Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_options:opt_filtration:filtration_settings:start [2024/07/16 07:47] – elena.krasnobryzh
+++ dpi:dpi_options:opt_filtration:filtration_settings:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1
@@ Строка 1: / Строка 1: @@
-====== Настройки ======
-{{indexmenu_n>2}}
-<note warning>Система поставляется с включенной опцией фильтрации по черному списку.</note>
-Изменение настроек или отключение опции осуществляется с помощью редактирования файла конфигурации ''/etc/dpi/fastdpi.conf''. Все параметры опциональны и имеют значения по умолчанию.
-===== Настройки сервиса фильтрации =====
-Включение автоматической загрузки и применение реестра из облачного сервиса:
-<code bash>federal_black_list=1  </code>
-Возможные значения:
-  * 0 или false - отключает автоматическое скачивание списков
-  * 1 - российский список
-  * 2 - приватный список оператора из облака VAS Experts
-  * 3 - белорусский список
-Полученные из облачного сервиса списки размещаются в каталоге ''/var/lib/dpi'' под именами((оператор может подготовить собственные списки взамен облачных и разместить их под указанными именами, они будут загружаться и обновляться из локальных файлов)):\\
-''blcache.bin'' - словарь URL для блокировки HTTP\\
-''blcachecn.bin'' - словарь имен для блокировки HTTPS по сертификатам\\
-''blcacheip.bin'' - словарь IP адресов для блокировки HTTPS по IP\\
-''blcachesni.bin'' - словарь имен для блокировки HTTPS по SNI
-<note important>По умолчанию при попытке доступа на заблокированную страницу по протоколу HTTP
-браузер пользователя получает в качестве ответа ошибку 403 (Forbidden) и ее отображение
-пользователю зависит от используемого браузера. Это поведение можно изменить и вместо возврата кода ошибки выполнять переадресацию браузера
-на специально созданную для этих целей информационную страничку оператора((если данный параметр закончить на ? или & в результирующий URL будет добавлен параметр UrlRedir с указанием страницы, куда направлялся пользователь))((доп. параметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url  для белого списка и тут надо подумать за dpi, иначе dpi припишет /? )).</note>
-Настройка страницы для редиректа:
-<code bash>black_list_redirect=http://operator.ru/blockpage.html</code>
-Периодичности проверки обновления черного списка (по умолчанию 1 минута) можно изменить:
-<code bash>timeout_check_new_bl=1</code>
-<note important>Рекомендуем делать период загрузки не более 5 минут.</note>
-После изменения настроечных параметров нужно сообщить сервису, чтобы он подхватил изменения (([[dpi:update:troubleshooting:start|Исправление]])):
-Производится изменение только горячих параметров:
-<code bash>service fastdpi reload</code>
-Производится изменение всех параметров путем перезапуска сервиса:
-<code bash>service fastdpi restart</code>
-:!: При отсутствии Bypass во время перезапуска произойдет кратковременный перерыв в обслуживании (< 1 секунды)
-<note>Горячие параметры: federal_black_list,only_tcp,timeout_check_new_bl\\
-Холодные параметры: black_list_redirect,custom_url_black_list,custom_cn_black_list,custom_ip_black_list,custom_sni_black_list\\
-Подробнее в разделе: [[dpi:dpi_components:platform:dpi_admin:start|Администрирование]]</note>
-===== Подключение кастомных списков =====
-<note important>Подготовка словарей с URL, SNI, CN и IP адресами описана в [[dpi:dpi_options:opt_filtration:making_dictionary:start|следующем разделе документации]].</note>
-Оператор может также подключить собственный черный список в дополнение или взамен
-федеральных списков, предоставляемых в рамках сервиса:
-<code bash>#словарь URL для блокирования по протоколу HTTP
-custom_url_black_list=http://operator.ru/url_list.dic
-#словарь имен для блокирования протокола HTTPS по сертификату
-custom_cname_black_list=http://operator.ru/cn_list.dic
-#словарь IP адресов для блокирования протокола HTTPS по IP
-custom_ip_black_list=http://operator.ru/ip_list.dic
-#словарь имен хостов для блокирования HTTPS по SNI (Server Name Indication)
-custom_sni_black_list=http://operator.ru/sni_list.dic</code>
-В URL возможно задать также протокол ftp и параметры авторизации.
-Скачанные по заданным URL списки размещаются в каталоге /var/lib/dpi
-под именами((оператор может подготовить собственные списки взамен облачных и разместить их под указанными именами, они будут загружаться и обновляться из локальных файлов)):
-''blcustom.bin'' - словарь URL для блокировки HTTP\\
-''blcustomcn.bin'' - словарь имен для блокировки HTTPS по сертификату\\
-''blcustomip.bin'' - словарь IP адресов для блокировки HTTPS по IP\\
-''blcustomsni.bin'' - словарь IP адресов для блокировки HTTPS по SNI
-===== Дополнительная информация =====
-Символ ''#'' в начале строки конфигурационного файла используется для создания строки комментария.\\
-Если сервис используется только в режиме фильтрации по черному списку рекомендуется отключить
-анализ отличных от TCP протоколов, что увеличит производительность и уменьшит потребление ресурсов
-процессора:
-<code bash>only_tcp=1</code>
-Если подготовка черных списков осуществляется на том же компьютере, где работает DPI,
-то можно их просто поместить в каталог ''/var/lib/dpi'' под указанными выше именами ''blcustom.bin'', ''blcustomsni.bin'', ''blcustomcn.bin'' и ''blcustomip.bin''\\
-<note warning>Используйте для перемещения словарей только команду mv - она атомарная, не используйте копирование!</note>
-===== Отключение федеральных списков РКН и Минюста: =====
-<note important>Для отказа от работы с черными списками необходимо отключить в конфигурационном файле их автоматическую загрузку и удалить соответствующие словари из каталога ''/var/lib/dpi''. После чего рестартовать сервис.</note>
-В конфигурационном файле ''/etc/dpi/fastdpi.conf'' установить параметр:
-<code bash>federal_black_list=false</code>
-и удалить локальные списки
-<code bash>
-rm /var/lib/dpi/blcache.bin
-rm /var/lib/dpi/blcachecn.bin
-rm /var/lib/dpi/blcacheip.bin
-rm /var/lib/dpi/blcachesni.bin
-</code>
-После удаления потребуется рестарт сервиса.
-<code bash>service fastdpi restart</code>
-===== Отключение дополнительных (операторских) списков: =====
-В конфигурационном файле ''/etc/dpi/fastdpi.conf'' закомментировать или удалить параметры
-<code bash>custom_url_black_list, custom_ip_black_list, custom_cname_black_list, custom_sni_black_list</code>
-и удалить локальные списки
-<code bash>
-rm /var/lib/dpi/blcustom.bin
-rm /var/lib/dpi/blcustomcn.bin
-rm /var/lib/dpi/blcustomip.bin
-rm /var/lib/dpi/blcustomsni.bin
-</code>
-=====Настройки блокировки=====
-В конфигурационный файл ''/etc/dpi/fastdpi.conf'' добавить параметр ''block_options''.\\
-Значения:
-  * 1 — блокировать независимо от наличия SNI
-  * 2 — блокировать все порты на адресе
-  * 4 — блокировка всего IPv6 (при включенной [[dpi:dpi_options:opt_filtration:filtration_ctrl:start|4 услуге]])
-  * 8 — не формировать RST-пакеты блокировки и переадресации для направления пакетов ''inet–>subs''