Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Вы блокируете ssl по ip (в конфиге block_undetected_ssl=true) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nfqfilter свежий +свежие zapret и config

 

Доступно согласно программе проверки:

http://mp3-gid.ru/mu...отив%20халифата

http://supermuzlo.co...раев_единобожие

http://rappro.net/pl...g/Тимур-Самашки

http://mp3shnik.com/...енавижу%20хачей

http://mp3skachat.co...нный%20коловрат

http://luckymix2016....ки-россыпь-Чита

Но в IE все ссылки упирались в заглушку

 

Все указанные ссылки блокируются. Снимите с машины с фильтром дамп запросов с ревизора к указанным сайтам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Поддерживаю, на последнем коммите повышенное использование ЦПУ и иногда некоторые ссылки у меня "прорываются".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Вы блокируете ssl по ip (в конфиге block_undetected_ssl=true) ?

Да, в конфиге так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите годную чекалку по реестру.

Сам пользуюсь вот такой https://github.com/poohber/rknscan.

Еще сам писал на pycurl, но было много проблем с резолвингом хостов.

 

Можете мои костыли для функционального тестирования за основу взять.

https://github.com/carbonsoft/reductor_satellite_installer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня nfqfilter странно себя ведет: уже второй раз за день падает на ровном месте с сообщением: nfqfilter.service: main process exited, code=killed, status=6/ABRT

Есть у кого-нибудь аналогичная проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня nfqfilter странно себя ведет: уже второй раз за день падает на ровном месте с сообщением: nfqfilter.service: main process exited, code=killed, status=6/ABRT

Есть у кого-нибудь аналогичная проблема?

 

Есть.

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1287542

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1289398

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1289577

 

Поймать корку не удаётся, её просто нет.

 

Jul 07 21:35:31 dpi systemd[1]: Starting Nfqilter filtering daemon...
Jul 07 21:35:31 dpi systemd[1]: Started Nfqilter filtering daemon.
Jul 07 21:36:07 dpi systemd[1]: nfqfilter.service: main process exited, code=killed, status=6/ABRT
Jul 07 21:36:07 dpi systemd[1]: Unit nfqfilter.service entered failed state.
Jul 07 21:36:07 dpi systemd[1]: nfqfilter.service failed.
Jul 08 10:35:31 dpi systemd[1]: Starting Nfqilter filtering daemon...
Jul 08 10:35:31 dpi systemd[1]: Started Nfqilter filtering daemon.
Jul 08 11:05:31 dpi systemd[1]: Stopping Nfqilter filtering daemon...
Jul 08 11:05:31 dpi systemd[1]: Starting Nfqilter filtering daemon...

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

Сам процесс запускается без проблем и работает. Конфиг готовится с помощью скрипта nfqfilter_config последней версии с git. Загрузка нового реестра происходит раз в час, после парсинга реестра запускается скрипт подготовки конфигов для nfqfilter и он, судя по логам, тоже отрабатывает нормально.

В случайный момент времени (по крайней мере, закономерности я пока не усмотрел) процесс nfqfilter останавливается.

Перед повторным запуском nfqfilter дал команду ulimit -c unlimited, но после падения процесса найти дамп не удалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

oret, поставьте monit и озадачьте его отслеживанием работы приложения.

хоть рестартить будет при таких падениях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

oret, поставьте monit и озадачьте его отслеживанием работы приложения.

хоть рестартить будет при таких падениях.

Да, так и сделаю, т.к. падения продолжаются, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

 

Найден небольшой баг (фича :-) ) в zapret.pl:

 

При включенном IPv6 резолвинге DNS-запрос от zapret.pl проходит с type=ANY (*)

>my $type="a";

>$type="*" if($ipv6_nslookup);

 

Но некоторые сервера (замечено на cloudfare) не отдают на ANY-запрос А и AAAA записи

примеры: veterok.tv, hitomi.la

- отдаются HINFO, RRSIG, NSEC и прочие ненужные записи.

Соответственно IP для таких сайтов не резолвятся и используется только список IP из реестра.

----------------------------------

Временное лечение - выключить резолвинг IPv6 в zapret.conf (включен по умолчанию)

Постоянное лечение - делать 2 запроса для A и AAAA типов в AnyEvent::DNS (zapret.pl) ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите софтину для самоконтроля блокировки сайтов, родной не доверяю, хочу сравнить.

Или может у кого есть роскомовская?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

 

Найден небольшой баг (фича :-) ) в zapret.pl:

 

При включенном IPv6 резолвинге DNS-запрос от zapret.pl проходит с type=ANY (*)

>my $type="a";

>$type="*" if($ipv6_nslookup);

 

Но некоторые сервера (замечено на cloudfare) не отдают на ANY-запрос А и AAAA записи

примеры: veterok.tv, hitomi.la

- отдаются HINFO, RRSIG, NSEC и прочие ненужные записи.

Соответственно IP для таких сайтов не резолвятся и используется только список IP из реестра.

----------------------------------

Временное лечение - выключить резолвинг IPv6 в zapret.conf (включен по умолчанию)

Постоянное лечение - делать 2 запроса для A и AAAA типов в AnyEvent::DNS (zapret.pl) ???

 

Это уже исправлено 2 недели назад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

 

Всё по дефолту, при помощи не модифицированного make_files.pl, Вы имеете в виду после того как процесс кильнулся - попробовать его запустить прямо с консоли?

 

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Поддерживаю, на последнем коммите повышенное использование ЦПУ и иногда некоторые ссылки у меня "прорываются".

 

Тоже самое.

post-95497-018291700 1468263101_thumb.jpg

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это уже исправлено 2 недели назад.

 

Извиняюсь, давно не обновлялся.

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прога не "стучит"?

 

 

 

Изменено пользователем Dyr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стучит, отключайте выгрузку на фтп в настройках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня у нас эпически закончилось место на диске. В файле доменов последняя строка -- "ru". Последствия понятны, мораль тоже :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отключайте выгрузку на фтп в настройках.

+блокируйте порт tcp 3306 )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот эта опция работает в zapret.conf ? Куда можно внести свой IP для блокировки в Null0, если в zebra.conf вписывать естественно скрипт перезаписывает.

#our_blacklist = /path/to/our_blacklist 

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внесу свои 5 копеек. Можно конечно изобретать велосипеды, но почему никто не обратил внимание на snort? ейный модуль daq-2.0.6 можно собрать с поддержкой pf_ring, netmap, под pcap и afpacket само собой собирается.

Есть режим пассивный - сливаем трафик с зеркала на интерфейс без адреса, натравливаем правила, и snort умеет слать RST и делать Active Response (html ответ) через другой интерфейс с адресом, см. тыц. Попробовал - ресеты шлет исправно, странички блокировки кажет но не на всех бровзерах, над правилами можно конечно еще подумать как их правильно писать. Есть режим inline, т.е. snort вставляется в разрыв. В это режиме, насколько понял, умеет http потоки собирать и править на лету, а уж дропать то наверно тем более

Изменено пользователем ichthyandr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Новые рекомендации приняли там фильтровать домен требуют фильтрами запросов ко всем днс

Будет ли nfqfilter под это дело адаптироваться

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.