Интерфейс управления правилами фильтрации предназначен для управления правилами фильтрации на нескольких DPI одновременно с помощью графического интерфейса.

Для подсистемы можно использовать оборудование или виртуальные машины со сл.характеристиками:

1. Процессор (CPU) 2.5 ГГц, 2-4 ядра
2. Оперативная память (RAM) от 8 Гб (много потребляет sphinx)
3. Жесткий диск (HDD) 50 Гб - 250 Гб
4. Операционная система Cent OS 7+ (не ставьте minimal, иначе большинство зависимостей придется руками ставить)
5. Сетевая плата (NIC) от 10 Mб/сек

Настройка подсистемы выполняется через файл .env

/var/www/html/dpiui2/backend/.env

Содержимое файла следующее:

#URL редиректа для услуги "Белый список"
ULR_WHITE_LIST_REDIRECT_URL=https://google.com

#Период очистки данных Ulr задач в днях
ULR_QUEUE_DELETE_TASKS_DAYS_INTERVAL=1

#ASN для правил IP-исключений.
ULR_IP_EXCLUDE_ASN=64401

#Хост для выгрузки списка блокируемых ресурсов. Для подключения к серверу блокируемых ресурсов.
ULR_BLACK_LIST_DEPLOY_HOST=<IP адресс или хост Web сервера глобальных блокировок>

#Порт для выгрузки списка блокируемых ресурсов. Для подключения к серверу блокируемых ресурсов.
ULR_BLACK_LIST_DEPLOY_PORT=22

#Имя пользователя для выгрузки списка блокируемых ресурсов. Для подключения к серверу блокируемых ресурсов.
ULR_BLACK_LIST_DEPLOY_USER=default

#Пароль для выгрузки списка блокируемых ресурсов. Для подключения к серверу блокируемых ресурсов
ULR_BLACK_LIST_DEPLOY_PASS=

#Использовать sudo при выгрузке списка блокируемых ресурсов. (0 - не использовать, 1 - использовать)
ULR_BLACK_LIST_DEPLOY_SUDO=1

#Путь для сохранения черных списков.
ULR_BLACK_LIST_DEPLOY_PATH=/var/www/html/blacklists/

#Уровень детализации логов.(0 - инфо, 1 - отладка, 2 - трассировка)
ULR_LOAD_LOG_LEVEL=0

php /var/www/html/dpiui2/backend/artisan queue:restart

Для того, чтобы получить возможность пользоваться Интерфейсом управления правилами фильтрации необходимо активировать лицензию Ulr-раздела в DPIUI2.

Для этого необходимо выполнить команду:

dpiui2 ulr_lic --make=1

Далее:

1. Ввести уровень лицензии standard;
2. Ввести дату завершения лицензии в формате Y-m-d (например 2099-12-31);
3. Ввести пароль от лицензии.

В случае, если Вами были введены корректные данные, выведется сообщение об успешной активации лицензии для Ulr-раздела:

dpiui2 ulr_lic --make=1
 Enter level:
 > standard

 Enter expire date in Y-m-d format:
 > 2099-12-31

 Enter password:
 > 

stdClass Object
(
    [success] => 1
)

В интрефейсе DPIUI2 перейдите в раздел Администратор→Роли. Создайте новую роль и устновите в ней права на чтение и запись в разделе ulr_admin как на изображении ниже.

Далее, перейдите в раздел Администратор→Пользователи. Создайте нового пользователя и установите ему роль, которую вы создали ранее.

При авторизации от имени этого пользователя, он будет переключен в раздел управления правилами фильтрации.

• Справочник категорий
• Справочник регуляторов

В интерфейсе управления провилами фильтрации перейдите в раздел Справочники→Категории.

В форме введите название категории, ее описание и нажмите кнопку "Добавить запись".

В таблице с категориями нажмите на кнопку редактирования категории, чтобы открылась форма редактирования. В форме измените название и/или описание категории, после чего нажмите кнопку "Сохранить запись".

В таблице с категориями нажмите на кнопку удаления категории. В появившемся окне подтвердите или отмените действие.

В интерфейсе управления провилами фильтрации перейдите в раздел Справочники→Регуляторы.

В форме введите название регулятора, его описание и нажмите кнопку "Добавить запись".

В таблице со списком регуляторов нажмите на кнопку редактирования регулятора, чтобы открылась форма редактирования. В форме измените название и/или описание регулятора, после чего нажмите кнопку "Сохранить запись".

В таблице со списком регуляторов нажмите на кнопку удаления записи. В появившемся окне подтвердите или отмените действие.

Перейдите в раздел "Профили ISP и IGW"→"Список IGW".

Для добавления нового профиля IGW перейдите в раздел "Профили ISP и IGW"→"Добавить профиль IGW".

В форме укажите:

• Имя профиля;
• Режим работы (Snadalone/Cluster)
• Узлы для профиля (Имя узла, DPI оборудование из списка доступных и количество мостов)

В разделе "Профили ISP и IGW"→"Список IGW" нажмите кнопку "Редактировать профиль".

Откроется форма создания/редактирования профиля IGW, внесите необходимые Вам изменения и нажмите "Сохранить изменения".

В разделе "Профили ISP и IGW"→"Список IGW" нажмите кнопку "Удалить" и подтвердите/отмените действие.

1. Подготовить машину с установленной CentOS7+

2. Создать беспарольного sudo пользователя аналогично описанию в разделе Dpiui2:Настройка поключения к dpi

3. Запустите следующий скрипт:

rpm --import http://vasexperts.ru/centos/RPM-GPG-KEY-vasexperts.ru
rpm -Uvh http://vasexperts.ru/centos/6/x86_64/vasexperts-repo-1-0.noarch.rpm
yum install dpiutils -y
yum install httpd -y
yum install unzip -y

mkdir /var/www/html/blacklists
chmod -R 777 /var/www/html/blacklists

echo "
<VirtualHost *:80>
    DocumentRoot \"/var/www/html/blacklists\"

    <proxy *>
    Order deny,allow
    Allow from all
    </proxy>
</VirtualHost>
" > /etc/httpd/conf.d/bl_lists.conf

firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --reload

systemctl enable httpd.service
systemctl restart httpd.service

4. В конфигурации dpiui2 в разделе Ulr настроек указать данные для доступа к Web-серверу

5. В настройках всех подключенных FastDPI-серверов указать путь к Custom спискам блокировок:

# Словарь URL для блокирования по протоколу HTTP (custom_url_black_list)
custom_url_black_list=http://<IP адрес Web-сервера>/blacklist.dict

# Словарь имен для блокирования протокола HTTPS по сертификату (custom_cname_black_list)
custom_cname_black_list=http://<IP адрес Web-сервера>/blacklistcn.dict

# Словарь IP адресов для блокирования протокола HTTPS по IP (custom_ip_black_list)
custom_ip_black_list=http://<IP адрес Web-сервера>/blacklistip.dict

# Словарь имен хостов для блокирования HTTPS по SNI (custom_sni_black_list)
custom_sni_black_list=http://<IP адрес Web-сервера>/blacklistsni.dict

Перейдите в раздел "Приложения и полисинги"→"Правила DSCP".

В форме создания правила:

• Выбрать тип правила: Протокол(по умолчанию) | Группа протоколов
• Введите имя протокола приложения и выберите нужный из представленного списка | Выберите группу протоколов;
• Выберите приоритет из представленного списка.

Сохраните правило путем нажатия кнопки "Установить DSCP".

В списке правил DSCP нажмите на кнопку "Редактировать правило". В открывшейся форме редактирования правила DSCP задайте необходимый приоритет и сохраните изменения нажатием кнопки "Установить DSCP".

В списке правил DSCP нажмите на кнопку "Удалить правило" и, в появившемся окне, подтвердите либо отмените действие.

Перейдите в раздел "Фильтр номеров АС".

В форме создания правила:

• Укажите номер АС;
• Выберите приоритет из представленного списка;
• Укажите название правила;
• Укажите описание правила;

Сохраните правило путем нажатия кнопки "Установить DSCP".

В списке правил DSCP в направлении ASN нажмите на кнопку "Редактировать правило". В открывшейся форме редактирования правила DSCP в направлении ASN при необходимости:

• Выберите приоритет из представленного списка;
• Укажите название правила;
• Укажите описание правила;

Сохраните изменения путем нажатия кнопки "Установить DSCP".

В списке правил DSCP в направлении ASN нажмите на кнопку "Удалить правило" и, в появившемся окне, подтвердите либо отмените действие.

Перейдите в раздел "Исключение IP & АС".

Перейдите в раздел "Исключение IP & АС"→"Исключение IP".

В форме создания правила:

• Укажите IP/CIDR;
• Укажите название правила;
• Укажите описание правила;

Сохраните правило путем нажатия кнопки "Установить исключение".

Нажмите на кнопку "Редактировать исключение". В форме редактирования правила есть возможность изменить:

• название правила;
• описание правила.

Сохраните изменения путем нажатия кнопки "Установить DSCP".

В списке исключений нажмите на кнопку "Удалить исключение" и, в появившемся окне, подтвердите либо отмените удаление.

Перейдите в раздел "Исключение IP & АС"→"Исключение номеров АС".

В форме создания правила:

• Укажите номер АС;
• Укажите название правила;
• Укажите описание правила;

Сохраните правило путем нажатия кнопки "Установить исключение".

Нажмите на кнопку "Редактировать правило". В форме редактирования правила есть возможность изменить:

• название правила;
• описание правила.

Сохраните изменения путем нажатия кнопки "Установить DSCP".

В списке исключений нажмите на кнопку "Удалить правило" и, в появившемся окне, подтвердите либо отмените удаление.

VIP Абонент – специальный абонент, трафик которого пропускается с выделенным приоритетом (по умолчанию cs0) вне зависимости от настроек приоритетов по прикладным протоколам. Выделенный приоритет устанавливается настроечным параметром special_dscp. См. раздел Конфигурация. Подключение абонента производится через установку услуги 15 на DPI.

Привилегии:

• Свободный доступ к приложениям и ресурсам, на которые наложены ограничения на использование.

Данный раздел предназачен для управления VIP Абонентами.

Перейдите в раздел "Исключение IP & АС"→"VIP Абоненты".

В форме создания VIP Абонента:

• Выберите в выпадающем списке тип IP или Login;
• Укажите IP или Login в поле Абонент, в зависимости от того, что вы выбрали в выпадающем списке;
• Вы можете применить правило к ISP из списка и выбрать несколько ISP или же нажать на кнопку "Выбрать все". Если вы случайно нажали кнопку "Выбрать все", то нажмите на кнопку "Снять все";
• Если ваш ползунок выключен на применении к определенным ISP, то новое правило будет установлено глобально на всех ISP.

Сохраните VIP Абонента путем нажатия кнопку "Добавить".

Нажмите на кнопку "Редактировать VIP Абонента". В форме редактирования правила есть возможность изменить:

• Применение к определенным ISP из списка;
• Убрать или добавить ISP.

Сохраните изменения путем нажатия кнопки "Сохранить".

В списке VIP Абонентов нажмите на кнопку "Удалить VIP Абонента" и, в появившемся окне, подтвердите либо отмените удаление.

Перейдите в раздел "Профили ISP и IGW"→"Список ISP".

Для добавления нового профиля IGW перейдите в раздел "Профили ISP и IGW"→"Добавить профиль ISP".

В форме укажите:

• Имя профиля ISP;
• Выберите бордер из представленного списка;
• Логин, который будет использоваться на узле DPI;
• Префикс для списков на узле DPI(будет использоваться как имя профиля услуг на узле);
• Выберите используемые мосты выбранного бордера;
• Выберите Обучение сети для получения адресов данного профиля;
• Укажите адрес/сети данного ISP (при необходимости).

Нажмите кнопку "Сохранить изменения" или "Сохранить и Отключить/Включить".

В разделе "Профили ISP и IGW"→"Список ISP" нажмите кнопку "Редактировать профиль".

Откроется форма создания/редактирования профиля ISP, внесите ,необходимые Вам, изменения и нажмите кнопку "Сохранить изменения" или "Сохранить и Отключить/Включить".

В разделе "Профили ISP и IGW"→"Список ISP" нажмите кнопку "Удалить" и подтвердите/отмените действие.

Перейдите в раздел "Приложения и полисинги"→"Профили полисинга".

Нажмите на кнопку "Редактировать полисинг".

В открывашейся форме редактирования полисинга:

• Введите описание профиля;
• Выберите тип полисинга TBF/HTB (в зависимости от выбранного типа форма со значениями по классам будет выглядеть по-разному)

Для того, чтобы сохранить изменения профиля, нажмите кнопку "Сохранить профиль" либо "Сохранить и отключить/включить".

Удалить профиль можно либо путем нажатия кнопки "Удалить профиль" в списке профилей полисингов либо на странице редактирования профиля нажатием кнопки "Удалить профиль".

Перейдите в раздел "Фильтр WEB и IP".

• Для создания нового правила блокировка ресурса перейдите в раздел "Фильтр WEB и IP"→"Добавить новое правило";
• Для внесения изменений в существующее правило перейдите в раздел "Фильтр WEB и IP" и нажмите на кнопку "Редактировать правило".

В открывшейся форме:

• Выберите регулятор;
• Выберите категорию;
• Введите публичное описание правила;
• Введите скрытое описание правила;

В форме проверки/валидации ресурса введите ресурс и выберите его тип:

• В случае, если нет необходимости в проверке/валидации ресурса нажмите "Добавить в список";
• Нажмите кнопку "Проверить". Будет произведен вывод информации по ресурсу, которую можно будет добавить в список блокировок по этому правилу нажатием кнопки "Добавить в список".

В подразделе привязки правила к профилям ISP:

• В случае, если опция "Применит правило к ISP из списка" отключена, данное правило считается глобальным и ресурсы из данного правила включаются в глобальные списки заблокированных ресурсов.
• В случае, если опция "Применит правило к ISP из списка" включена, данное правило применяется только к ISP профилям, которые отмечены в данном правиле и ресурсы из данного правила включаются в списки блокировок по этим ISP профилям.

Перейдите в раздел «Фильтр WEB и IP» и нажмите на кнопку «Редактировать правило».

Перейдите в раздел "Фильтр WEB и IP"→"Проверить домен".

В поле ввода "Проверка ресурса" введите URL ресурса, информацию о котором Вы хотите проверить, и нажмите кнопку "Проверить". Под формой выведется информация о введенном Вами ресурсе:

• SSL/TLS, тип блокировки;
• Информация о сертификате;
• Список DNS;
• Рекомендации о значениях, которые нужно использовать для блокировки данного ресурса.

Перейдите в раздел "Фильтр WEB и IP"→"Поиск по базе".

В поле "IP,CIDR,Домен, Комментарий" введите значение в соответствии с подсказками вверху страницы, выберите тип поиска: Полный текст, По ресурсами или По описанию. Нажмите на кнопку "Поиск".

В результате поиска отобразятся все правила блокировок, которые соответствуют выбранным параметрам поиска.

Перейдите в раздел "Белый список".

• Для создания нового правила белого списка перейдите в раздел "Белый список"→"Добавить новое правило";
• Для внесения изменений в существующее правило перейдите в раздел "Белый список" и нажмите на кнопку "Редактировать правило".

В открывшейся форме:

• Выберите регулятор;
• Выберисте категорию;
• Введите публичное описание правила;
• Введите скрытое описание правила;

В форме проверки/валидации ресурса введите ресурс и выберите его тип:

• В случае, если нет необходимости в проверке/валидации ресурса нажмите "Добавить в список";
• Нажмите кнопку "Проверить". Будет произведен вывод информации по ресурсу, которую можно будет добавить в список блокировок по этому правилу нажатием кнопки "Добавить в список".

В подразделе привязки правила к профилям ISP:

• В случае, если опция "Применит правило к ISP из списка" отключена, данное правило считается глобальным и ресурсы из данного правила применяются ко всем ISP, у которых включен белый список.
• В случае, если опция "Применит правило к ISP из списка" включена, данное правило применяется только к ISP профилям, которые отмечены в данном правиле.

Перейдите в раздел «Белый список» и нажмите на кнопку «Редактировать правило».

Перейдите в раздел "Белый список"→"Режим".

• При включенном глобальном режиме белого списка услуга белого списка применяется на все ISP профили и списки ресурсов формируются только из глобальных правил белого списка;
• При включенном режиме белого списка по отдельному профилю ISP услуга белого списка применяется только к ISP, у которого она включена и списки ресурсов формируются только из правил белого списка, в которых отмечен этот ISP профиль;
• В случае комбинации включенных режимов глобального белого списка и билого списка по отдельному профилю ISP происходит конкатенация списков ресурсов для глобальных правил и правил, в которых отмечен ISP профиль. Для остальных ISP применяется услуга белого списка с использованием только глобальных правил белого списка.

Перейдите в раздел "Поиск по базе".

В поле "IP,CIDR,Домен, Комментарий" введите значение в соответствии с подсказками вверху страницы, выберите тип поиска: Полный текст, По ресурсами или По описанию. Нажмите на кнопку "Поиск".

В результате поиска отобразятся все правила (с указанием типа правила), которые соответствуют выбранным параметрам поиска.

Перейдите в раздел "Состояние системы".

В данном разделе отображается очередь выполнения задач, статус и время. Для того, чтобы увидеть детали выполнения задачи нажмите на "Детали задачи".

Логи по данному разделу хранятся в файлах:

/var/www/html/dpiui2/backend/storage/logs/ulr*.log