Jump to content
Калькуляторы
Блокировка веб ресурса  

565 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Вы блокируете ssl по ip (в конфиге block_undetected_ssl=true) ?

Share this post


Link to post
Share on other sites

nfqfilter свежий +свежие zapret и config

 

Доступно согласно программе проверки:

http://mp3-gid.ru/mu...отив%20халифата

http://supermuzlo.co...раев_единобожие

http://rappro.net/pl...g/Тимур-Самашки

http://mp3shnik.com/...енавижу%20хачей

http://mp3skachat.co...нный%20коловрат

http://luckymix2016....ки-россыпь-Чита

Но в IE все ссылки упирались в заглушку

 

Все указанные ссылки блокируются. Снимите с машины с фильтром дамп запросов с ревизора к указанным сайтам.

Share this post


Link to post
Share on other sites

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Поддерживаю, на последнем коммите повышенное использование ЦПУ и иногда некоторые ссылки у меня "прорываются".

Share this post


Link to post
Share on other sites

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Вы блокируете ssl по ip (в конфиге block_undetected_ssl=true) ?

Да, в конфиге так.

Share this post


Link to post
Share on other sites

Подскажите годную чекалку по реестру.

Сам пользуюсь вот такой https://github.com/poohber/rknscan.

Еще сам писал на pycurl, но было много проблем с резолвингом хостов.

 

Можете мои костыли для функционального тестирования за основу взять.

https://github.com/carbonsoft/reductor_satellite_installer

Share this post


Link to post
Share on other sites

Сегодня nfqfilter странно себя ведет: уже второй раз за день падает на ровном месте с сообщением: nfqfilter.service: main process exited, code=killed, status=6/ABRT

Есть у кого-нибудь аналогичная проблема?

Share this post


Link to post
Share on other sites

Сегодня nfqfilter странно себя ведет: уже второй раз за день падает на ровном месте с сообщением: nfqfilter.service: main process exited, code=killed, status=6/ABRT

Есть у кого-нибудь аналогичная проблема?

 

Есть.

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1287542

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1289398

http://forum.nag.ru/forum/index.php?showtopic=79886&view=findpost&p=1289577

 

Поймать корку не удаётся, её просто нет.

 

Jul 07 21:35:31 dpi systemd[1]: Starting Nfqilter filtering daemon...
Jul 07 21:35:31 dpi systemd[1]: Started Nfqilter filtering daemon.
Jul 07 21:36:07 dpi systemd[1]: nfqfilter.service: main process exited, code=killed, status=6/ABRT
Jul 07 21:36:07 dpi systemd[1]: Unit nfqfilter.service entered failed state.
Jul 07 21:36:07 dpi systemd[1]: nfqfilter.service failed.
Jul 08 10:35:31 dpi systemd[1]: Starting Nfqilter filtering daemon...
Jul 08 10:35:31 dpi systemd[1]: Started Nfqilter filtering daemon.
Jul 08 11:05:31 dpi systemd[1]: Stopping Nfqilter filtering daemon...
Jul 08 11:05:31 dpi systemd[1]: Starting Nfqilter filtering daemon...

Edited by hsvt

Share this post


Link to post
Share on other sites

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

Share this post


Link to post
Share on other sites

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

Сам процесс запускается без проблем и работает. Конфиг готовится с помощью скрипта nfqfilter_config последней версии с git. Загрузка нового реестра происходит раз в час, после парсинга реестра запускается скрипт подготовки конфигов для nfqfilter и он, судя по логам, тоже отрабатывает нормально.

В случайный момент времени (по крайней мере, закономерности я пока не усмотрел) процесс nfqfilter останавливается.

Перед повторным запуском nfqfilter дал команду ulimit -c unlimited, но после падения процесса найти дамп не удалось.

Share this post


Link to post
Share on other sites

oret, поставьте monit и озадачьте его отслеживанием работы приложения.

хоть рестартить будет при таких падениях.

Да, так и сделаю, т.к. падения продолжаются, спасибо.

Share this post


Link to post
Share on other sites

Добрый день.

 

Найден небольшой баг (фича :-) ) в zapret.pl:

 

При включенном IPv6 резолвинге DNS-запрос от zapret.pl проходит с type=ANY (*)

>my $type="a";

>$type="*" if($ipv6_nslookup);

 

Но некоторые сервера (замечено на cloudfare) не отдают на ANY-запрос А и AAAA записи

примеры: veterok.tv, hitomi.la

- отдаются HINFO, RRSIG, NSEC и прочие ненужные записи.

Соответственно IP для таких сайтов не резолвятся и используется только список IP из реестра.

----------------------------------

Временное лечение - выключить резолвинг IPv6 в zapret.conf (включен по умолчанию)

Постоянное лечение - делать 2 запроса для A и AAAA типов в AnyEvent::DNS (zapret.pl) ???

Share this post


Link to post
Share on other sites

Подскажите софтину для самоконтроля блокировки сайтов, родной не доверяю, хочу сравнить.

Или может у кого есть роскомовская?

Share this post


Link to post
Share on other sites

Добрый день.

 

Найден небольшой баг (фича :-) ) в zapret.pl:

 

При включенном IPv6 резолвинге DNS-запрос от zapret.pl проходит с type=ANY (*)

>my $type="a";

>$type="*" if($ipv6_nslookup);

 

Но некоторые сервера (замечено на cloudfare) не отдают на ANY-запрос А и AAAA записи

примеры: veterok.tv, hitomi.la

- отдаются HINFO, RRSIG, NSEC и прочие ненужные записи.

Соответственно IP для таких сайтов не резолвятся и используется только список IP из реестра.

----------------------------------

Временное лечение - выключить резолвинг IPv6 в zapret.conf (включен по умолчанию)

Постоянное лечение - делать 2 запроса для A и AAAA типов в AnyEvent::DNS (zapret.pl) ???

 

Это уже исправлено 2 недели назад.

Share this post


Link to post
Share on other sites

 

Поймать корку не удаётся, её просто нет.

 

Конфиги к nfqfilter при помощи чего готовятся? Если не запускается процесс, то при запуске его без режима демона что выдается в консоль?

 

Всё по дефолту, при помощи не модифицированного make_files.pl, Вы имеете в виду после того как процесс кильнулся - попробовать его запустить прямо с консоли?

 

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца.

Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

 

Поддерживаю, на последнем коммите повышенное использование ЦПУ и иногда некоторые ссылки у меня "прорываются".

 

Тоже самое.

post-95497-018291700 1468263101_thumb.jpg

Edited by hsvt

Share this post


Link to post
Share on other sites

Сегодня у нас эпически закончилось место на диске. В файле доменов последняя строка -- "ru". Последствия понятны, мораль тоже :)

Share this post


Link to post
Share on other sites

А вот эта опция работает в zapret.conf ? Куда можно внести свой IP для блокировки в Null0, если в zebra.conf вписывать естественно скрипт перезаписывает.

#our_blacklist = /path/to/our_blacklist 

Edited by hsvt

Share this post


Link to post
Share on other sites

Внесу свои 5 копеек. Можно конечно изобретать велосипеды, но почему никто не обратил внимание на snort? ейный модуль daq-2.0.6 можно собрать с поддержкой pf_ring, netmap, под pcap и afpacket само собой собирается.

Есть режим пассивный - сливаем трафик с зеркала на интерфейс без адреса, натравливаем правила, и snort умеет слать RST и делать Active Response (html ответ) через другой интерфейс с адресом, см. тыц. Попробовал - ресеты шлет исправно, странички блокировки кажет но не на всех бровзерах, над правилами можно конечно еще подумать как их правильно писать. Есть режим inline, т.е. snort вставляется в разрыв. В это режиме, насколько понял, умеет http потоки собирать и править на лету, а уж дропать то наверно тем более

Edited by ichthyandr

Share this post


Link to post
Share on other sites

Новые рекомендации приняли там фильтровать домен требуют фильтрами запросов ко всем днс

Будет ли nfqfilter под это дело адаптироваться

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.