Управление

Если вы хотите фильтровать трафик только отдельных абонентов, или исключить фильтрацию транзитного трафика, или предоставлять фильтрацию другим операторам как услугу, то для управления данной услугой нужно активировать SM-Subscriber Management.

В конфигурационном файле /etc/dpi/fastdpi.conf указываем настройку:

black_list_sm=1

где

• значение 1 означает, что услуга по умолчанию всем выключена, а включать услугу нужно через fdpi_ctrl
• другое значение означает, что услуга по умолчанию всем включена, а отключать услугу нужно через fdpi_ctrl

Дальнейшее управление данным сервисом на уровне отдельных абонентов осуществляется с помощью Команды управления fdpi_ctrl

Услуга фильтрации имеет два варианта подключения:

1. Профиль по умолчанию: глобальная настройка на устройство, подключается услугой без указания профиля.
2. Именованный профиль: подключается через услугу с указанием имени профиля.

Формат команды:

fdpi_ctrl команда --service 4 [список опций] [список_IP или login]

Отключить фильтрацию для администратора если black_list_sm=2

fdpi_ctrl load --service 4 --ip 192.168.0.1

Подключить услугу для автономной системы AS50538 (black_list_sm=1) c профилем по умолчанию (заданном в конфигурационном файле /etc/dpi/fastdpi.conf)

fdpi_ctrl load --service 4 --cidr 37.110.240.0/21 --cidr 109.235.216.0/21

Создание профиля с именем и подключение услуги блокировки с профилем для нескольких абонентов

fdpi_ctrl load profile --service 4  --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "sni_list" : "http://mysite.ru/myfilesni.bin", "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : true }'
fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.1
fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.2

где в формате json задаются следующие настройки профиля:

• redirect - страница переадресации¹⁾
• federal : true/false использовать или нет федеральный список блокировки
• url_list - список блокировки с URL
• sni_list - список блокировки по имени хоста (SNI)
• ip_list - список блокировки с IP:PORT²⁾
• cn_list - список блокировки Common Name³⁾

Список может быть размещен как на внешнем ресурсе, тогда он загружается перед использованием, так и в локальном файле, например, "cn_list" : "/tmp/cn_list.bin"

Поиск абонентов, которым подключено оповещение с заданным именем профиля

fdpi_ctrl list all --service 4 --profile.name test_black

Удаление именованного профиля (не должно быть абонентов, которые его используют)

fdpi_ctrl del profile --service 4  --profile.name test_black

Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги)

fdpi_ctrl load profile --service 4 --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : false }'

Максимальное количество профилей для черных списков задается настроечным параметром в /etc/dpi/fastdpi.conf

max_profiles_black_list=64

где 64 значение по умолчанию, а 65535 максимально возможное значение

Формат команды:

fdpi_ctrl команда --service 49 [список опций] [список_IP или login]

Подключить услугу:

fdpi_ctrl load --service 49 --login DEMO

или

fdpi_ctrl load --service 49 --vchannel 1