Jump to content
Калькуляторы
Блокировка веб ресурса  

546 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Пришлите конфиг, с которым запускаете фильтр.

; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
lower_host = true

domainlist = /usr/local/etc/extfilter/domains
urllist = /usr/local/etc/extfilter/urls
ssllist = /usr/local/etc/extfilter/ssl_host
hostlist = /usr/local/etc/extfilter/hosts

; Файл с портами для nDPI.
;protocols = /usr/local/etc/extfilter/protos

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /usr/local/etc/extfilter/ssl_ips

; если false, то будет послан rst пакет вместо редиректа. Default: false
http_redirect = true

redirect_url = http://block.local

; HTTP код ответа. default: 302 Moved Temporarily
http_code = 302 Found

; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего
url_additional_info=none


; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true

; Default: 0 - disable
statistic_interval = 300

; Default: false
match_url_exactly = false

; Default: false
block_undetected_ssl = false

; dpdk порт, где анализировать трафик
dpdk_port = 0

; dpdk порт(ы), где анализировать трафик
;dpdk_ports = 0,1

; размер пула mbuf. Default: 8191
;mbuf_pool_size = 8191

; количество потоков по анализу трафика
;num_of_workers=1

; Какие ядра использовать. Default: все ядра, кроме management.
core_mask = 1,2

; файл статистики (для extfilter-cacti)
statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500

; Количество flow, обрабатываемых программой. Должно быть кратно 2.
; flowhash_size = 1048576

; количество тредов для отсылки уведомлений о блокировке
; num_of_senders = 1

; делать ли нормализацию url
url_normalization = true

; удалять ли точку в конце имени хоста
remove_dot = true

[logging]
loggers.root.level = information
;loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 4
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

Share this post


Link to post
Share on other sites

core_mask=1,2

 

Такое значение ничего не дает, т.к. здесь должно быть целое число (маска), а не список ядер. В данном случае фильтр запускается на ядрах, отличных от мастер-ядра.

У вас трафика не очень много - попробуйте установить

flowhash_size = 524288

Share this post


Link to post
Share on other sites

Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро?

Share this post


Link to post
Share on other sites

Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро?

 

Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15.

Share this post


Link to post
Share on other sites

Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро?

 

Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15.

Поставил, наблюдаю

Share this post


Link to post
Share on other sites

Вываливается. Пробую с одним воркером

ps: не помогло...падает

Edited by Antares

Share this post


Link to post
Share on other sites

Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

Может быть увеличить?

Share this post


Link to post
Share on other sites

Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

Может быть увеличить?

 

Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages.

Share this post


Link to post
Share on other sites

Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

Может быть увеличить?

 

Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages.

Увеличил, наблюдаю

Раньше только это попадало в messages

Feb 26 17:00:38 ExtFilter systemd: extfilter.service: main process exited, code=killed, status=6/ABRT
Feb 26 17:00:38 ExtFilter systemd: Unit extfilter.service entered failed state.
Feb 26 17:00:38 ExtFilter systemd: extfilter.service failed.

Share this post


Link to post
Share on other sites

А можно чуть подробней про новые опции

; делать ли нормализацию url
url_normalization = true

; удалять ли точку в конце имени хоста
remove_dot = true

 

Что есть "нормализация", защита от кривых урлов в реестре ? Это как то может влиять на пропуски?

Share this post


Link to post
Share on other sites

Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

Может быть увеличить?

 

Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages.

Увеличил, наблюдаю

Раньше только это попадало в messages

Feb 26 17:00:38 ExtFilter systemd: extfilter.service: main process exited, code=killed, status=6/ABRT
Feb 26 17:00:38 ExtFilter systemd: Unit extfilter.service entered failed state.
Feb 26 17:00:38 ExtFilter systemd: extfilter.service failed.

Упало, в логах тоже только это

Share this post


Link to post
Share on other sites

Упало, в логах тоже только это

 

Запустите extfilter в gdb и когда процесс завершится, введите bt и пришлите вывод этой команды.

Share this post


Link to post
Share on other sites

Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро?

 

Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15.

так 15 - это 1111

Share this post


Link to post
Share on other sites

Приветствую.

Подскажите какова эффективность блокировки с помощью extfilter и nfqfilter?

Сколько URL не блокируется?

Share this post


Link to post
Share on other sites

А чем проверить? Только в тему стал вникать... ревизором?

Share this post


Link to post
Share on other sites

А чем проверить? Только в тему стал вникать... ревизором?

 

1. Регаешься тут: https://portal.rfc-revizor.ru "

2. оформляешь заявку на ревизор(ы), насколько знаю аппаратные агенты уже кончились, получишь VM

3. устанавливаешь агента

4. в портале подаешь запрос на отчет

 

В принципе можно не делать отчет.

Если все плохо куратор из Роскомнадзора позвонит контактному лицу в Вашей компании, с предупреждением.

Edited by Prototype-X

Share this post


Link to post
Share on other sites

Не лишним будет перед перезапуском nfqfilter сделать drop для ревизора. Иначе возможны разовые пропуски.

Share this post


Link to post
Share on other sites

Если все плохо куратор из Роскомнадзора позвонит контактному лицу в Вашей компании, с предупреждением.

Это от отношений зависит. Скорее всего просто выпишут протокол и никто никуда звонить не будет.

Share this post


Link to post
Share on other sites

А чем проверить? Только в тему стал вникать... ревизором?

 

https://github.com/orgtechservice/roskombox/tree/legacy

 

слишком замарочено столько подтягивать и разворачивать, простая чекалка на питоне где-то была, сам не могу найти)

Edited by hsvt

Share this post


Link to post
Share on other sites

собралось.

если теперь из src запустить ./nfqfilter

./nfqfilter: error while loading shared libraries: libPocoNet.so.48: cannot open shared object file: No such file or directory

 

ldd nfqfilter

linux-vdso.so.1 => (0x00007ffdfb1eb000)

libnfnetlink.so.0 => /usr/lib/x86_64-linux-gnu/libnfnetlink.so.0 (0x00007fde3b625000)

libnetfilter_queue.so.1 => /usr/lib/x86_64-linux-gnu/libnetfilter_queue.so.1 (0x00007fde3b41e000)

libPocoNet.so.48 => not found

libPocoUtil.so.48 => not found

libPocoFoundation.so.48 => not found

libstdc++.so.6 => /usr/lib/x86_64-linux-gnu/libstdc++.so.6 (0x00007fde3b09a000)

libgcc_s.so.1 => /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x00007fde3ae84000)

libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fde3ac67000)

libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fde3a89d000)

libmnl.so.0 => /lib/x86_64-linux-gnu/libmnl.so.0 (0x00007fde3a697000)

libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fde3a38e000)

/lib64/ld-linux-x86-64.so.2 (0x000055cda3e33000)

 

хотя они лежат в

ls /usr/local/lib/

libPocoFoundationd.so libPocoJSONd.so libPocoNetd.so libPocoUtild.so libPocoXMLd.so python2.7

libPocoFoundationd.so.48 libPocoJSONd.so.48 libPocoNetd.so.48 libPocoUtild.so.48 libPocoXMLd.so.48 python3.5

libPocoFoundation.so libPocoJSON.so libPocoNet.so libPocoUtil.so libPocoXML.so

libPocoFoundation.so.48 libPocoJSON.so.48 libPocoNet.so.48 libPocoUtil.so.48 libPocoXML.so.48

Сделай

$ sudo ln -s /usr/local/lib/libPocoNet.so.48 /usr/lib/libPocoNet.so.48
$ sudo ldconfig

Share this post


Link to post
Share on other sites

Доброго времени суток всем. Юзаю в тестовом режиме nfqfilter, вроде всё норм, но без квагги. Сейчас пытаюсь прикрутить кваггу, но хз, что не так, при запуске скрипта make_files.pl, скрипт может сутки висеть, и в кваггу добавляются где то 700-900 ip адресов. Как можно посмотреть что ему не хватает, что бы всё добавить? Заметил еще, что появился еще extFilter, что лучше юзать nfqfilter или переходить на extFilter?

Share this post


Link to post
Share on other sites

Доброго времени суток всем. Юзаю в тестовом режиме nfqfilter, вроде всё норм, но без квагги. Сейчас пытаюсь прикрутить кваггу, но хз, что не так, при запуске скрипта make_files.pl, скрипт может сутки висеть, и в кваггу добавляются где то 700-900 ip адресов. Как можно посмотреть что ему не хватает, что бы всё добавить? Заметил еще, что появился еще extFilter, что лучше юзать nfqfilter или переходить на extFilter?

как я понял, из всего что тут тесть, Вам нужен extFilter, он как раз для вашей задачи.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now