Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_options:opt_filtration:filtration_settings [2020/02/05 15:16] – ↷ Страница перемещена из dpi:dpi_options:base_functionality:opt_filtration:filtration_settings в dpi:dpi_options:opt_filtration:filtration_settings lexx26
+++ dpi:dpi_options:opt_filtration:filtration_settings [2024/09/30 11:13] (текущий) – atereschenko
@@ Строка 1: / Строка 1: @@
 ====== Настройки ======
+{{indexmenu_n>2}}
+<note warning>Система поставляется с включенной опцией фильтрации по черному списку.</note>
+Изменение настроек или отключение опции осуществляется с помощью редактирования файла конфигурации ''/etc/dpi/fastdpi.conf''. Все параметры опциональны и имеют значения по умолчанию.
+===== Настройки сервиса фильтрации =====
+Включение автоматической загрузки и применение реестра из облачного сервиса:
+<code bash>federal_black_list=1  </code>
+Возможные значения:
+  * 0 или false - отключает автоматическое скачивание списков
+  * 1 - российский список
+  * 2 - приватный список оператора из облака VAS Experts
+  * 3 - белорусский список
+Полученные из облачного сервиса списки размещаются в каталоге ''/var/lib/dpi'' под именами((оператор может подготовить собственные списки взамен облачных и разместить их под указанными именами, они будут загружаться и обновляться из локальных файлов)):\\
+''blcache.bin'' - словарь URL для блокировки HTTP\\
+''blcachecn.bin'' - словарь имен для блокировки HTTPS по сертификатам\\
+''blcacheip.bin'' - словарь IP адресов для блокировки HTTPS по IP\\
+''blcachesni.bin'' - словарь имен для блокировки HTTPS по SNI
+<note important>По умолчанию при попытке доступа на заблокированную страницу по протоколу HTTP
+браузер пользователя получает в качестве ответа ошибку 403 (Forbidden) и ее отображение
+пользователю зависит от используемого браузера. Это поведение можно изменить и вместо возврата кода ошибки выполнять переадресацию браузера
+на специально созданную для этих целей информационную страничку оператора((если данный параметр закончить на ? или & в результирующий URL будет добавлен параметр UrlRedir с указанием страницы, куда направлялся пользователь))((доп. параметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url  для белого списка и тут надо подумать за dpi, иначе dpi припишет /? )).</note>
+Настройка страницы для редиректа:
+<code bash>black_list_redirect=http://operator.ru/blockpage.html</code>
+Периодичности проверки обновления черного списка (по умолчанию 1 минута) можно изменить:
+<code bash>timeout_check_new_bl=1</code>
+<note important>Рекомендуем делать период загрузки не более 5 минут. Обновление списков происходить автоматически без перерыва сервиса и необходимости делать restart/reload.</note>
+После изменения настроечных параметров нужно сообщить сервису, чтобы он подхватил изменения (([[dpi:update:troubleshooting|Исправление]])):
+Производится изменение только горячих параметров:
+<code bash>service fastdpi reload</code>
+Производится изменение всех параметров путем перезапуска сервиса:
+<code bash>service fastdpi restart</code>
+:!: При отсутствии Bypass во время перезапуска произойдет кратковременный перерыв в обслуживании (< 1 секунды)
+<note>Горячие параметры: federal_black_list,only_tcp,timeout_check_new_bl\\
+Холодные параметры: black_list_redirect,custom_url_black_list,custom_cn_black_list,custom_ip_black_list,custom_sni_black_list\\
+Подробнее в разделе: [[dpi:dpi_components:platform:dpi_admin|Администрирование]]</note>
+===== Подключение кастомных списков =====
+<note important>Подготовка словарей с URL, SNI, CN и IP адресами описана в [[dpi:dpi_options:opt_filtration:making_dictionary|следующем разделе документации]].</note>
+Оператор может также подключить собственный черный список в дополнение или взамен
+федеральных списков, предоставляемых в рамках сервиса:
+<code bash>#словарь URL для блокирования по протоколу HTTP
+custom_url_black_list=http://operator.ru/url_list.dic
+#словарь имен для блокирования протокола HTTPS по сертификату
+custom_cname_black_list=http://operator.ru/cn_list.dic
+#словарь IP адресов для блокирования протокола HTTPS по IP
+custom_ip_black_list=http://operator.ru/ip_list.dic
+#словарь имен хостов для блокирования HTTPS по SNI (Server Name Indication)
+custom_sni_black_list=http://operator.ru/sni_list.dic</code>
+В URL возможно задать также протокол ftp и параметры авторизации.
+Скачанные по заданным URL списки размещаются в каталоге /var/lib/dpi
+под именами((оператор может подготовить собственные списки взамен облачных и разместить их под указанными именами, они будут загружаться и обновляться из локальных файлов)):
+''blcustom.bin'' - словарь URL для блокировки HTTP\\
+''blcustomcn.bin'' - словарь имен для блокировки HTTPS по сертификату\\
+''blcustomip.bin'' - словарь IP адресов для блокировки HTTPS по IP\\
+''blcustomsni.bin'' - словарь IP адресов для блокировки HTTPS по SNI
+===== Дополнительная информация =====
+Символ ''#'' в начале строки конфигурационного файла используется для создания строки комментария.\\
+Если сервис используется только в режиме фильтрации по черному списку рекомендуется отключить
+анализ отличных от TCP протоколов, что увеличит производительность и уменьшит потребление ресурсов
+процессора:
+<code bash>only_tcp=1</code>
+Если подготовка черных списков осуществляется на том же компьютере, где работает DPI,
+то можно их просто поместить в каталог ''/var/lib/dpi'' под указанными выше именами ''blcustom.bin'', ''blcustomsni.bin'', ''blcustomcn.bin'' и ''blcustomip.bin''\\
+<note warning>Используйте для перемещения словарей только команду mv - она атомарная, не используйте копирование!</note>
+===== Отключение федеральных списков РКН и Минюста: =====
+<note important>Для отказа от работы с черными списками необходимо отключить в конфигурационном файле их автоматическую загрузку и удалить соответствующие словари из каталога ''/var/lib/dpi''. После чего рестартовать сервис.</note>
+В конфигурационном файле ''/etc/dpi/fastdpi.conf'' установить параметр:
+<code bash>federal_black_list=false</code>
+и удалить локальные списки
+<code bash>
+rm /var/lib/dpi/blcache.bin
+rm /var/lib/dpi/blcachecn.bin
+rm /var/lib/dpi/blcacheip.bin
+rm /var/lib/dpi/blcachesni.bin
+</code>
+После удаления потребуется рестарт сервиса.
+<code bash>service fastdpi restart</code>
+===== Отключение дополнительных (операторских) списков: =====
+В конфигурационном файле ''/etc/dpi/fastdpi.conf'' закомментировать или удалить параметры
+<code bash>custom_url_black_list, custom_ip_black_list, custom_cname_black_list, custom_sni_black_list</code>
+и удалить локальные списки
+<code bash>
+rm /var/lib/dpi/blcustom.bin
+rm /var/lib/dpi/blcustomcn.bin
+rm /var/lib/dpi/blcustomip.bin
+rm /var/lib/dpi/blcustomsni.bin
+</code>
+=====Настройки блокировки=====
+В конфигурационный файл ''/etc/dpi/fastdpi.conf'' добавить параметр ''block_options''.\\
+Значения:
+  * 1 — блокировать независимо от наличия SNI
+  * 2 — блокировать все порты на адресе
+  * 4 — блокировка всего IPv6 (при включенной [[dpi:dpi_options:opt_filtration:filtration_ctrl|4 услуге]])
+  * 8 — не формировать RST-пакеты блокировки и переадресации для направления пакетов ''inet–>subs''