Jump to content
Калькуляторы

DPI СКАТ поделитесь опытом

Во. Теперь от кучи имен во все темы спамить будут...

 

Написали очередной фильтр типа Карбона. Статьи тут никто не читает, типа ( http://nag.ru/articles/article/26188/otfiltrovannyie-update-.html), одни лохи. Что такое dpi никто не вкурсе...

 

Господа Впариватели! Лесом идите! Или статьи, выступления - в студию.

Share this post


Link to post
Share on other sites

Коллеги, доброго времени.

Кто смог реализовать блокировку отдельных сайтов(Ok,Vk etc) для отдельных абонентов? По логике 4-ый сервис.

Уже несколько дней пытаемся, пока без успешно. В вики не нашли. В техподдержку написали, пока ответ не поступил.

Поделитесь актуальной ссылочкой или советом.

Share this post


Link to post
Share on other sites

Коллеги, доброго времени.

Кто смог реализовать блокировку отдельных сайтов(Ok,Vk etc) для отдельных абонентов? По логике 4-ый сервис.

Уже несколько дней пытаемся, пока без успешно. В вики не нашли. В техподдержку написали, пока ответ не поступил.

Поделитесь актуальной ссылочкой или советом.

 

Совместно с РКН блокировкой не получится на базе 4-го сервиса, можно извернуться через приоритезацию об этом ниже.

 

Если РКН блокировка не нужна, например находитесь не в РФ и РБ, то можно сделать собственные списки оператора (см. вики подготовка списков), отключить облачные списки (federal_black_list=0), включить услугу (black_list_sm=1), включить UDR (udr=1). Далее назначить абонентам кому требуется блокировка - сервис 4.

 

Если РКН блокировка нужна, то сл. варианты:

1. попробуйте извернуться через приоритеты.

потребуется 2.8 последняя версия, ищем какие AS для ВК, ОК и тп. вносим в список с приоритетом например cs6. Очевидно, что cs6 не должен быть ранее задействован нигде.

 

пример для ВК, 2 автономные системы AS47541, AS47542

cat > my_as_dscp.txt

47541 cs6

47542 cs6

<нажать CTRL-D>

 

cat my_as_dscp.txt|as2dscp /etc/dpi/asnum.dscp

service fastdpi reload

 

в тарифном плане абонента которому требуется заблокировать трафик на ВК и тп., указываем для cs6 запрет трафика.

...

htb_inbound_class6=rate 8bit ceil 8bit

...

htb_class6=rate 8bit ceil 8bit

 

далее назначить остается ТП определенному абоненту которому требуется заблокировать соц.сети.

способ не очень, но должен работать, если классов приоритетов несколько свободно, то можно их комбинировать для разных блокировок.

 

2. ждать поддержки множественных списков блокировки, работы ведутся скоро будет.

Share this post


Link to post
Share on other sites

Коллеги, доброго времени.

Кто смог реализовать блокировку отдельных сайтов(Ok,Vk etc) для отдельных абонентов? По логике 4-ый сервис.

Уже несколько дней пытаемся, пока без успешно. В вики не нашли. В техподдержку написали, пока ответ не поступил.

Поделитесь актуальной ссылочкой или советом.

 

Совместно с РКН блокировкой не получится на базе 4-го сервиса, можно извернуться через приоритезацию об этом ниже.

 

Если РКН блокировка не нужна, например находитесь не в РФ и РБ, то можно сделать собственные списки оператора (см. вики подготовка списков), отключить облачные списки (federal_black_list=0), включить услугу (black_list_sm=1), включить UDR (udr=1). Далее назначить абонентам кому требуется блокировка - сервис 4.

 

Если РКН блокировка нужна, то сл. варианты:

1. попробуйте извернуться через приоритеты.

потребуется 2.8 последняя версия, ищем какие AS для ВК, ОК и тп. вносим в список с приоритетом например cs6. Очевидно, что cs6 не должен быть ранее задействован нигде.

 

пример для ВК, 2 автономные системы AS47541, AS47542

cat > my_as_dscp.txt

47541 cs6

47542 cs6

<нажать CTRL-D>

 

cat my_as_dscp.txt|as2dscp /etc/dpi/asnum.dscp

service fastdpi reload

 

в тарифном плане абонента которому требуется заблокировать трафик на ВК и тп., указываем для cs6 запрет трафика.

...

htb_inbound_class6=rate 8bit ceil 8bit

...

htb_class6=rate 8bit ceil 8bit

 

далее назначить остается ТП определенному абоненту которому требуется заблокировать соц.сети.

способ не очень, но должен работать, если классов приоритетов несколько свободно, то можно их комбинировать для разных блокировок.

 

2. ждать поддержки множественных списков блокировки, работы ведутся скоро будет.

 

Спасибо за ответ и реализацию. Решили подождать.:)

Share this post


Link to post
Share on other sites

[root@CKAT ~]# ps aux | grep wd_fastdpi.sh | wc -l
167

[root@CKAT ~]# ps aux | grep wd_fastdpi.sh | tail
root     28426  0.0  0.0      0     0 ?        Z    Jul24   0:00 [wd_fastdpi.sh] <defunct>
root     28428  0.0  0.0      0     0 ?        Z    Aug07   0:00 [wd_fastdpi.sh] <defunct>
root     28432  0.0  0.0      0     0 ?        Z    Jul24   0:00 [wd_fastdpi.sh] <defunct>
root     28435  0.0  0.0      0     0 ?        Z    Jul24   0:00 [wd_fastdpi.sh] <defunct>
root     28438  0.0  0.0      0     0 ?        Z    Jul24   0:00 [wd_fastdpi.sh] <defunct>
root     28441  0.0  0.0      0     0 ?        Z    Jul24   0:00 [wd_fastdpi.sh] <defunct>
root     32670  0.0  0.0      0     0 ?        Z    Aug02   0:00 [wd_fastdpi.sh] <defunct>
root     32676  0.0  0.0      0     0 ?        Z    Aug02   0:00 [wd_fastdpi.sh] <defunct>
root     32682  0.0  0.0      0     0 ?        Z    Aug02   0:00 [wd_fastdpi.sh] <defunct>
root     32724  0.0  0.0      0     0 ?        Z    Aug02   0:00 [wd_fastdpi.sh] <defunct>

Скажите, это нормально?

 

13:26 - зомби уже 174 шт. Заявку в ТП оставлял вчера вечером. Они работают вообще?

 

Решение:

Сначала смотрим, кто родитель этих зомби

ps -A -ostat,ppid | grep -e '[zZ]'| awk '{ print $2 }'

И потом убиваем соответсвующий процесс:

killall watchdog несколько раз.

 

В данном случае помогло. Остался вопрос, почему так произошло.

Edited by infery

Share this post


Link to post
Share on other sites

Скажите, это нормально?

 

 

страшного нет ничего (это watch dog), но так не должно быть.

Подозрение на "перегруз" системы, поставьте мониторинг цпу.

Edited by Bigmazy

Share this post


Link to post
Share on other sites

Как блокировать записи вида в DPI СКАТ :

Newcamd525://*:10000

?

Share this post


Link to post
Share on other sites

Как блокировать записи вида в DPI СКАТ :

Newcamd525://*:10000

?

Ответ официальный от РКН:

 

Здравствуйте!

 

В соответствии с частью 5 статьи 46 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи» оператор связи, оказывающий услуги по предоставлению доступа к сети «Интернет», обязан осуществлять ограничение и возобновление доступа к противоправной информации, распространяемой посредством сети «Интернет». При этом ограничение доступа к такой информации, сайтам в сети «Интернет» и информационным ресурсам осуществляется операторами связи в строгом соответствии с выгрузкой, направляемой Роскомнадзором посредством системы взаимодействия.

 

Обращаем внимание, что способ ограничения доступа оператор связи выбирает самостоятельно, исходя из имеющихся у него технических возможностей.

 

Вместе с этим учитывая технические особенности передачи данных информационных ресурсов:

 

Newcamd525://cserv1.net:10000

Newcamd525://cserv10.net:10000

Newcamd525://cserv11.net:10000 и т.д.

 

наиболее эффективным способом ограничения доступа к ним представляется блокировка по сетевым адресам, с учетом используемого данным ресурсом сетевого порта.

 

Также обращаем внимание, что в адресах указаны сетевые порты, отличные от портов, используемых при передаче гипертекстовых данных (80/443).

Edited by SyJet

Share this post


Link to post
Share on other sites

Как блокировать записи вида в DPI СКАТ :

Newcamd525://*:10000

?

Ответ официальный от РКН:

 

В процессе, скоро будет апдейт.

Share this post


Link to post
Share on other sites

Господа, DimaM, кто-нибудь...

 

Это пи$%#ц. У меня до сих пор не работает прижатие торрента.

 

DimaM Вы вернулись из отпуска? Сделайте что-нибудь, пожалуйста.

 

---

отредактировал лишние эмоции... оставил факты.

 

DimaM

Тех поддержка откровенно футболит... Помогите разобраться:

 

# cat protocols.txt
default cs0
bittorrent cs7


# cat protocols.txt|lst2dscp /etc/dpi/protocols.dscp
IDX 5812 VALUE B8 PROTOCOL Bittorrent


# cat fastdpi.conf | grep -v ^# | grep -v ^$
in_dev=dna0
out_dev=dna1

federal_black_list=false

scale_factor=3
timeout_check_dev=0

ctrl_port=29000
ctrl_dev=lo

only_tcp=0

udr=1
ntf_server=*.*.*.*/index.html?
tbf_class7=rate 1mbit
tbf_inbound_class7=rate 1mbit



# service fastdpi reload
Reloading fastdpi: [ OK ]

 

Наши графики не показывают никаких изменений на канале. Ну и закачки (в том числе и новые и после рестарта utorrent'а) качаются на всю скорость.

Edited by survivor

Share this post


Link to post
Share on other sites

survivor

попробуйте добавить TCP Unknown и UDP Unknown в эту же очередь

Share this post


Link to post
Share on other sites

Господа, DimaM, кто-нибудь...

 

Это пи$%#ц. У меня до сих пор не работает прижатие торрента.

 

DimaM Вы вернулись из отпуска? Сделайте что-нибудь, пожалуйста.

 

 

останов среза торрентов видно на графике:

ограничение торрента остановили

 

У вас просто жесткое ограничение было для канала почти 0.

ТП отправила возможные варианты действий.

Edited by Bigmazy

Share this post


Link to post
Share on other sites

а могут ли уважаемые скатоводы объяснить почему если мы делаем пинги в нулевую очередь а торенты во вторую то при загрузке 100% торентами канала пинги теряются?

я думал у них безусловный приоритет?!

Share this post


Link to post
Share on other sites

Bigmazy

маленькая ремарка - не "отключили у вас ограничение торрента", а правильнее сказать... "включили распознавание, убрав жесткие настройки". Так как торрент весь этот месяц прекрасно качался нашими абонентами на максимальной скорости. Просто он не распознавался СКАТом и вообще не ограничивался.

Теперь торрент распознается, буду снова пробовать его обуздать.

Share this post


Link to post
Share on other sites

Bigmazy

маленькая ремарка - не "отключили у вас ограничение торрента", а правильнее сказать... "включили распознавание, убрав жесткие настройки". Так как торрент весь этот месяц прекрасно качался нашими абонентами на максимальной скорости. Просто он не распознавался СКАТом и вообще не ограничивался.

Теперь торрент распознается, буду снова пробовать его обуздать.

 

у вас ограничение на весь распознаваемый торрент стояло 1мбит для всего канала, это можно считать 0, и соответственно торрент клиент переключается в различные режимы шифрации в том числе без сигнатур. На графике видно как скакнул общий трафик, после отключения ограничения на распознаваемый торрент, если что-то качали то только в рамках unknown, а его у вас около 150 мбит было.

оганичьте unknown совместно с торрентом и будет счастье.

Share this post


Link to post
Share on other sites

а могут ли уважаемые скатоводы объяснить почему если мы делаем пинги в нулевую очередь а торенты во вторую то при загрузке 100% торентами канала пинги теряются?

я думал у них безусловный приоритет?!

 

для этого нужно знать ваши настройки, напишите в ТП

Share this post


Link to post
Share on other sites

Bigmazy

у вас ограничение на весь распознаваемый торрент стояло 1мбит для всего канала, это можно считать 0, и соответственно торрент клиент переключается в различные режимы шифрации в том числе без сигнатур

жаль что на осознание этого факта ТП понадобился почти месяц (((

 

если что-то качали то только в рамках unknown, а его у вас около 150 мбит было

Эх вот вы заставили меня отрубить SCE, я то бы сейчас показал что торрентов у меня было за 300, и ничего не ограничивалось

Share this post


Link to post
Share on other sites

Кстати, а торрент так и не прижимается ;) не смотря на то, что nfsen стал его рисовать и жесткое ограничение из конфига убрали...

Написал в ТП, жду ответа...

Share this post


Link to post
Share on other sites

скажите пожалуйста адрес ТП

в вики п.8 Техническая поддержка

 

Эх вот вы заставили меня отрубить SCE, я то бы сейчас показал что торрентов у меня было за 300, и ничего не ограничивалось

включите, настройки ведь сделали проверьте обьем торрентов, отключали что бы убедиться что на трафик не влияет.

Share this post


Link to post
Share on other sites

Как блокировать записи вида в DPI СКАТ :

Newcamd525://*:10000

?

Ответ официальный от РКН:

 

В процессе, скоро будет апдейт.

Таки уже насколько скоро? Скоро два месяца как приходится на бордере фильтры держать...

Share this post


Link to post
Share on other sites

Таки уже насколько скоро? Скоро два месяца как приходится на бордере фильтры держать...

дни, может уже на сл. неделе.

финальные тесты идут.

Share this post


Link to post
Share on other sites

Таки уже насколько скоро? Скоро два месяца как приходится на бордере фильтры держать...

дни, может уже на сл. неделе.

финальные тесты идут.

Поставил. Смотрим.

Share this post


Link to post
Share on other sites

CKAT 3.0 Lynx вышел

Расширена возможность фильтрации по IP:PORT, в частности поддержана фильтрация newcamd из реестра РКН

Кто-нибудь уже ставил? Блокирует?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now