Управление [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:dpi_options:opt_filtration:filtration_ctrl [2020/02/05 15:16] – ↷ Страница перемещена из dpi:dpi_options:base_functionality:opt_filtration:filtration_ctrl в dpi:dpi_options:opt_filtration:filtration_ctrl lexx26dpi:dpi_options:opt_filtration:filtration_ctrl [2024/11/28 12:52] (текущий) elena.krasnobryzh
    Строка 1: Строка 1:
     +{{indexmenu_n>3}}
     +{{tag>Услуги "Услуга 4" Фильтрация "Черный список" "Услуга 49" "Блокировка IPv6"}}
     ====== Управление ====== ====== Управление ======
     +<note important>По умолчанию фильтрация применяется ко всему проходящему трафику.</note>
     +Если вы хотите фильтровать трафик только отдельных абонентов, или исключить фильтрацию транзитного трафика, или предоставлять фильтрацию другим операторам как услугу, то для управления данной услугой нужно активировать **SM-Subscriber Management.** 
     +===== Активация управления услуги фильтрации на уровне абонентов - Subscriber Management =====
     +В конфигурационном файле **/etc/dpi/fastdpi.conf** указываем настройку:
     +<code bash>black_list_sm=1</code>
     +где\\  
     +  * значение 1 означает, что услуга по умолчанию всем выключена, а включать услугу нужно через fdpi_ctrl 
     +  * другое значение означает, что услуга по умолчанию всем включена, а отключать услугу нужно через fdpi_ctrl
     +
     +Дальнейшее управление данным сервисом на уровне отдельных абонентов осуществляется с помощью [[dpi:dpi_components:platform:subscriber_management:subsman_cmd|Команды управления fdpi_ctrl]]
     +
     +Услуга фильтрации имеет два варианта подключения:
     +  - Профиль по умолчанию: глобальная настройка на устройство, подключается услугой без указания профиля.
     +  - Именованный профиль: подключается через услугу с указанием имени профиля.
     +<note important>Для BRAS необходимо использовать именованные профили **имя, которых указывается в атрибутах Radius-Accept.**</note>
     +
     +Формат команды:
     +<code bash>
     +fdpi_ctrl команда --service 4 [список опций] [список_IP или login]
     +</code>
     +<note important>Подробнее синтаксис команд и способы задания IP адресов описаны в разделе [[dpi:dpi_components:platform:subscriber_management:subsman_cmd|Команды управления]]</note>
     +
     +<note tip>При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо [[dpi:dpi_components:platform:subscriber_management:subsman_cmd#настройка_блокировки_протоколов_tcp_и_udp|включить параметр]] ''[[dpi:dpi_components:platform:subscriber_management:subsman_cmd#настройка_блокировки_протоколов_tcp_и_udp|udp_block]]''.</note>
     +
     +==== Пример для профиля по умолчанию ====
     +**Отключить** фильтрацию для администратора если **black_list_sm=2**
     +<code bash>
     +fdpi_ctrl load --service 4 --ip 192.168.0.1
     +</code>
     +
     +**Подключить** услугу для автономной системы AS50538 (**black_list_sm=1**) c профилем по умолчанию (заданном в конфигурационном файле **/etc/dpi/fastdpi.conf**)
     +<code bash>
     +fdpi_ctrl load --service 4 --cidr 37.110.240.0/21 --cidr 109.235.216.0/21
     +</code>
     +==== Пример для именованного профиля ====
     +Создание профиля с именем и подключение услуги блокировки с профилем для нескольких абонентов
     +<code bash>
     +fdpi_ctrl load profile --service 4  --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "sni_list" : "http://mysite.ru/myfilesni.bin", "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : true }'
     +fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.1
     +fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.2
     +</code>
     +где в формате json задаются следующие настройки профиля: 
     +  * redirect - страница переадресации((доп. праметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url  для белого списка и тут надо подумать за dpi,иначе dpi припишет /? ))
     +  * federal : true/false использовать или нет федеральный список блокировки
     +  * url_list - список блокировки с URL
     +  * sni_list - список блокировки по имени хоста (SNI)
     +  * ip_list - список блокировки с IP:PORT((проверка по ip:port или cname осуществляется если в запросе отсутствуют url или sni))
     +  * cn_list - список блокировки Common Name((проверка по ip:port или cname осуществляется если в запросе отсутствуют url или sni))
     +
     +Список может быть размещен как на внешнем ресурсе, тогда он загружается перед использованием, так и в локальном файле, например, "cn_list" : "/tmp/cn_list.bin"
     +
     +Поиск абонентов, которым подключено оповещение с заданным именем профиля
     +<code bash>
     +fdpi_ctrl list all --service 4 --profile.name test_black</code>
     +
     +Удаление именованного профиля (не должно быть абонентов, которые его используют)
     +<code bash>
     +fdpi_ctrl del profile --service 4  --profile.name test_black
     +</code>
     +
     +Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги)
     +<code bash>
     +fdpi_ctrl load profile --service 4 --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : false }'
     +</code>
     +
     +Максимальное количество профилей для черных списков задается настроечным параметром в /etc/dpi/fastdpi.conf
     +<code bash>max_profiles_black_list=64</code>
     +где 64 значение по умолчанию, а 65535 максимально возможное значение
     +<note warning>Это холодный параметр и его изменение требует рестарта.</note>
     +
     +=====Активация услуги по блокировке IPv6 трафика=====
     +Формат команды:
     +<code bash>
     +fdpi_ctrl команда --service 49 [список опций] [список_IP или login]
     +</code>
     +<note important>Подробнее синтаксис команд и способы задания IP адресов описаны в разделе [[dpi:dpi_components:platform:subscriber_management:subsman_cmd|Команды управления]]</note>
     +
     +Подключить услугу:
     +<code bash>
     +fdpi_ctrl load --service 49 --login DEMO
     +</code>
     +или
     +<code bash>
     +fdpi_ctrl load --service 49 --vchannel 1
     +</code>
     +
     +<note tip>При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо [[dpi:dpi_components:platform:subscriber_management:subsman_cmd#настройка_блокировки_протоколов_tcp_и_udp|включить параметр]] ''[[dpi:dpi_components:platform:subscriber_management:subsman_cmd#настройка_блокировки_протоколов_tcp_и_udp|udp_block]]''.</note>
     +