Управление [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:dpi_options:opt_filtration:filtration_ctrl:start [2023/11/27 14:52] elena.krasnobryzhdpi:dpi_options:opt_filtration:filtration_ctrl:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1
    Строка 1: Строка 1:
    -====== Управление ====== 
    -{{indexmenu_n>3}} 
    -<note important>По умолчанию фильтрация применяется ко всему проходящему трафику.</note> 
    -Если вы хотите фильтровать трафик только отдельных абонентов, или исключить фильтрацию транзитного трафика, или предоставлять фильтрацию другим операторам как услугу, то для управления данной услугой нужно активировать **SM-Subscriber Management.**  
    -===== Активация управления услуги фильтрации на уровне абонентов - Subscriber Management ===== 
    -В конфигурационном файле **/etc/dpi/fastdpi.conf** указываем настройку: 
    -<code bash>black_list_sm=1</code> 
    -где\\   
    -  * значение 1 означает, что услуга по умолчанию всем выключена, а включать услугу нужно через fdpi_ctrl  
    -  * другое значение означает, что услуга по умолчанию всем включена, а отключать услугу нужно через fdpi_ctrl 
    - 
    -Дальнейшее управление данным сервисом на уровне отдельных абонентов осуществляется с помощью [[dpi:dpi_components:platform:subscriber_management:subsman_cmd:start|Команды управления fdpi_ctrl]] 
    - 
    -Услуга фильтрации имеет два варианта подключения: 
    -  - Профиль по умолчанию: глобальная настройка на устройство, подключается услугой без указания профиля. 
    -  - Именованный профиль: подключается через услугу с указанием имени профиля. 
    -<note important>Для BRAS необходимо использовать именованные профили **имя, которых указывается в атрибутах Radius-Accept.**</note> 
    - 
    -Формат команды: 
    -<code bash> 
    -fdpi_ctrl команда --service 4 [список опций] [список_IP или login] 
    -</code> 
    -<note important>Подробнее синтаксис команд и способы задания IP адресов описаны в разделе [[dpi:dpi_components:platform:subscriber_management:subsman_cmd:start|Команды управления]]</note> 
    - 
    -<note tip>При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо [[dpi:dpi_options:opt_filtration:filtration_ctrl:start#настройка_блокировки_протоколов|включить параметр]] ''[[dpi:dpi_options:opt_filtration:filtration_ctrl:start#настройка_блокировки_протоколов|udp_block]]''.</note> 
    - 
    -==== Пример для профиля по умолчанию ==== 
    -**Отключить** фильтрацию для администратора если **black_list_sm=2** 
    -<code bash> 
    -fdpi_ctrl load --service 4 --ip 192.168.0.1 
    -</code> 
    - 
    -**Подключить** услугу для автономной системы AS50538 (**black_list_sm=1**) c профилем по умолчанию (заданном в конфигурационном файле **/etc/dpi/fastdpi.conf**) 
    -<code bash> 
    -fdpi_ctrl load --service 4 --cidr 37.110.240.0/21 --cidr 109.235.216.0/21 
    -</code> 
    -==== Пример для именованного профиля ==== 
    -Создание профиля с именем и подключение услуги блокировки с профилем для нескольких абонентов 
    -<code bash> 
    -fdpi_ctrl load profile --service 4  --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "sni_list" : "http://mysite.ru/myfilesni.bin", "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : true }' 
    -fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.1 
    -fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.2 
    -</code> 
    -где в формате json задаются следующие настройки профиля:  
    -  * redirect - страница переадресации((доп. праметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url  для белого списка и тут надо подумать за dpi,иначе dpi припишет /? )) 
    -  * federal : true/false использовать или нет федеральный список блокировки 
    -  * url_list - список блокировки с URL 
    -  * sni_list - список блокировки по имени хоста (SNI) 
    -  * ip_list - список блокировки с IP:PORT((проверка по ip:port или cname осуществляется если в запросе отсутствуют url или sni)) 
    -  * cn_list - список блокировки Common Name((проверка по ip:port или cname осуществляется если в запросе отсутствуют url или sni)) 
    - 
    -Список может быть размещен как на внешнем ресурсе, тогда он загружается перед использованием, так и в локальном файле, например, "cn_list" : "/tmp/cn_list.bin" 
    - 
    -Поиск абонентов, которым подключено оповещение с заданным именем профиля 
    -<code bash> 
    -fdpi_ctrl list all --service 4 --profile.name test_black</code> 
    - 
    -Удаление именованного профиля (не должно быть абонентов, которые его используют) 
    -<code bash> 
    -fdpi_ctrl del profile --service 4  --profile.name test_black 
    -</code> 
    - 
    -Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги) 
    -<code bash> 
    -fdpi_ctrl load profile --service 4 --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : false }' 
    -</code> 
    - 
    -Максимальное количество профилей для черных списков задается настроечным параметром в /etc/dpi/fastdpi.conf 
    -<code bash>max_profiles_black_list=64</code> 
    -где 64 значение по умолчанию, а 65535 максимально возможное значение 
    -<note warning>Это холодный параметр и его изменение требует рестарта.</note> 
    - 
    -=====Активация услуги по блокировке IPv6 трафика===== 
    -Формат команды: 
    -<code bash> 
    -fdpi_ctrl команда --service 49 [список опций] [список_IP или login] 
    -</code> 
    -<note important>Подробнее синтаксис команд и способы задания IP адресов описаны в разделе [[dpi:dpi_components:platform:subscriber_management:subsman_cmd:start|Команды управления]]</note> 
    - 
    -Подключить услугу: 
    -<code bash> 
    -fdpi_ctrl load --service 49 --login DEMO 
    -</code> 
    -или 
    -<code bash> 
    -fdpi_ctrl load --service 49 --vchannel 1 
    -</code> 
    - 
    -<note tip>При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо [[dpi:dpi_options:opt_filtration:filtration_ctrl:start#настройка_блокировки_протоколов|включить параметр]] ''[[dpi:dpi_options:opt_filtration:filtration_ctrl:start#настройка_блокировки_протоколов|udp_block]]''.</note> 
    - 
    -=====Настройка блокировки протоколов TCP и UDP ===== 
    -Параметр ''udp_block'' отвечает за блокировку протокола UDP. Если в конфигурационном файле DPI ''/etc/dpi/fastdpi.conf'' есть этот параметр — то происходит блокировка TCP+UDP, если нет — блокируется только TCP. 
    - 
    -Чтобы начать блокировать протоколы UDP (например, QUIC), необходимо добавить в конфигурационный файл параметр ''udp_block'' со значением 2 или 3 (начать блокировку после двух или трёх прошедших пакетов). Такие значения устанавливаются так как бывает, что проходит большое количество одиночных пакетов, которые не учитываются в трафике, но могут вызвать сильную нагрузку на DPI.  
    -<code bash> 
    -udp_block=3 
    -</code> 
    - 
    -Добавление параметра не требует рестарта DPI, достаточно сделать reload: 
    -<code bash> 
    -service fastdpi reload 
    -</code>