Содержание

Управление услугами

Управление абонентами осуществляется с помощью утилиты fdpi_ctrl.

Рекомендуем использовать Именованные профили, что упростит управление услугами.

Синтаксис команд

Общий формат команд: 

fdpi_ctrl команда --service идентификатор_услуги [список_IP] [список_LOGIN]

Расшифровка параметров команды:

Параметр Описание, возможные значения и формат Примечание
команда Значения:
1. load — загрузить данные
2. del — удалить. Для --service нужно задать идентификатор_услуги
3. list — показать информацию по заданному списку список_IP или всю информацию, если задан аргумент all. 		В командах list, del вместо списка IP/LOGIN можно задавать all, что значит применить команду для всех.
идентификатор_услуги Числовой ID, соответствующий услуге из списка
список_IP Значения:
1. --file — файл со списком IP
2. --ip — одиночный IP, формат: 192.168.0.1
3. --ip_range — интервал IP (включает границы), формат: 192.168.0.1-192.168.0.5
4. --cidr — IP с портом, формат: 192.168.0.0/30, 5.200.43.0/24~ (вариант указания CIDR с исключенными крайними адресами) 		Из диапазона CIDR можно исключить крайние адреса (по соглашению о бесклассовой адресации — это адреса шлюза и широковещательный), добавив в определение диапазона символ ~ в конце определения CIDR, например --cidr 5.200.43.0/24~
список_LOGIN Значения:
1. --file — файл со списком логинов
2. --login — одиночный логин, формат: USER1, "FIRST_NAME LAST_NAME" (вариант указания логина с экранированием спецсимволов) 		"USER1" — вариант задания login в двойных кавычках
'USER2' — вариант задания login в одинарных кавычках
Строка, начинающаяся с символа # — это комментарий.

Список услуг

При активации услуг блокировки (4, 16, 49) блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо включить параметр udp_block.
ID Краткое описание Ссылка на подробное описание
1 бонусная программа Описание
2 реклама Описание
3 блокировка рекламы Описание
4 фильтрация по черному списку Описание
5 белый список и Captive Portal Описание
6 уведомление через HTTP redirect Описание
7 кэширование Описание
8 пройдена DDOS защита Описание
9 RADIUS accounting / сбор netflow статистики для биллинга Описание
10 DDOS защита Описание
11 CGNAT и NAT 1:1 Описание
12 запись трафика в PCAP Описание
13 мини Firewall Описание
14 запись трафика в PCAP Описание
15 спецабонент (весь трафик помещается в cs0, не применяется фильтрация (4 услуга) для vChannel и общего канал) Описание
16 белый список и переадресация на Captive Portal без доступа в интернет Описание
17 зеркалирование трафика в заданный VLAN Описание
18 полисинг по сессии для определенных протоколов и определение классов трафика на уровнях канала и абонента Описание
19 подмена DNS ответов, в планах: перенаправление DNS запросов на DNS сервер провайдера Описание
49 блокировка IPv6 трафика Описание
50 участник маркетинговой компании с уведомлением через HTTP redirect Описание
51 зарезервировано (внутренняя услуга)
254 VRF Описание

Примеры

  1. Подключить услугу: 
    fdpi_ctrl load --service 9 --ip 192.168.0.1
#или
fdpi_ctrl load --service 9 --login USER1
  2. Отключить услугу: 
    fdpi_ctrl del --service 9 --ip 192.168.0.1
  3. Получить список с подключенной услугой: 
    fdpi_ctrl list all --service 9
  4. Получить информацию по конкретному IP: 
    fdpi_ctrl list --service 9 --ip 192.168.0.1
  5. При задании списка IP можно одновременно задать несколько опций --file, --ip, --ip_range, --cidr: 
    fdpi_ctrl list --service 9 --ip 192.168.0.1 --ip 192.168.0.2 --file fip_1.txt --ip_range 192.168.0.3-192.168.0.6 --login USER1

    Операция применится для всех указанных элементов, по которым не произошло ошибки.
    :!: При возникновении ошибки отката внесенных изменений не происходит!

  6. Подключение услуг с именованными профилями: 
    fdpi_ctrl load --service 4 --profile.name blocked --login Test

Настройка блокировки протоколов TCP и UDP

Параметр udp_block отвечает за блокировку протокола UDP. Если в конфигурационном файле DPI /etc/dpi/fastdpi.conf есть этот параметр — то происходит блокировка TCP+UDP, если нет — блокируется только TCP.

Чтобы начать блокировать протоколы UDP (например, QUIC), необходимо добавить в конфигурационный файл параметр udp_block со значением 2 или 3 (начать блокировку после двух или трёх прошедших пакетов). Такие значения устанавливаются так как бывает, что проходит большое количество одиночных пакетов, которые не учитываются в трафике, но могут вызвать сильную нагрузку на DPI. 

udp_block=3

Добавление параметра не требует рестарта DPI, достаточно сделать reload: 

service fastdpi reload