dpi:dpi_options:opt_filtration:filtration

Настройки

Система поставляется с включенной опцией фильтрации по черному списку.

Изменение настроек или отключение опции осуществляется с помощью редактирования файла конфигурации /etc/dpi/fastdpi.conf. Все параметры опциональны и имеют значения по умолчанию.

Настройки сервиса фильтрации

Включение автоматической загрузки и применение реестра из облачного сервиса:

federal_black_list=1

Возможные значения:

0 или false - отключает автоматическое скачивание списков
1 - российский список
2 - приватный список оператора из облака VAS Experts
3 - белорусский список

Полученные из облачного сервиса списки размещаются в каталоге /var/lib/dpi под именами¹⁾:
blcache.bin - словарь URL для блокировки HTTP
blcachecn.bin - словарь имен для блокировки HTTPS по сертификатам
blcacheip.bin - словарь IP адресов для блокировки HTTPS по IP
blcachesni.bin - словарь имен для блокировки HTTPS по SNI

По умолчанию при попытке доступа на заблокированную страницу по протоколу HTTP браузер пользователя получает в качестве ответа ошибку 403 (Forbidden) и ее отображение пользователю зависит от используемого браузера. Это поведение можно изменить и вместо возврата кода ошибки выполнять переадресацию браузера на специально созданную для этих целей информационную страничку оператора²⁾³⁾.

Настройка страницы для редиректа:

black_list_redirect=http://operator.ru/blockpage.html

Периодичности проверки обновления черного списка (по умолчанию 1 минута) можно изменить:

timeout_check_new_bl=1

Рекомендуем делать период загрузки не более 5 минут. Обновление списков происходить автоматически без перерыва сервиса и необходимости делать restart/reload.

После изменения настроечных параметров нужно сообщить сервису, чтобы он подхватил изменения ⁴⁾:

Производится изменение только горячих параметров:

service fastdpi reload

Производится изменение всех параметров путем перезапуска сервиса:

service fastdpi restart

При отсутствии Bypass во время перезапуска произойдет кратковременный перерыв в обслуживании (< 1 секунды)

Горячие параметры: federal_black_list,only_tcp,timeout_check_new_bl
Холодные параметры: black_list_redirect,custom_url_black_list,custom_cn_black_list,custom_ip_black_list,custom_sni_black_list
Подробнее в разделе: Администрирование

Подключение кастомных списков

Подготовка словарей с URL, SNI, CN и IP адресами описана в следующем разделе документации.

Оператор может также подключить собственный черный список в дополнение или взамен федеральных списков, предоставляемых в рамках сервиса:

#словарь URL для блокирования по протоколу HTTP 
custom_url_black_list=http://operator.ru/url_list.dic
 
#словарь имен для блокирования протокола HTTPS по сертификату 
custom_cname_black_list=http://operator.ru/cn_list.dic
 
#словарь IP адресов для блокирования протокола HTTPS по IP 
custom_ip_black_list=http://operator.ru/ip_list.dic
 
#словарь имен хостов для блокирования HTTPS по SNI (Server Name Indication)
custom_sni_black_list=http://operator.ru/sni_list.dic

В URL возможно задать также протокол ftp и параметры авторизации.

Скачанные по заданным URL списки размещаются в каталоге /var/lib/dpi под именами⁵⁾:

blcustom.bin - словарь URL для блокировки HTTP
blcustomcn.bin - словарь имен для блокировки HTTPS по сертификату
blcustomip.bin - словарь IP адресов для блокировки HTTPS по IP
blcustomsni.bin - словарь IP адресов для блокировки HTTPS по SNI

Дополнительная информация

Символ # в начале строки конфигурационного файла используется для создания строки комментария.
Если сервис используется только в режиме фильтрации по черному списку рекомендуется отключить анализ отличных от TCP протоколов, что увеличит производительность и уменьшит потребление ресурсов процессора:

only_tcp=1

Если подготовка черных списков осуществляется на том же компьютере, где работает DPI, то можно их просто поместить в каталог /var/lib/dpi под указанными выше именами blcustom.bin, blcustomsni.bin, blcustomcn.bin и blcustomip.bin

Используйте для перемещения словарей только команду mv - она атомарная, не используйте копирование!

Отключение федеральных списков РКН и Минюста:

Для отказа от работы с черными списками необходимо отключить в конфигурационном файле их автоматическую загрузку и удалить соответствующие словари из каталога /var/lib/dpi. После чего рестартовать сервис.

В конфигурационном файле /etc/dpi/fastdpi.conf установить параметр:

federal_black_list=false

и удалить локальные списки

rm /var/lib/dpi/blcache.bin   
rm /var/lib/dpi/blcachecn.bin
rm /var/lib/dpi/blcacheip.bin 
rm /var/lib/dpi/blcachesni.bin

После удаления потребуется рестарт сервиса.

service fastdpi restart

Отключение дополнительных (операторских) списков:

В конфигурационном файле /etc/dpi/fastdpi.conf закомментировать или удалить параметры

custom_url_black_list, custom_ip_black_list, custom_cname_black_list, custom_sni_black_list

и удалить локальные списки

rm /var/lib/dpi/blcustom.bin  
rm /var/lib/dpi/blcustomcn.bin
rm /var/lib/dpi/blcustomip.bin
rm /var/lib/dpi/blcustomsni.bin

Настройки блокировки

В конфигурационный файл /etc/dpi/fastdpi.conf добавить параметр block_options.
Значения:

1 — блокировать независимо от наличия SNI
2 — блокировать все порты на адресе
4 — блокировка всего IPv6 (при включенной 4 услуге)
8 — не формировать RST-пакеты блокировки и переадресации для направления пакетов inet–>subs

¹⁾ , ⁵⁾

оператор может подготовить собственные списки взамен облачных и разместить их под указанными именами, они будут загружаться и обновляться из локальных файлов

²⁾

если данный параметр закончить на ? или & в результирующий URL будет добавлен параметр UrlRedir с указанием страницы, куда направлялся пользователь

³⁾

доп. параметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url для белого списка и тут надо подумать за dpi, иначе dpi припишет /?

⁴⁾

Исправление

Содержание