Jump to content
Калькуляторы
Блокировка веб ресурса  

541 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

8 часов назад, epollia сказал:

Подскажите как бороться с такой ошибкой?

Error ESender - Can't send packet. Buffer is full. 

Видимо у вас включена отправка ответов от фильтра на удаленный сервер. Выключите, тогда ошибки не будет. Второй вариант установить большее значение EXTFILTER_WORKER_BURST_SIZE например так:

#define EXTFILTER_WORKER_BURST_SIZE EXTFILTER_CAPTURE_BURST_SIZE*2

 

Share this post


Link to post
Share on other sites
40 минут назад, Bl_cK сказал:

есть у кого-то нормальная сборка openssl с 2012 гостом? заманался уж ошибки получать, пол-дня пробую завести это говно под вин, а ещё же на линух надо будет вкорячить:D

может поможет: https://github.com/kov-serg/get-cpcert

 

Можно попросить проверить 2 ип, на предмет блокировки:

1. 185.254.204.166

grep 185.254.204.166 hosts
185.254.204.166/31, 6/0xfe
telnet  185.254.204.166 80
Trying 185.254.204.166...
Connected to 185.254.204.166.
Escape character is '^]'.
HTTP/1.0 408 Request Time-out
Cache-Control: no-cache
Connection: close
Content-Type: text/html

<html><body><h1>408 Request Time-out</h1>
Your browser didn't send a complete request in time.
</body></html>

второй 185.254.204.167  блокируется 

telnet 185.254.204.167 80
Trying 185.254.204.167...
telnet: Unable to connect to remote host: Connection refused

 

2. 185.254.205.129

 

grep 185.254.205.128 hosts
185.254.205.128/31, 6/0xfe
telnet 185.254.205.129 80
Trying 185.254.205.129...
Connected to 185.254.205.129.
Escape character is '^]'.
HTTP/1.0 408 Request Time-out
Cache-Control: no-cache
Connection: close
Content-Type: text/html

<html><body><h1>408 Request Time-out</h1>
Your browser didn't send a complete request in time.
</body></html>

 

второй адрес, также блокируется (185.254.205.128)

telnet 185.254.205.128 80
Trying 185.254.205.128...
telnet: Unable to connect to remote host: Connection refused

 

Share this post


Link to post
Share on other sites
18 минут назад, admf сказал:

Можно попросить проверить 2 ип, на предмет блокировки:

Всё блокируется, если вы используете последнюю версию с github.

Share this post


Link to post
Share on other sites
1 час назад, Bl_cK сказал:

MAC в конфиге - это мак второй сетевухи?

есть у кого-то нормальная сборка openssl с 2012 гостом? заманался уж ошибки получать, пол-дня пробую завести это говно под вин, а ещё же на линух надо будет вкорячить:D

там всё жестко и не очевидно в некоторых случаях  ,сам 2 дня с миру по нитке еле собрал себе под гост2012 ссл

 

если кратко :

Скрытый текст

установить  openssl 1.1.1a  (не менее 1.1.1)  с openssl.org
./config shared zlib enable-rfc3779 --prefix=/gost-ssl
make
make install

 

git clone https://github.com/gost-engine/engine

mkdir build
сd build

cmake -DOPENSSL_LIB_DIR=/gost-ssl/lib/ -DOPENSSL_ROOT_DIR=/gost-ssl/ -DOPENSSL_ENGINES_DIR=/gost-ssl/lib -DCMAKE_BUILD_TYPE=Release ..

cmake --build . --target install --config Release

make install

(cmake должен быть версии более 3.x)

(возможно придётся скопировал libssl.so.1.1 из диры (/gost-ssl/lib) в  папку /usr/lib/

 

после проверить работает ли сам openssl

/gost-ssl/bin/openssl version

(должен отдать версию)

в конфиге openssl.conf добавить в верхней секции перед [ new oids ] 

 


openssl_conf = openssl_def
[openssl_def]
engines = engine_section


[engine_section]
gost = gost_section


[gost_section]
engine_id = gost
dynamic_path = /gost-ssl/lib/gost.so
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet

 

проверить гост - /gost-ssl/bin/openssl ciphers | tr ":" "\n" | grep -i GOST

(ну пути могут постоянно возникать засады в версиях пакетов и ещё кучи всяких подножек , читать внимательно на что ругается)

у меня в итоге вышло :

root@GOST:/gost-ssl/bin# ./openssl ciphers | tr ":" "\n" | grep -i GOST
GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89

 

Share this post


Link to post
Share on other sites

 

1 час назад, max1976 сказал:

 Всё блокируется, если вы используете последнюю версию с github.

Спасибо, последняя версия. 

Share this post


Link to post
Share on other sites
4 часа назад, Bl_cK сказал:

MAC в конфиге - это мак второй сетевухи?

есть у кого-то нормальная сборка openssl с 2012 гостом? заманался уж ошибки получать, пол-дня пробую завести это говно под вин, а ещё же на линух надо будет вкорячить:D

MAC в конфиге - это адрес сетевого интерфейса маршрутизатора, к которому этот линк подключен.

Share this post


Link to post
Share on other sites

Вчера появилась новая запись в реестре, мейкер на нее ругается id377513,  

WARN  | main  | Bad scheme (ftp) for: ftp:

Share this post


Link to post
Share on other sites

Чёт у меня факап случился ночью. фильтр начал все подряд блокировать и редиректить на страничку блокировки. Было у кого подобное?

Share this post


Link to post
Share on other sites
1 час назад, swsn сказал:

Чёт у меня факап случился ночью. фильтр начал все подряд блокировать и редиректить на страничку блокировки. Было у кого подобное?

Это невозможно (при правильном конфиге). 

Share this post


Link to post
Share on other sites
1 час назад, max1976 сказал:

Это невозможно (при правильном конфиге). 

ext_maker запустился  до того как отработала предыдущая копия  получился такой файл(во вложении)

 

urls

Share this post


Link to post
Share on other sites
7 часов назад, swsn сказал:

ext_maker запустился  до того как отработала предыдущая копия  получился такой файл(во вложении)

  

urls

там есть проверка на запуск, если данный процесс уже висит, второй экземпляр не запустится.

Share this post


Link to post
Share on other sites
14 часов назад, admf сказал:

там есть проверка на запуск, если данный процесс уже висит, второй экземпляр не запустится.

Где? не наблюдаю что-то в коде

Share this post


Link to post
Share on other sites
1 час назад, swsn сказал:

Где? не наблюдаю что-то в коде

Прошу прощения, действительно нет проверки. 

Share this post


Link to post
Share on other sites

Добрый день. Помогите пожалуйста, проверьте работу ссылки zebroid через режим зеркала.

У меня не блочит. Понять не могу почему. Спасибо.

Share this post


Link to post
Share on other sites
1 час назад, epollia сказал:

Добрый день. Помогите пожалуйста, проверьте работу ссылки zebroid через режим зеркала.

У меня не блочит. Понять не могу почему. Спасибо.

Режим зеркала. Блочит норм. иногда bet365taiwan.com пропуски выдает. Дамп руки не доходят снять скорее запрос делится на много частей.

Share this post


Link to post
Share on other sites
1 час назад, epollia сказал:

Помогите пожалуйста, проверьте работу ссылки zebroid через режим зеркала.

Блокируется.

Share this post


Link to post
Share on other sites

И снова здравствуйте)

Подскажите как блочить ресурсы с . в конце домена, точнее если в реестре он с точкой, а запрашивается без точки?

Нигде не нашел в новой версии удаление точки или наоборот добавление точки базе. :(

Edited by epollia

Share this post


Link to post
Share on other sites
В 17.12.2019 в 09:15, arhead сказал:

Режим зеркала. Блочит норм. иногда bet365taiwan.com пропуски выдает. Дамп руки не доходят снять скорее запрос делится на много частей.

И ответ приходит уже после первой части запроса. Для нормальной блокировки -- в блок айпишки этой записи из реестра + подмена днс.

Share this post


Link to post
Share on other sites

Сталкиваюсь уже не с первым ресурсом типа www.ribo.tw

блокировка работает не всегда, в том числе и через режим inline.

Что самое инетерсное так это тайминги пакетов

16:18:20.005131 SYN
16:18:20.235490 SYN-ACK
16:18:20.235535 ACK
16:18:20.235799 GET
16:18:20.235970 Response

 

я подменой dns решаю вопрос :)

Share this post


Link to post
Share on other sites

Данный ресурс вообще не ждет от клиента запроса, он сразу же возвращает HTTP-ответ.

Даже если к серверу просто подключиться (telnet www.ribo.tw 80), он тут же возвращает HTML с редиректом.

Поскольку DPI не видит GET от клиента, он и не блокирует.

Share this post


Link to post
Share on other sites
3 часа назад, epollia сказал:

я подменой dns решаю вопрос :)

Ревизор кроме вашего днс ходит и на реестровые айпишки

Share this post


Link to post
Share on other sites
13 часов назад, ixi сказал:

Ревизор кроме вашего днс ходит и на реестровые айпишки

Получается тут только руками добавлять в блокировку?

Share this post


Link to post
Share on other sites
5 часов назад, epollia сказал:

Получается тут только руками добавлять в блокировку?

Я автоматизировал. Если content.id в списке то отправить все домены на блокировку по днс и отправить все айпишки на блокировку по ип. Плюс лучше их отдельно отслеживать на возможные сюрпризы от реестрописателей.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now