1. Для блокировка используем

[Илья Дмитриевич]

Странно что они из гос услуг свой сертификат не поставили

https://www.gosuslugi.ru/tls

[st_re]

В 11.04.2022 в 17:02, Илья Дмитриевич сказал:

Странно что они из гос услуг свой сертификат не поставили

https://www.gosuslugi.ru/tls

Без добавления в систему их (госуслуг) корневого, оно всё равно работать не будет..

 

но учитывая что глобалсайн работает по системе "ни войны ни мира", тоесть уже месяц валидатит нам домен... при этом есть компания, скажем ООО Ромашка, идём в ник ру, выбираем 2 одинаковых церта от глобайсайна на romashka.com и romashka.ru и первый выписывается кажется даже раньше чем вписываем строку для проверки в ДНС, а второй уже неделю всё проверяется и, судя по тому что месяц висит другой .ru на другую компанию, перспективы туманны... пока LE наше фсё...

 

[bike]

В 11.04.2022 в 17:27, st_re сказал:

Без добавления в систему их (госуслуг) корневого, оно всё равно работать не будет..

 

но учитывая что глобалсайн работает по системе "ни войны ни мира", тоесть уже месяц валидатит нам домен... при этом есть компания, скажем ООО Ромашка, идём в ник ру, выбираем 2 одинаковых церта от глобайсайна на romashka.com и romashka.ru и первый выписывается кажется даже раньше чем вписываем строку для проверки в ДНС, а второй уже неделю всё проверяется и, судя по тому что месяц висит другой .ru на другую компанию, перспективы туманны... пока LE наше фсё...

 

Мы 29 Mar 2022 получили от них серт, задержка была 4-5 рабочих дней, но мы были в первых рядах. Сейчас желающих вагон, а проверяющих в ручную домены на под санкционность - единицы.

[st_re]

В 11.04.2022 в 17:34, bike сказал:

Мы 29 Mar 2022 получили от них серт, задержка была 4-5 рабочих дней, но мы были в первых рядах. Сейчас желающих вагон, а проверяющих в ручную домены на под санкционность - единицы.

ну у нас висит с, не помню, 12-15 марта.. еще в списке были  тавте итд старые, и это продление старого церта по старой цене.. через сутки тип у него тип сменился на глобайсайн и валидатят... правда там получилось *.<DOMAIN> и Validated Org а не Validated Domain. возможно это ухудшает ситуацию.. а те 2 на ООО Ромашка, там простой церт *.romashka.ru с 4 апреля висит (точно такой же на тоже юрлицо *.romashka.com выписался за считанные минуты... и пофиг на проверки.)...

[bike]

В 11.04.2022 в 17:54, st_re сказал:

*.<DOMAIN> и Validated Org

В это вероятно проблема, мы то же хотели Validated Org - нам сразу сказали, что это совсем в ручном режиме. Решили взять самый простой серт, проще потом нормальный выпустить.

[st_re]

В 11.04.2022 в 18:00, bike сказал:

В это вероятно проблема, мы то же хотели Validated Org - нам сразу сказали, что это совсем в ручном режиме. Решили взять самый простой серт, проще потом нормальный выпустить.

мы бы тоже взяли что по проще, но там было продление того что было, а когда поняли что процесс затянулся, уже и ЛЕ выпустили и теперь ждём у моря погоды... старый уже истёк и теперь а не всё ли равно когда оно там родится..

[wrecker]

Господа, а никто не брался дорабатывать extfilter для блокировки Instagram и других приложений все таки? Это же становится чувствительной проблемой малых операторов как мы. Кто как решает вопрос блокировки Instagram? Думал что народ вбудоражен и уже есть решение, а тут даже не обсуждается ничего.

[jffulcrum]

В 20.04.2022 в 11:22, wrecker сказал:

а тут даже не обсуждается ничего

Обсуждается в 

 

[Antares]

В 20.04.2022 в 13:22, wrecker сказал:

Господа, а никто не брался дорабатывать extfilter для блокировки Instagram и других приложений все таки? Это же становится чувствительной проблемой малых операторов как мы. Кто как решает вопрос блокировки Instagram? Думал что народ вбудоражен и уже есть решение, а тут даже не обсуждается ничего.

Я блокирнул ip, которые в теме в предыдущем посте указывали

[nevsik]

https://github.com/vel21ripn/nDPI

Я вот такое на сервера устанавливаю.

[wrecker]

On 4/20/2022 at 12:26 PM, nevsik said:

https://github.com/vel21ripn/nDPI

Я вот такое на сервера устанавливаю.

Это уже ближе. Спасибо. Но тут вопрос схемы включения. Ведь такая nDPI должна быть "в разрыв" включена. Значит это ставить нужно на роутер, выходит серверами заменять стоящий CISCO ASR ?

[alibek]

В 20.04.2022 в 15:15, wrecker сказал:

Значит это ставить нужно на роутер

Нет, конечно.

Если ставится "в разрыв", то это будет прозрачно для сетевого оборудования.

DPI должен включаться между BRAS и абонентами, или между BRAS и аплинком.

[nevsik]

В 20.04.2022 в 15:15, wrecker сказал:

Это уже ближе. Спасибо. Но тут вопрос схемы включения. Ведь такая nDPI должна быть "в разрыв" включена. Значит это ставить нужно на роутер, выходит серверами заменять стоящий CISCO ASR ?

У меня BRAS на linux, вот я прям на них и режу.

[Илья Дмитриевич]

В 20.04.2022 в 16:25, nevsik сказал:

У меня BRAS на linux, вот я прям на них и режу.

а на скока стабильно работает ? много ресурсов съело?

вы в связке с iptables  запускаете или может через dpdk ?

[nevsik]

В 20.04.2022 в 16:25, nevsik сказал:

У меня BRAS на linux, вот я прям на них и режу.

Один сервак уже неделю работает, норм все. Ресурсов почти не ест.

В связке с iptables запушено.

[Илья Дмитриевич]

iptables -A INPUT -m ndpi --facebook -j DROP типа того? еще вроде можно просто к шейперу привязать и резать скорость в сторону facebook

[nevsik]

В 20.04.2022 в 16:53, Илья Дмитриевич сказал:

iptables -A INPUT -m ndpi --facebook -j DROP типа того? еще вроде можно просто к шейперу привязать и резать скорость в сторону facebook

Да именно так. К шейперу не привязывал, тут не подскажу.

[aalexanderr]

В 20.04.2022 в 17:14, nevsik сказал:

Да именно так. К шейперу не привязывал, тут не подскажу.

насколько ресурсоёмко ?

и я правильно понимаю, что вы дополнительно используете extfilter для РКН ? а данный openDPI для блокировки L7 ?

[ne-vlezay80]

ndpi не работает с фрагментированными пакетами.

[aalexanderr]

В 20.04.2022 в 23:32, ne-vlezay80 сказал:

ndpi не работает с фрагментированными пакетами.

т.е. если допустим клиент будет использовать goodbyedpi, коряво фрагментировать пакеты и прочие ухищрения, то ndpi работать не будет ?

[aalexanderr]

И такой глупый вопрос кто-нибудь использует 1 фильтр на 2 браса ?

 

В текущий момент схема mirror, 1 брас, линк 10g, трафика 6 гигов.

 

Скрытый текст

 

Хотелось бы разделить нагрузку по схеме mirror: 2 браса, 2 порта 10g, 1 порт sender. Я правильно понимаю, что extfilter в схеме mirror так будет работать с 2мя брасами и 2мя входящими портами ?

 

Скрытый текст

 

И так же вопрос с 2мя брасами схема inline, настройка портов в таком случае будет выглядеть так ?:

0 ядро так же уходит в зрительный зал для работы основного процесса ? и допустим по 4 ядра на порт этого достаточно, чтобы прокачать 3-4 гига в схеме inline ? или лучше оставаться на зеркале ?

 

[port 0]
queues = 0,2;1,3;2,4;3,5
type = subscriber
mapto = 1

 

[port 1] =
queues = 0,6;1,7;2,8;3,9
type = network
mapto = 0

 

[port 2]
queues = 0,10;1,11;2,12;3,13
type = subscriber
mapto = 3

 

[port 3]
queues = 0,14;1,15;2,16;3,17
type = network
mapto = 2

 

Скрытый текст

 

Изменено 20 апреля, 2022 пользователем aalexanderr

[ne-vlezay80]

А как между абонентами фильтровать?

[Илья Дмитриевич]

В 20.04.2022 в 17:14, nevsik сказал:

Да именно так. К шейперу не привязывал, тут не подскажу.

Попробовал развернуть на бордере на debian 10  4.19.0-20-amd64 что то какие то лаги возникают перестает трафик ходить . Стал смотреть вроде как в ядре у меня не в компилирована опция  CONFIG_UNUSED_SYMBOLS=y на скока она критична ? И еще интересно на какой версии линукса у вас работает  ? и где у вас ndpi стоит?

Изменено 21 апреля, 2022 пользователем Илья Дмитриевич

[ne-vlezay80]

В 20.04.2022 в 23:53, aalexanderr сказал:

т.е. если допустим клиент будет использовать goodbyedpi, коряво фрагментировать пакеты и прочие ухищрения, то ndpi работать не будет ?

Он может даже mtu минимальный поставить и не будет. Смотрите в сторону suricata в режиме nfq.

[nevsik]

В 20.04.2022 в 23:04, aalexanderr сказал:

насколько ресурсоёмко ?

и я правильно понимаю, что вы дополнительно используете extfilter для РКН ? а данный openDPI для блокировки L7 ?

extfilter стоит " с боку", в принимает зеркало с брасов, а npdi не посредственно на брасах поднят для блокировки L7.

 

В 21.04.2022 в 03:03, Илья Дмитриевич сказал:

Попробовал развернуть на бордере на debian 10  4.19.0-20-amd64 что то какие то лаги возникают перестает трафик ходить . Стал смотреть вроде как в ядре у меня не в компилирована опция  CONFIG_UNUSED_SYMBOLS=y на скока она критична ? И еще интересно на какой версии линукса у вас работает  ? и где у вас ndpi стоит?

 

CONFIG_UNUSED_SYMBOLS, тоже не включена данная опция.
Вот такая версия у меня Linux NAS11 4.19.0-20-amd64

В цепочке forward правило стоит.