====== Управление ======
{{indexmenu_n>3}}
<note important>По умолчанию фильтрация применяется ко всему проходящему трафику.</note>
Если вы хотите фильтровать трафик только отдельных абонентов, или исключить фильтрацию транзитного трафика, или предоставлять фильтрацию другим операторам как услугу, то для управления данной услугой нужно активировать **SM-Subscriber Management.** 
===== Активация управления услуги фильтрации на уровне абонентов - Subscriber Management =====
В конфигурационном файле **/etc/dpi/fastdpi.conf** указываем настройку:
<code bash>black_list_sm=1</code>
где\\  
  * значение 1 означает, что услуга по умолчанию всем выключена, а включать услугу нужно через fdpi_ctrl 
  * другое значение означает, что услуга по умолчанию всем включена, а отключать услугу нужно через fdpi_ctrl

Дальнейшее управление данным сервисом на уровне отдельных абонентов осуществляется с помощью [[dpi:dpi_components:platform:subscriber_management:subsman_cmd|Команды управления fdpi_ctrl]]

Услуга фильтрации имеет два варианта подключения:
  - Профиль по умолчанию: глобальная настройка на устройство, подключается услугой без указания профиля.
  - Именованный профиль: подключается через услугу с указанием имени профиля.
<note important>Для BRAS необходимо использовать именованные профили **имя, которых указывается в атрибутах Radius-Accept.**</note>

Формат команды:
<code bash>
fdpi_ctrl команда --service 4 [список опций] [список_IP или login]
</code>
<note important>Подробнее синтаксис команд и способы задания IP адресов описаны в разделе [[dpi:dpi_components:platform:subscriber_management:subsman_cmd|Команды управления]]</note>

<note tip>При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо [[dpi:dpi_components:platform:subscriber_management:subsman_cmd#настройка_блокировки_протоколов_tcp_и_udp|включить параметр]] ''[[dpi:dpi_components:platform:subscriber_management:subsman_cmd#настройка_блокировки_протоколов_tcp_и_udp|udp_block]]''.</note>

==== Пример для профиля по умолчанию ====
**Отключить** фильтрацию для администратора если **black_list_sm=2**
<code bash>
fdpi_ctrl load --service 4 --ip 192.168.0.1
</code>

**Подключить** услугу для автономной системы AS50538 (**black_list_sm=1**) c профилем по умолчанию (заданном в конфигурационном файле **/etc/dpi/fastdpi.conf**)
<code bash>
fdpi_ctrl load --service 4 --cidr 37.110.240.0/21 --cidr 109.235.216.0/21
</code>
==== Пример для именованного профиля ====
Создание профиля с именем и подключение услуги блокировки с профилем для нескольких абонентов
<code bash>
fdpi_ctrl load profile --service 4  --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "sni_list" : "http://mysite.ru/myfilesni.bin", "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : true }'
fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.1
fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.2
</code>
где в формате json задаются следующие настройки профиля: 
  * redirect - страница переадресации((доп. праметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url  для белого списка и тут надо подумать за dpi,иначе dpi припишет /? ))
  * federal : true/false использовать или нет федеральный список блокировки
  * url_list - список блокировки с URL
  * sni_list - список блокировки по имени хоста (SNI)
  * ip_list - список блокировки с IP:PORT((проверка по ip:port или cname осуществляется если в запросе отсутствуют url или sni))
  * cn_list - список блокировки Common Name((проверка по ip:port или cname осуществляется если в запросе отсутствуют url или sni))

Список может быть размещен как на внешнем ресурсе, тогда он загружается перед использованием, так и в локальном файле, например, "cn_list" : "/tmp/cn_list.bin"

Поиск абонентов, которым подключено оповещение с заданным именем профиля
<code bash>
fdpi_ctrl list all --service 4 --profile.name test_black</code>

Удаление именованного профиля (не должно быть абонентов, которые его используют)
<code bash>
fdpi_ctrl del profile --service 4  --profile.name test_black
</code>

Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги)
<code bash>
fdpi_ctrl load profile --service 4 --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : false }'
</code>

Максимальное количество профилей для черных списков задается настроечным параметром в /etc/dpi/fastdpi.conf
<code bash>max_profiles_black_list=64</code>
где 64 значение по умолчанию, а 65535 максимально возможное значение
<note warning>Это холодный параметр и его изменение требует рестарта.</note>

=====Активация услуги по блокировке IPv6 трафика=====
Формат команды:
<code bash>
fdpi_ctrl команда --service 49 [список опций] [список_IP или login]
</code>
<note important>Подробнее синтаксис команд и способы задания IP адресов описаны в разделе [[dpi:dpi_components:platform:subscriber_management:subsman_cmd|Команды управления]]</note>

Подключить услугу:
<code bash>
fdpi_ctrl load --service 49 --login DEMO
</code>
или
<code bash>
fdpi_ctrl load --service 49 --vchannel 1
</code>

<note tip>При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо [[dpi:dpi_components:platform:subscriber_management:subsman_cmd#настройка_блокировки_протоколов_tcp_и_udp|включить параметр]] ''[[dpi:dpi_components:platform:subscriber_management:subsman_cmd#настройка_блокировки_протоколов_tcp_и_udp|udp_block]]''.</note>