Настройки [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    dpi:dpi_options:opt_filtration:filtration_settings:start [2024/07/16 07:47] elena.krasnobryzhdpi:dpi_options:opt_filtration:filtration_settings:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1
    Строка 1: Строка 1:
    -====== Настройки ====== 
    -{{indexmenu_n>2}} 
    -<note warning>Система поставляется с включенной опцией фильтрации по черному списку.</note> 
    -Изменение настроек или отключение опции осуществляется с помощью редактирования файла конфигурации ''/etc/dpi/fastdpi.conf''. Все параметры опциональны и имеют значения по умолчанию. 
    - 
    -===== Настройки сервиса фильтрации ===== 
    -Включение автоматической загрузки и применение реестра из облачного сервиса: 
    -<code bash>federal_black_list=1  </code> 
    -Возможные значения: 
    -  * 0 или false - отключает автоматическое скачивание списков 
    -  * 1 - российский список 
    -  * 2 - приватный список оператора из облака VAS Experts 
    -  * 3 - белорусский список  
    - 
    -Полученные из облачного сервиса списки размещаются в каталоге ''/var/lib/dpi'' под именами((оператор может подготовить собственные списки взамен облачных и разместить их под указанными именами, они будут загружаться и обновляться из локальных файлов)):\\ 
    -''blcache.bin'' - словарь URL для блокировки HTTP\\   
    -''blcachecn.bin'' - словарь имен для блокировки HTTPS по сертификатам\\  
    -''blcacheip.bin'' - словарь IP адресов для блокировки HTTPS по IP\\ 
    -''blcachesni.bin'' - словарь имен для блокировки HTTPS по SNI  
    - 
    -<note important>По умолчанию при попытке доступа на заблокированную страницу по протоколу HTTP  
    -браузер пользователя получает в качестве ответа ошибку 403 (Forbidden) и ее отображение 
    -пользователю зависит от используемого браузера. Это поведение можно изменить и вместо возврата кода ошибки выполнять переадресацию браузера 
    -на специально созданную для этих целей информационную страничку оператора((если данный параметр закончить на ? или & в результирующий URL будет добавлен параметр UrlRedir с указанием страницы, куда направлялся пользователь))((доп. параметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url  для белого списка и тут надо подумать за dpi, иначе dpi припишет /? )).</note> 
    -  
    -Настройка страницы для редиректа: 
    -<code bash>black_list_redirect=http://operator.ru/blockpage.html</code> 
    - 
    -Периодичности проверки обновления черного списка (по умолчанию 1 минута) можно изменить: 
    -<code bash>timeout_check_new_bl=1</code> 
    - 
    -<note important>Рекомендуем делать период загрузки не более 5 минут.</note> 
    - 
    -После изменения настроечных параметров нужно сообщить сервису, чтобы он подхватил изменения (([[dpi:update:troubleshooting:start|Исправление]])): 
    - 
    -Производится изменение только горячих параметров: 
    -<code bash>service fastdpi reload</code> 
    - 
    -Производится изменение всех параметров путем перезапуска сервиса:  
    -<code bash>service fastdpi restart</code> 
    - 
    -:!: При отсутствии Bypass во время перезапуска произойдет кратковременный перерыв в обслуживании (< 1 секунды) 
    - 
    -<note>Горячие параметры: federal_black_list,only_tcp,timeout_check_new_bl\\ 
    -Холодные параметры: black_list_redirect,custom_url_black_list,custom_cn_black_list,custom_ip_black_list,custom_sni_black_list\\ 
    -Подробнее в разделе: [[dpi:dpi_components:platform:dpi_admin:start|Администрирование]]</note> 
    - 
    -===== Подключение кастомных списков ===== 
    -<note important>Подготовка словарей с URL, SNI, CN и IP адресами описана в [[dpi:dpi_options:opt_filtration:making_dictionary:start|следующем разделе документации]].</note> 
    -Оператор может также подключить собственный черный список в дополнение или взамен 
    -федеральных списков, предоставляемых в рамках сервиса: 
    - 
    -<code bash>#словарь URL для блокирования по протоколу HTTP  
    -custom_url_black_list=http://operator.ru/url_list.dic 
    - 
    -#словарь имен для блокирования протокола HTTPS по сертификату  
    -custom_cname_black_list=http://operator.ru/cn_list.dic 
    - 
    -#словарь IP адресов для блокирования протокола HTTPS по IP  
    -custom_ip_black_list=http://operator.ru/ip_list.dic 
    - 
    -#словарь имен хостов для блокирования HTTPS по SNI (Server Name Indication) 
    -custom_sni_black_list=http://operator.ru/sni_list.dic</code> 
    - 
    -В URL возможно задать также протокол ftp и параметры авторизации. 
    - 
    -Скачанные по заданным URL списки размещаются в каталоге /var/lib/dpi 
    -под именами((оператор может подготовить собственные списки взамен облачных и разместить их под указанными именами, они будут загружаться и обновляться из локальных файлов)): 
    - 
    -''blcustom.bin'' - словарь URL для блокировки HTTP\\   
    -''blcustomcn.bin'' - словарь имен для блокировки HTTPS по сертификату\\   
    -''blcustomip.bin'' - словарь IP адресов для блокировки HTTPS по IP\\ 
    -''blcustomsni.bin'' - словарь IP адресов для блокировки HTTPS по SNI 
    - 
    -===== Дополнительная информация ===== 
    -Символ ''#'' в начале строки конфигурационного файла используется для создания строки комментария.\\ 
    -Если сервис используется только в режиме фильтрации по черному списку рекомендуется отключить 
    -анализ отличных от TCP протоколов, что увеличит производительность и уменьшит потребление ресурсов 
    -процессора: 
    -<code bash>only_tcp=1</code> 
    - 
    -Если подготовка черных списков осуществляется на том же компьютере, где работает DPI, 
    -то можно их просто поместить в каталог ''/var/lib/dpi'' под указанными выше именами ''blcustom.bin'', ''blcustomsni.bin'', ''blcustomcn.bin'' и ''blcustomip.bin''\\  
    -<note warning>Используйте для перемещения словарей только команду mv - она атомарная, не используйте копирование!</note> 
    - 
    -===== Отключение федеральных списков РКН и Минюста: ===== 
    -<note important>Для отказа от работы с черными списками необходимо отключить в конфигурационном файле их автоматическую загрузку и удалить соответствующие словари из каталога ''/var/lib/dpi''. После чего рестартовать сервис.</note> 
    -В конфигурационном файле ''/etc/dpi/fastdpi.conf'' установить параметр: 
    -<code bash>federal_black_list=false</code> 
    -и удалить локальные списки 
    -<code bash> 
    -rm /var/lib/dpi/blcache.bin    
    -rm /var/lib/dpi/blcachecn.bin 
    -rm /var/lib/dpi/blcacheip.bin  
    -rm /var/lib/dpi/blcachesni.bin  
    -</code> 
    -После удаления потребуется рестарт сервиса. 
    -<code bash>service fastdpi restart</code> 
    - 
    -===== Отключение дополнительных (операторских) списков: ===== 
    -В конфигурационном файле ''/etc/dpi/fastdpi.conf'' закомментировать или удалить параметры  
    -<code bash>custom_url_black_list, custom_ip_black_list, custom_cname_black_list, custom_sni_black_list</code> 
    -и удалить локальные списки 
    -<code bash> 
    -rm /var/lib/dpi/blcustom.bin   
    -rm /var/lib/dpi/blcustomcn.bin 
    -rm /var/lib/dpi/blcustomip.bin 
    -rm /var/lib/dpi/blcustomsni.bin 
    -</code> 
    - 
    -=====Настройки блокировки===== 
    -В конфигурационный файл ''/etc/dpi/fastdpi.conf'' добавить параметр ''block_options''.\\ 
    -Значения: 
    -  * 1 — блокировать независимо от наличия SNI 
    -  * 2 — блокировать все порты на адресе 
    -  * 4 — блокировка всего IPv6 (при включенной [[dpi:dpi_options:opt_filtration:filtration_ctrl:start|4 услуге]]) 
    -  * 8 — не формировать RST-пакеты блокировки и переадресации для направления пакетов ''inet–>subs''