2019-07-30 14:11:16.537 [5281] Information TriesControl - Deleting trie in the slot 0
2019-07-30 14:11:16.584 [5281] Information TriesControl - Loaded 111962 lines from the domains file '/usr/local/etc/extfilter/ssl_host'
2019-07-30 14:11:16.602 [5281] Information TriesControl - Masked domains: #keys 17278, #nodes 24136
2019-07-30 14:11:16.748 [5281] Information TriesControl - URLS: #keys 109792, #nodes 155203
2019-07-30 14:11:16.748 [5281] Information TriesControl - Set active trie in the slot 1
2019-07-30 14:11:17.279 [5281] Information Application - Port 0 input packets 733, input errors: 0, mbuf errors: 0, missed packets: 0
2019-07-30 14:11:17.279 [5281] Information Application - Port 1 input packets 72745475, input errors: 0, mbuf errors: 0, missed packets: 0

 

...

 

2019-07-30 14:26:17.286 [5281] Information Application - Port 0 input packets 733, input errors: 0, mbuf errors: 0, missed packets: 0
2019-07-30 14:26:17.286 [5281] Information Application - Port 1 input packets 103789404, input errors: 0, mbuf errors: 0, missed packets: 0
2019-07-30 14:26:17.286 [5281] Information Application - Worker thread on core 1 statistics:
2019-07-30 14:26:17.286 [5281] Information Application - Thread seen packets: 24621169, IP packets: 24593164 (IPv4 packets: 24593164, IPv6 packets: 0), seen bytes: 14282165052, Average packet size: 580 bytes, Traffic throughput: 6.58 K pps
2019-07-30 14:26:17.286 [5281] Information Application - Thread IPv4 fragments: 708, IPv6 fragments: 0, IPv4 short packets: 0
2019-07-30 14:26:17.286 [5281] Information Application - Thread matched by ip/port: 0, ssl SNI: 0, ssl/ip: 0, http IPv4: 0, http IPv6: 0
2019-07-30 14:26:17.286 [5281] Information Application - Thread redirected blocked http IPv4: 0, redirected http IPv6: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0
2019-07-30 14:26:17.287 [5281] Information Application - Worker thread on core 2 statistics:
2019-07-30 14:26:17.287 [5281] Information Application - Thread seen packets: 32780535, IP packets: 32780534 (IPv4 packets: 32780534, IPv6 packets: 0), seen bytes: 27660273345, Average packet size: 843 bytes, Traffic throughput: 10.51 K pps
2019-07-30 14:26:17.287 [5281] Information Application - Thread IPv4 fragments: 3465, IPv6 fragments: 0, IPv4 short packets: 0
2019-07-30 14:26:17.287 [5281] Information Application - Thread matched by ip/port: 0, ssl SNI: 0, ssl/ip: 0, http IPv4: 0, http IPv6: 0
2019-07-30 14:26:17.287 [5281] Information Application - Thread redirected blocked http IPv4: 0, redirected http IPv6: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0
2019-07-30 14:26:17.287 [5281] Information Application - Worker thread on core 3 statistics:
2019-07-30 14:26:17.287 [5281] Information Application - Thread seen packets: 23835738, IP packets: 23835737 (IPv4 packets: 23835737, IPv6 packets: 0), seen bytes: 14967589875, Average packet size: 627 bytes, Traffic throughput: 9.02 K pps
2019-07-30 14:26:17.287 [5281] Information Application - Thread IPv4 fragments: 1251, IPv6 fragments: 0, IPv4 short packets: 0
2019-07-30 14:26:17.287 [5281] Information Application - Thread matched by ip/port: 0, ssl SNI: 0, ssl/ip: 0, http IPv4: 0, http IPv6: 0
2019-07-30 14:26:17.287 [5281] Information Application - Thread redirected blocked http IPv4: 0, redirected http IPv6: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0
2019-07-30 14:26:17.287 [5281] Information Application - Worker thread on core 4 statistics:
2019-07-30 14:26:17.287 [5281] Information Application - Thread seen packets: 22553403, IP packets: 22553403 (IPv4 packets: 22553403, IPv6 packets: 0), seen bytes: 10897815375, Average packet size: 483 bytes, Traffic throughput: 6.77 K pps
2019-07-30 14:26:17.287 [5281] Information Application - Thread IPv4 fragments: 1341, IPv6 fragments: 0, IPv4 short packets: 0
2019-07-30 14:26:17.287 [5281] Information Application - Thread matched by ip/port: 0, ssl SNI: 0, ssl/ip: 0, http IPv4: 0, http IPv6: 0
2019-07-30 14:26:17.287 [5281] Information Application - Thread redirected blocked http IPv4: 0, redirected http IPv6: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0
2019-07-30 14:26:17.287 [5281] Information Application - All worker threads seen packets: 103790845, IP packets: 103762838 (IPv4 packets: 103762838, IPv6 packets: 0), seen bytes: 67807843647, traffic throughtput: 32.88 K pps
2019-07-30 14:26:17.287 [5281] Information Application - All worker IPv4 fragments: 6765, IPv6 fragments: 0, IPv4 short packets: 0
2019-07-30 14:26:17.287 [5281] Information Application - All worker threads matched by ip/port: 0, matched by ssl SNI: 0, matched by ssl/ip: 0, matched by HTTP: 0
2019-07-30 14:26:17.287 [5281] Information Application - All worker threads redirected blocked http: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0

То есть трафик на него попадает, ACL по сигналу HUP загружает, но почему-то в matches всё по нулям. Конфиг:

Скрытый текст

# cat /usr/local/etc/extfilter.ini
; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
;lower_host = false

domainlist = /usr/local/etc/extfilter/domains
urllist = /usr/local/etc/extfilter/urls
ssllist = /usr/local/etc/extfilter/ssl_host

; файл с ip:port для блокировки
hostlist = /usr/local/etc/extfilter/hosts

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /usr/local/etc/extfilter/ssl_ips

; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false
http_redirect = true

# если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://...
; redirect_url = http://notify.example.com
redirect_url = http://yarvolna.net/zapret-info.html

; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true

; Default: 0 - disable
statistic_interval = 300

; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
block_ssl_no_sni = false

; Какие ядра использовать. Default: все ядра, кроме management.
core_mask = 31

; файл статистики (для extfilter-cacti)
statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500

; CLI для управления или сбора статистики extfilter
cli_port = 9999
cli_address = 127.0.0.1

; Количество каналов памяти (для DPDK)
; memory_channels = 2

; Количество повторных пакетов в сторону клиента (от 1 до 3)
; answer_duplication = 1

; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline)
operation_mode = mirror

; Использовать jumbo frames
; jumbo_frames = false

; Максимальная длина ethernet фрейма при включенном jumbo_frames
; max_pkt_len = 9600

; здесь задаются порты, с которых необходимо снимать трафик
; формат:
; [port n]
; queues = a,b; a1,b1...
; n - номер порта dpdk
; a - номер очереди
; b - ядро, обрабатывающее очередь a
; Пример:
;[port 0]
;queues = 0,1; 1,2

[port 1]
queues = 0,1; 1,2; 2,3; 3,4

; Порт для отправки уведомлений через dpdk
;[port 1]
;type = sender
; На какой mac адрес отправлять пакеты
;mac = 00:01:02:03:04:05

[port 0]
type = sender
;mac = 00:11:0a:68:9e:01
mac = 90:e2:ba:84:14:ad

[dpi]
; Масштабирование количества обрабатываемых потоков 1..10
; scale = 10
scale = 4

; Собирать и анализировать фрагментированные пакеты
; fragmentation_ipv6_state = true
; fragmentation_ipv4_state = true
; fragmentation_ipv4_table_size = 512
; fragmentation_ipv6_table_size = 512

; Собирать и анализировать tcp потоки с неправильными порядком
; tcp_reordering = true

[logging]
loggers.root.level = information
;loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 4
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

Подскажите, куда смотреть, как решить проблему? Перезапускал всё, и демона extfilter, и весь сервер целиком. ExtFilter работает последний с гитхаба.

Изменено 30 июля, 2019 пользователем evgen.v

[zhenya`]

В файлах то все хорошо?

[evgen.v]

2 часа назад, zhenya` сказал:

В файлах то все хорошо?

Да, во всех файлах всё как надо. И скрипт extfilter-maker.pl отрабатывает нормально, в файлах добавляет-удаляет записи

[max1976]

12 минут назад, evgen.v сказал:

Да, во всех файлах всё как надо. И скрипт extfilter-maker.pl отрабатывает нормально, в файлах добавляет-удаляет записи 

32.88 K pps - у вас так мало трафика проходит через фильтр?

[dee]

5 часов назад, evgen.v сказал:

[port 0]
type = sender
;mac = 00:11:0a:68:9e:01
mac = 90:e2:ba:84:14:ad

может мак пропал нужный или сменился  или влан пропал ?

[evgen.v]

5 часов назад, max1976 сказал:

32.88 K pps - у вас так мало трафика проходит через фильтр?

Спасибо за наводку, оказался косяк с зеркалированием, не с того порта зеркалировался трафик :(

[epollia]

Добрый день. Кто нибудь у себя на сети использует предфильтр для сорма, есть список протоколов, которые фильтруете?

[Piyoz]

Никто ещё не выявил, в чём очередной косяк в реестре?

Ругается на:

Use of uninitialized value in lc at /opt/extfilter-maker/extfilter_maker.pl line 173.

у меня в этом месте:       

my $host=lc($url1->host());

 

[kazimur]

Добавлена запись id="1676122" с URL http:/premium-diploms.com/

[Piyoz]

Спасибо

Изменено 29 августа, 2019 пользователем Piyoz
невнимательность

[Morphus]

В 23.08.2019 в 14:47, epollia сказал:

Добрый день. Кто нибудь у себя на сети использует предфильтр для сорма, есть список протоколов, которые фильтруете?

У меня песочница из микротика, к которому подключены агенты, а на микрике vpn поднят до специальной виртуалки. Весь трафик на неё идёт. Там сделал ip и http фильтрацию. ip работает как надо, http надо переделывать, не всё блокирует (думал будет легче).

Потом уже dpi и блок ip на bgp.

[dglova]

Добрый день.

Подскажите, почему при работе zapret.pl может появляться ошибка 

2019-09-09 11:59:30 | ERROR | main  | Error occured while working with registry: Reading from filehandle failed at ./zapret.pl line 1269.

 

Вот эта функция.

sub getMD5Sum
{
        my $file=shift;
        open(my $MFILE, $file) or return "";
        binmode($MFILE);
        my $hash=Digest::MD5->new->addfile(*$MFILE)->hexdigest;
        close($MFILE);
        return $hash;
}

 

А ругается конкретно вот на эту строчку

my $hash=Digest::MD5->new->addfile(*$MFILE)->hexdigest;

 

[Ivan_83]

57 минут назад, dglova сказал:

2019-09-09 11:59:30 | ERROR | main  | Error occured while working with registry: Reading from filehandle failed at ./zapret.pl line 1269.

Не может он прочитать файл, что непонятного?

Нет его в текущей дириктории процесса, передавай либо полные пути либо делай cd в папку где он лежит и потом запускай.