Jump to content
Калькуляторы
Блокировка веб ресурса  

536 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Тогда получается, что ресурс доступен, если на него можно попасть, просто установив Firefox, даже не делая никаких дополнительных настроек. Я и начал копать после того, как он появился в пропуске у ревизора.

Share this post


Link to post
Share on other sites
27 minutes ago, Piyoz said:

Тогда получается, что ресурс доступен, если на него можно попасть, просто установив Firefox, даже не делая никаких дополнительных настроек. Я и начал копать после того, как он появился в пропуске у ревизора.

 curl -v http://mir-sexa24.ru
* About to connect() to mir-sexa24.ru port 80 (#0)
*   Trying 45.76.38.206... connected
* Connected to mir-sexa24.ru (45.76.38.206) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.21.0 (i386-redhat-linux-gnu) libcurl/7.21.0 NSS/3.12.10.0 zlib/1.2.5 libidn/1.18 libssh2/1.2.4
> Host: mir-sexa24.ru
> Accept: */*
>
< HTTP/1.1 302 Found
< Location: http://shtotatelecom.ru/deny_rkn.html
< Connection: close
<
* Closing connection #0
 

последний чистый firefox ведёт себя как задумано

обновляйтесь, ищите проблему

 

7 hours ago, Morphus said:

И очень массово. Вчера:


-2,752,502 | Total: 952,322 ▼ 74.295%
 -131,043 | Total: 823,069 ▼ 13.735%

Выгружаю каждые десять минут.

 

дай боже, чтоб 20 млрд рублей им хватило только лишь на это

Edited by Bl_cK

Share this post


Link to post
Share on other sites
11 минут назад, Piyoz сказал:

Тогда получается, что ресурс доступен, если на него можно попасть, просто установив Firefox, даже не делая никаких дополнительных настроек. Я и начал копать после того, как он появился в пропуске у ревизора.

В Firefoxе так же редирект. Ревизор так же не фиксирует пропуски. 

Share this post


Link to post
Share on other sites

@max1976 , @Bl_cK  у вас настроен редирект, у меня редиректа нет, просто сброс (rst) - видимо только в случае сброса проявляется описанная мною ситуация. Т.е. сброс соединения в данном конкретном случае не помогает.

Share this post


Link to post
Share on other sites

Подскажите: в отчёте получаю пропуски. Делаю рестарт фильтра - начинает блокировать. Примерно хватает на сутки. Сутки по нулям может быть, следующий день пропуски.

Конфиг:

Скрытый текст

;Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
;lower_host = false

domainlist = /usr/local/etc/extfilter/domains
urllist = /usr/local/etc/extfilter/urls
ssllist = /usr/local/etc/extfilter/ssl_host

; файл с ip:port для блокировки
hostlist = /usr/local/etc/extfilter/hosts

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetecte$
sslips = /usr/local/etc/extfilter/ssl_ips

; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false
http_redirect = true

# если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[$
redirect_url = http://block.uilim.ru

; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = false

; Default: 0 - disable
statistic_interval = 300

; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
block_ssl_no_sni = false

; Какие ядра использовать. Default: все ядра, кроме management.
core_mask = 63

; файл статистики (для extfilter-cacti)
statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500


; CLI для управления или сбора статистики extfilter
; cli_port = 9999
; cli_address = 127.0.0.1

; Количество каналов памяти (для DPDK)
memory_channels = 3

; Количество повторных пакетов в сторону клиента (от 1 до 3)
answer_duplication = 1

; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline)
operation_mode = mirror

; Использовать jumbo frames
; jumbo_frames = false

; Максимальная длина ethernet фрейма при включенном jumbo_frames
; max_pkt_len = 9600

; здесь задаются порты, с которых необходимо снимать трафик

[port 0]
queues = 0,1; 1,2; 2,3; 3,4; 4,5

; Порт для отправки уведомлений через dpdk
[port 1]
type = sender
queues = 0,5
mac = 00:0f:f8:c9:50:00

[dpi]
; Масштабирование количества обрабатываемых потоков 1..10
scale = 10

; Собирать и анализировать фрагментированные пакеты
; fragmentation_ipv6_state = true
fragmentation_ipv4_state = true
fragmentation_ipv4_table_size = 512
; fragmentation_ipv6_table_size = 512

; Собирать и анализировать tcp потоки с неправильными порядком
tcp_reordering = true

[logging]
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 10
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local
 

В кроне делаю так:

*/10 * * * * /root/zapret/zapret.pl && /root/extfilter/scripts/extfilter-maker/extfilter_maker.pl

 

Share this post


Link to post
Share on other sites
45 минут назад, Morphus сказал:

Подскажите: в отчёте получаю пропуски. Делаю рестарт фильтра - начинает блокировать. Примерно хватает на сутки. Сутки по нулям может быть, следующий день пропуски.

Это было характерно для какой-то из старых версий, у вас свежая? В логах что?

Share this post


Link to post
Share on other sites

поставил фильтр на зеркало трафика, что идет из сети на сервер с НАТ.

в фильтре прописывал мак сетевой сервера НАТ что смотрит в сеть, не блочит

прописываю мак маршрутизаторов, блокирует то что проходит через данный маршрутизатор. Как же сделать чтоб блокировало все?

Share this post


Link to post
Share on other sites
В 25.01.2019 в 18:54, ixi сказал:

Это было характерно для какой-то из старых версий, у вас свежая? В логах что?

Последняя с гитхаба 0.99a.

 

В 25.01.2019 в 18:54, ixi сказал:

В логах что?

В логах нормально. Ни пропусков ни ошибок.

Share this post


Link to post
Share on other sites

Всем привет, кто знает это нормальное поведение если я запрос HEAD отправляю?

curl -I www.exyi.com/G5y6M3oLQQs__-
HTTP/1.1 503 Service Temporarily Unavailable
Date: Wed, 30 Jan 2019 08:05:37 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
X-Frame-Options: SAMEORIGIN
Set-Cookie: __cfduid=d3c58cf563f048e66190e9b59f55235641548835537; expires=Thu, 30-Jan-20 08:05:37 GMT; path=/; domain=.exyi.com; HttpOnly; Secure
Cache-Control: no-cache
Server: cloudflare
CF-RAY: 4a126f3f5f3b8ac8-KBP

 

И еще вопрос: сейчас новые ключи с ГОСТ 2012 выпустили, кто нибудь уже экспортировал p12 с помощью купленной утилиты от лисси? Все нормально прошло?

Share this post


Link to post
Share on other sites
17 часов назад, swsn сказал:

сейчас новые ключи с ГОСТ 2012 выпустили, кто нибудь уже экспортировал p12 с помощью купленной утилиты от лисси? Все нормально прошло?

Ещё в том году люди переходили, всё нормально. В сети гуляет в прошлом бесплатная утилита от того же лисси, вроде справляется.

 

 

Не блокируются url с одного сайта:

https://rus.big-torrent.com/films/82937/, 91.237.164.29, GET Мосгорсуд 22 Авг, 2018 16:36:26 200 С: https://ru.big-torrent.com/films/82937/ (91.237.164.29)
https://rus.big-torrent.com/films/81544/, 91.237.164.29, GET Мосгорсуд 22 Авг, 2018 16:36:26 200 С: https://ru.big-torrent.com/films/81544/ (91.237.164.29)
https://rus.big-torrent.com/serials/246703/, 91.237.164.29, GET Мосгорсуд 10 Окт, 2018 09:11:40 200
https://rus.big-torrent.com/serials/246787/, 91.237.164.29, GET Мосгорсуд 10 Окт, 2018 09:11:40 200

и ещё подобные. У кого как ?

Share this post


Link to post
Share on other sites

Проверил от себя, блокируется

Edited by epollia

Share this post


Link to post
Share on other sites
4 часа назад, Morphus сказал:

Ещё в том году люди переходили, всё нормально. В сети гуляет в прошлом бесплатная утилита от того же лисси, вроде справляется.

Да вот последние годы тоже постоянно бесплатной экспортировал. А с новыми ключами выбрать сертификат дает и дальше ничего не происходит.

Качнул демку платной - вроде как стандартное поведение. Покупаем. Напрягает правда то, что только на год можно купить.

 

 

Share this post


Link to post
Share on other sites
50 минут назад, swsn сказал:

Напрягает правда то, что только на год можно купить.

Разумеется, кто ж от лишних денег откажется.

Провайдеры все равно каждый год ЭЦП в УЦ покупают, пусть еще и Лисси чуть отстегнут, не обеднеют.

Я представляю, как себе коммерсанты Лисси волосы на голове рвали, когда зачем-то рабочую бесплатную утилиту опубликовали.

У как они с облегчением вздохнули, когда приняли приказ про новый ГОСТ, с которым бесплатная утилита не работает.

Share this post


Link to post
Share on other sites
8 минут назад, alibek сказал:

Разумеется, кто ж от лишних денег откажется.

Лишние деньги то готовы платить.

Нет бы сделать лицензии хотя бы на два года или подписку на ПО , чтоб когда припечет не бежать на их сайт запрашивать опять счет, потом бежать за виндовый  комп и активировать лицензию с помощью их криптоплагинов в интернет эксплорере

Share this post


Link to post
Share on other sites
1 час назад, swsn сказал:

Нет бы сделать лицензии хотя бы на два года

У них лицензия на 1 год + 14 дней.

Это довольно гуманно — то есть если правильно подгадать момент, можно одной годовой лицензией воспользоваться дважды.

Share this post


Link to post
Share on other sites

что-то вообще беда... по 10-15%пропущенных https ... вообще как-будто не работает.. и всё https...

Edited by Morphus

Share this post


Link to post
Share on other sites

Жалуется клиент, у него игровой лаунчер не работает, с поддержки ему сказали что провайдер блокирует их домен.

cdn.inn.ru

Сняли дамп шарком, фильтр действительно отвечает страницей блокировки по крайней мере на два запроса:

http://cdn.inn.ru/cdn_status.html
http://cdn.inn.ru/new4game/launcher/versions_prod.json

Через брауйзер всё работает, wget работает. В блокировках такого домена нет, ип сайта тоже нет в блокирвоках 109.105.138.1
Добавил домен в таблицу zap2_ex_domains. Но эффекта нет.
Единственное чем хоть как-то отличаются дампы от лаунчера и браузера, то что браузер устанавливает заголовки разные, а лаунчер нет.

Скрытый текст

От ланчера:
|ÊWÝ4t/hÊ,Ep03@ÚÀ¨hmiÁÀPZÔæF(P?ô©GET /new4game/launcher/versions_prod.json HTTP/1.1
Host: cdn.inn.ru

Сталкивался кто-то с таким ? Что может быть ? фильтр в зеркале.

Share this post


Link to post
Share on other sites
9 минут назад, Morphus сказал:

Жалуется клиент, у него игровой лаунчер не работает, с поддержки ему сказали что провайдер блокирует их домен.


cdn.inn.ru

Сняли дамп шарком, фильтр действительно отвечает страницей блокировки по крайней мере на два запроса:


http://cdn.inn.ru/cdn_status.html
http://cdn.inn.ru/new4game/launcher/versions_prod.json

Через брауйзер всё работает, wget работает. В блокировках такого домена нет, ип сайта тоже нет в блокирвоках 109.105.138.1
Добавил домен в таблицу zap2_ex_domains. Но эффекта нет.
Единственное чем хоть как-то отличаются дампы от лаунчера и браузера, то что браузер устанавливает заголовки разные, а лаунчер нет.

  Скрыть содержимое

От ланчера:
|ÊWÝ4t/hÊ,Ep03@ÚÀ¨hmiÁÀPZÔæF(P?ô©GET /new4game/launcher/versions_prod.json HTTP/1.1
Host: cdn.inn.ru

Сталкивался кто-то с таким ? Что может быть ? фильтр в зеркале.

От своих такого не слышал, а можно полностью дамп глянуть?

Share this post


Link to post
Share on other sites
13 минут назад, epollia сказал:

От своих такого не слышал, а можно полностью дамп глянуть?

Сейчас сделаю

Share this post


Link to post
Share on other sites

@epollia если пустить трафик через прокси - всё работает. Сделал свой nginx в прокси и через него пустил трафик лаунчера этого. Прокси создаёт новые пакеты и может поэтому проблем нет? А пакеты от игрового клиента какие-то не такие всё таки ...  Больше никаких идей нет. 

Share this post


Link to post
Share on other sites

Решилось очисткой конфигов фильтра

Edited by Morphus

Share this post


Link to post
Share on other sites
В 31.01.2019 в 13:09, alibek сказал:

У них лицензия на 1 год + 14 дней.

Это довольно гуманно — то есть если правильно подгадать момент, можно одной годовой лицензией воспользоваться дважды.

Гуманно? 2990 руб просят с нового года.

 

А ещё через годик, войдут во вкус и могут сделать 29900... или 299000 

Альтернативы то P12FromGostCSP нет!

Share this post


Link to post
Share on other sites
12 минут назад, zoom сказал:

Гуманно? 2990 руб просят с нового года.

 

А ещё через годик, войдут во вкус и могут сделать 29900... или 299000 

Альтернативы то P12FromGostCSP нет!

Я думаю народ перейдет на логин/пароль выгрузку. Себе запланировал в этом году перейти на новый тип выгрузки

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now