1. Для блокировка используем

[max1976]

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Вы блокируете ssl по ip (в конфиге block_undetected_ssl=true) ?

[max1976]

nfqfilter свежий +свежие zapret и config

 

Доступно согласно программе проверки:

http://mp3-gid.ru/mu...отив%20халифата

http://supermuzlo.co...раев_единобожие

http://rappro.net/pl...g/Тимур-Самашки

http://mp3shnik.com/...енавижу%20хачей

http://mp3skachat.co...нный%20коловрат

http://luckymix2016....ки-россыпь-Чита

Но в IE все ссылки упирались в заглушку

 

Все указанные ссылки блокируются. Снимите с машины с фильтром дамп запросов с ревизора к указанным сайтам.

[overty]

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Поддерживаю, на последнем коммите повышенное использование ЦПУ и иногда некоторые ссылки у меня "прорываются".

[LKr]

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Вы блокируете ssl по ip (в конфиге block_undetected_ssl=true) ?

Да, в конфиге так.

[weirded]

Подскажите годную чекалку по реестру.

Сам пользуюсь вот такой https://github.com/poohber/rknscan.

Еще сам писал на pycurl, но было много проблем с резолвингом хостов.

 

Можете мои костыли для функционального тестирования за основу взять.

https://github.com/carbonsoft/reductor_satellite_installer

[oret]

Сегодня nfqfilter странно себя ведет: уже второй раз за день падает на ровном месте с сообщением: nfqfilter.service: main process exited, code=killed, status=6/ABRT

Есть у кого-нибудь аналогичная проблема?

[hsvt]

Сегодня nfqfilter странно себя ведет: уже второй раз за день падает на ровном месте с сообщением: nfqfilter.service: main process exited, code=killed, status=6/ABRT

Есть у кого-нибудь аналогичная проблема?

 

Есть.

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1287542

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1289398

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1289577

 

Поймать корку не удаётся, её просто нет.

 

Jul 07 21:35:31 dpi systemd[1]: Starting Nfqilter filtering daemon...
Jul 07 21:35:31 dpi systemd[1]: Started Nfqilter filtering daemon.
Jul 07 21:36:07 dpi systemd[1]: nfqfilter.service: main process exited, code=killed, status=6/ABRT
Jul 07 21:36:07 dpi systemd[1]: Unit nfqfilter.service entered failed state.
Jul 07 21:36:07 dpi systemd[1]: nfqfilter.service failed.
Jul 08 10:35:31 dpi systemd[1]: Starting Nfqilter filtering daemon...
Jul 08 10:35:31 dpi systemd[1]: Started Nfqilter filtering daemon.
Jul 08 11:05:31 dpi systemd[1]: Stopping Nfqilter filtering daemon...
Jul 08 11:05:31 dpi systemd[1]: Starting Nfqilter filtering daemon...

Изменено 8 июля, 2016 пользователем hsvt

[max1976]

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

[oret]

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

Сам процесс запускается без проблем и работает. Конфиг готовится с помощью скрипта nfqfilter_config последней версии с git. Загрузка нового реестра происходит раз в час, после парсинга реестра запускается скрипт подготовки конфигов для nfqfilter и он, судя по логам, тоже отрабатывает нормально.

В случайный момент времени (по крайней мере, закономерности я пока не усмотрел) процесс nfqfilter останавливается.

Перед повторным запуском nfqfilter дал команду ulimit -c unlimited, но после падения процесса найти дамп не удалось.

[dnvk]

oret, поставьте monit и озадачьте его отслеживанием работы приложения.

хоть рестартить будет при таких падениях.

[oret]

oret, поставьте monit и озадачьте его отслеживанием работы приложения.

хоть рестартить будет при таких падениях.

Да, так и сделаю, т.к. падения продолжаются, спасибо.

[AN111]

Добрый день.

 

Найден небольшой баг (фича :-) ) в zapret.pl:

 

При включенном IPv6 резолвинге DNS-запрос от zapret.pl проходит с type=ANY (*)

>my $type="a";

>$type="*" if($ipv6_nslookup);

 

Но некоторые сервера (замечено на cloudfare) не отдают на ANY-запрос А и AAAA записи

примеры: veterok.tv, hitomi.la

- отдаются HINFO, RRSIG, NSEC и прочие ненужные записи.

Соответственно IP для таких сайтов не резолвятся и используется только список IP из реестра.

----------------------------------

Временное лечение - выключить резолвинг IPv6 в zapret.conf (включен по умолчанию)

Постоянное лечение - делать 2 запроса для A и AAAA типов в AnyEvent::DNS (zapret.pl) ???

[Ева]

Подскажите софтину для самоконтроля блокировки сайтов, родной не доверяю, хочу сравнить.

Или может у кого есть роскомовская?

[pashashtepa]

http://rzs.rkn.gov.ru/

[max1976]

Добрый день.

 

Найден небольшой баг (фича :-) ) в zapret.pl:

 

При включенном IPv6 резолвинге DNS-запрос от zapret.pl проходит с type=ANY (*)

>my $type="a";

>$type="*" if($ipv6_nslookup);

 

Но некоторые сервера (замечено на cloudfare) не отдают на ANY-запрос А и AAAA записи

примеры: veterok.tv, hitomi.la

- отдаются HINFO, RRSIG, NSEC и прочие ненужные записи.

Соответственно IP для таких сайтов не резолвятся и используется только список IP из реестра.

----------------------------------

Временное лечение - выключить резолвинг IPv6 в zapret.conf (включен по умолчанию)

Постоянное лечение - делать 2 запроса для A и AAAA типов в AnyEvent::DNS (zapret.pl) ???

 

Это уже исправлено 2 недели назад.

[hsvt]

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

 

Всё по дефолту, при помощи не модифицированного make_files.pl, Вы имеете в виду после того как процесс кильнулся - попробовать его запустить прямо с консоли?

 

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Поддерживаю, на последнем коммите повышенное использование ЦПУ и иногда некоторые ссылки у меня "прорываются".

 

Тоже самое.

Изменено 11 июля, 2016 пользователем hsvt

[AN111]

Это уже исправлено 2 недели назад.

 

Извиняюсь, давно не обновлялся.

Спасибо!

[Ева]

http://rzs.rkn.gov.ru/

Спасибо

[Dyr]

http://rzs.rkn.gov.ru/

Прога не "стучит"?

 

 

 

Изменено 12 июля, 2016 пользователем Dyr

[disappointed]

Стучит, отключайте выгрузку на фтп в настройках.

[ixi]

Сегодня у нас эпически закончилось место на диске. В файле доменов последняя строка -- "ru". Последствия понятны, мораль тоже :)

[dnvk]

отключайте выгрузку на фтп в настройках.

+блокируйте порт tcp 3306 )

[hsvt]

А вот эта опция работает в zapret.conf ? Куда можно внести свой IP для блокировки в Null0, если в zebra.conf вписывать естественно скрипт перезаписывает.

#our_blacklist = /path/to/our_blacklist 

Изменено 13 июля, 2016 пользователем hsvt

[ichthyandr]

Внесу свои 5 копеек. Можно конечно изобретать велосипеды, но почему никто не обратил внимание на snort? ейный модуль daq-2.0.6 можно собрать с поддержкой pf_ring, netmap, под pcap и afpacket само собой собирается.

Есть режим пассивный - сливаем трафик с зеркала на интерфейс без адреса, натравливаем правила, и snort умеет слать RST и делать Active Response (html ответ) через другой интерфейс с адресом, см. тыц. Попробовал - ресеты шлет исправно, странички блокировки кажет но не на всех бровзерах, над правилами можно конечно еще подумать как их правильно писать. Есть режим inline, т.е. snort вставляется в разрыв. В это режиме, насколько понял, умеет http потоки собирать и править на лету, а уж дропать то наверно тем более

Изменено 15 июля, 2016 пользователем ichthyandr

[Стич]

Новые рекомендации приняли там фильтровать домен требуют фильтрами запросов ко всем днс

Будет ли nfqfilter под это дело адаптироваться