Jump to content
Калькуляторы
Блокировка веб ресурса  

533 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

1 час назад, admf сказал:

тоже стоит nfqfilter, но блокирует домены. Есть пропуски по ссылкам типа:

http://av.av4.xyz/v/s://video.fc2.com/content/2013090369DYpXhh/title/%E5%AF%9D%E3%81%A6%E3%82%8B%E5%AD%90%E3%81%AE%E3%82%A2%E3%83%8A%E3%83%AB%E3%81%AB%E3%81%93%E3%81%A3%E3%81%9D%E3%82%8A%E6%8C%BF%E5%85%A5%20[2:36x240p]

 

а вы чей nfqfilter используете (правда я не знаю есть ли разница между ними:  myth11 max197616)?

у меня наоборот, эту ссылку блочит, а вот как у Укропа - тоже пропускает, версию уже не помню, много наплодили что-то )

Share this post


Link to post
Share on other sites
5 минут назад, hsvt сказал:

у меня наоборот, эту ссылку блочит, а вот как у Укропа - тоже пропускает, версию уже не помню, много наплодили что-то )

уже интереснее, у меня стоит от myth11,  попробую собрать от max197616 - посмотрим что изменится.

 

А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker

Share this post


Link to post
Share on other sites
16 минут назад, admf сказал:

уже интереснее, у меня стоит от myth11,  попробую собрать от max197616 - посмотрим что изменится.

 

А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker

да, этим же скриптом.

Share this post


Link to post
Share on other sites

@admf @hsvt да, файлы этим же скриптом формирую, а вот сборка nfqfilter честно уже не помню от кого

Share this post


Link to post
Share on other sites
2 часа назад, admf сказал:

уже интереснее, у меня стоит от myth11,  попробую собрать от max197616 - посмотрим что изменится.

 

А формируете файлы для фильтра чем?, если, что я формирую скриптом от Max, https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker

у меня ситуация не изменилась, ссылки также открываются, домены заблокированы.

 

А может проблема в том, что "howto" 

 nDPI = 1.7-stable (ставится автоматически с github с наложением необходимых патчей)

а ставится  nDPI 1.8.0-HEAD-612-f51fef6

 

 

Edited by admf

Share this post


Link to post
Share on other sites

extFilter проработал почти сутки и упал.

При запуске:

Syntax error: Cannot convert to boolean: none

Подскажите пожалуйста, куда смотреть.

 

UPD1: сейчас пересмотрю конфиг, т.к. с дефолтным конфигом уже другие, соответствующие ошибки.

UPD2: пардон, всё летатет ;)  Сам в конфиг вписал none, там где должно быть false.

 

max197616, спасибо огромное за твой труд!

Edited by alexdirty
UPD2

Share this post


Link to post
Share on other sites

Я тут задумался как облегчить жизнь пользователям в период блокировки google.

Как думаете на счет rpz в днс?

резолвим www.google.com , translate.google.com etc.

Формируем rpz зону  исключая заблокированные ip, получаем dns  выдачу без заблокированных ip , не поломав основную зону google.com

Share this post


Link to post
Share on other sites

Ребят, привет, а у кого нибудь есть проблема с автоматической выгрузкой реестра? У меня скрипт отваливается по тайм-ауту, такая же беда была два дня назад. Починилось спустя сутки после звонка в РКН

Share this post


Link to post
Share on other sites
2 минуты назад, privetprivet сказал:

Ребят, привет, а у кого нибудь есть проблема с автоматической выгрузкой реестра? У меня скрипт отваливается по тайм-ауту, такая же беда была два дня назад. Починилось спустя сутки после звонка в РКН

проблем не было замечено.

 

37 минут назад, yKpon сказал:

@admf @hsvt да, файлы этим же скриптом формирую, а вот сборка nfqfilter честно уже не помню от кого

а подскажите по конфигу nfqfilter, 

 

; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами.
; block_undetected_ssl = false
; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true)
; sslips = /path/to/file
; перевод host: в строчные символы
; lower_host = false
;
; match_url_exactly = false
; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы
; url_decode = false
 

включали чего?

 

 

Share this post


Link to post
Share on other sites
1 минуту назад, admf сказал:

проблем не было замечено.

 

а подскажите по конфигу nfqfilter, 

 

; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами.
; block_undetected_ssl = false
; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true)
; sslips = /path/to/file
; перевод host: в строчные символы
; lower_host = false
;
; match_url_exactly = false
; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы
; url_decode = false
 

включали чего?

 

 

block_undetected_ssl = true

send_rst = true

Share this post


Link to post
Share on other sites
4 минуты назад, admf сказал:

включали чего?

вот конфиг



; номер очереди
queue = 0
; файл с доменами для блокировки
domainlist = /usr/local/etc/nfqfilter/dumps/domains
; файл с url для блокировки
urllist = /usr/local/etc/nfqfilter/dumps/urls
; файл с ssl доменами для блокировки
ssllist = /usr/local/etc/nfqfilter/dumps/ssl_host
; файл с ip:port для блокировки
hostlist = /usr/local/etc/nfqfilter/dumps/hosts

; куда редиректить в случае наличия в списках
redirect_url = http://10.2.0.3:81/?
; HTTP код ответа. default: 302 Moved Temporarily
http_code = 302 Moved Temporarily
; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего
url_additional_info=none

; дополнительные порты для протоколов (nDPI)
; protocols = /usr/local/etc/nfqfilter/dumps/protos
; время вывода статистики по использованию памяти, минут
statistic_interval = 10
; если установлено в true, то сам nfqfilter отправляет tcp rst клиенту и серверу (тогда mark_value не используется) в случае фильтрации https и ip:port
send_rst = true
; каким значением метить пакеты для iptables в случае наличия в списках ssl и hosts
mark_value = 17
; количество обрабатываемых пакетов (default: 1024)
; max_pending_packets = 1024
; сохранять пакеты ошибками в /tmp
; save_bad_packets = false
; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами.
; block_undetected_ssl = false
; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true)
; sslips = /path/to/file
; перевод host: в строчные символы
lower_host = true
; host должен точно совпадать со списком, т.е. в списке есть example.com, в запросе www.example.com - не блокируем.
; match_host_exactly = false
; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы
; url_decode = false
; Количество потоков обработки пакетов
num_threads = 1

[logging]
;loggers.root.level = information
;loggers.root.level = debug
;loggers.root.channel = fileChannel
;channels.fileChannel.class = FileChannel
;channels.fileChannel.path = /var/log/nfqfilter/nfqfilter.log
;channels.fileChannel.rotation = 1 M
;channels.fileChannel.archive = timestamp
;channels.fileChannel.formatter.class = PatternFormatter
;channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
;channels.fileChannel.formatter.times = local

Share this post


Link to post
Share on other sites

у меня не чего не меняется, а у Вас какая ОС?

Share this post


Link to post
Share on other sites
6 минут назад, alexdirty сказал:

www.mepin.com

Нет, и в истории не наблюдаю такого url

Share this post


Link to post
Share on other sites
7 минут назад, swsn сказал:

Нет, и в истории не наблюдаю такого url

А, нашёл, это они так проверяют блокировку по подсетям. Ломанулись на http://18.197.0.0 и https://18.197.0.0 и получив редирект на www.mepin.com зафиксировали таким образом пропуск.

 

Адрес перенаправления
С: http://18.197.0.0 (18.197.0.
0), https://18.197.0.0/ (18.
197.0.0)

Была необходимость на несколько секунд роуты погасить (((

Edited by alexdirty

Share this post


Link to post
Share on other sites

я так понимаю проверка блокировки сети на адресе сети и заканчивается:D

Share this post


Link to post
Share on other sites

со временем допилят рандом. они раньше и по type=ip проверяли только http, а теперь и https тоже проверяют, даже если по http нет ответа/icmp/tcp-reject

Share this post


Link to post
Share on other sites
2 часа назад, swsn сказал:

как облегчить жизнь пользователям в период блокировки google. Как думаете на счет rpz в днс?

попробуйте unbound + private-address в нем. список адресов, которые надо исключать из выдачи, можно взять на https://usher2.club/

dnssec, видимо, поломается.

Share this post


Link to post
Share on other sites
3 часа назад, boco сказал:

попробуйте unbound + private-address в нем. список адресов, которые надо исключать из выдачи, можно взять на https://usher2.club/

dnssec, видимо, поломается.

Попробовал, при совпадении в ответе одного айпишника вырезает всё) только ipv6 оставляет. 

Share this post


Link to post
Share on other sites
6 часов назад, swsn сказал:

Попробовал, при совпадении в ответе одного айпишника вырезает всё) только ipv6 оставляет. 

странно, у меня работает. unbound 1.7.0

Share this post


Link to post
Share on other sites

 

4 часа назад, boco сказал:

странно, у меня работает. unbound 1.7.0

да, в версии из пакетов не работало, 1.7 скомпилил - заработало.

Share this post


Link to post
Share on other sites
В 24.04.2018 в 04:20, rm_ сказал:

А, так вот этот оператор "сына маминой подруги" и разгадка почему у него "всё открывается".

До первой прокурорской проверки "в поле". Нас уже пытались таким образом приголубить.

Share this post


Link to post
Share on other sites
В 24.04.2018 в 09:08, Tamahome сказал:

Ревизор начал "штрафовать" за гугл...

Тоже в отчетах такое есть. Хочется позвонить и спросить что вы там курите и гугл не блокируете.

Edited by arhead

Share this post


Link to post
Share on other sites

Умственные способности "блокировщиков" не перестают удивлять.

 

Что они хотели добиться этими url`ами в ресеетре?:
 

http://1000symbols.ru/?utm_source=google.ru
http://1000symbols.ru/?utm_source=www.google.ru

 

 

В 24.04.2018 в 09:13, Antares сказал:

Тоже со вчерашнего дня такие "пропуски"

Это они так детектят пропуски по IP. Ломятся на IP, а там редирект. И в пропуск пишут уже domain после редиректа.

Share this post


Link to post
Share on other sites

youtube опять отвалился. s.ytimg.com в блоке.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now