Управление
Если вы хотите фильтровать трафик только отдельных абонентов, или исключить фильтрацию транзитного трафика, или предоставлять фильтрацию другим операторам как услугу, то для управления данной услугой нужно активировать SM-Subscriber Management.
Активация управления услуги фильтрации на уровне абонентов - Subscriber Management
В конфигурационном файле /etc/dpi/fastdpi.conf указываем настройку:
black_list_sm=1
где
- значение 1 означает, что услуга по умолчанию всем выключена, а включать услугу нужно через fdpi_ctrl
- другое значение означает, что услуга по умолчанию всем включена, а отключать услугу нужно через fdpi_ctrl
Дальнейшее управление данным сервисом на уровне отдельных абонентов осуществляется с помощью Команды управления fdpi_ctrl
Услуга фильтрации имеет два варианта подключения:
- Профиль по умолчанию: глобальная настройка на устройство, подключается услугой без указания профиля.
- Именованный профиль: подключается через услугу с указанием имени профиля.
Формат команды:
fdpi_ctrl команда --service 4 [список опций] [список_IP или login]
udp_block
.
Пример для профиля по умолчанию
Отключить фильтрацию для администратора если black_list_sm=2
fdpi_ctrl load --service 4 --ip 192.168.0.1
Подключить услугу для автономной системы AS50538 (black_list_sm=1) c профилем по умолчанию (заданном в конфигурационном файле /etc/dpi/fastdpi.conf)
fdpi_ctrl load --service 4 --cidr 37.110.240.0/21 --cidr 109.235.216.0/21
Пример для именованного профиля
Создание профиля с именем и подключение услуги блокировки с профилем для нескольких абонентов
fdpi_ctrl load profile --service 4 --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "sni_list" : "http://mysite.ru/myfilesni.bin", "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : true }' fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.1 fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.2
где в формате json задаются следующие настройки профиля:
- redirect - страница переадресации1)
- federal : true/false использовать или нет федеральный список блокировки
- url_list - список блокировки с URL
- sni_list - список блокировки по имени хоста (SNI)
- ip_list - список блокировки с IP:PORT2)
- cn_list - список блокировки Common Name3)
Список может быть размещен как на внешнем ресурсе, тогда он загружается перед использованием, так и в локальном файле, например, "cn_list" : "/tmp/cn_list.bin"
Поиск абонентов, которым подключено оповещение с заданным именем профиля
fdpi_ctrl list all --service 4 --profile.name test_black
Удаление именованного профиля (не должно быть абонентов, которые его используют)
fdpi_ctrl del profile --service 4 --profile.name test_black
Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги)
fdpi_ctrl load profile --service 4 --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : false }'
Максимальное количество профилей для черных списков задается настроечным параметром в /etc/dpi/fastdpi.conf
max_profiles_black_list=64
где 64 значение по умолчанию, а 65535 максимально возможное значение
Активация услуги по блокировке IPv6 трафика
Формат команды:
fdpi_ctrl команда --service 49 [список опций] [список_IP или login]
Подключить услугу:
fdpi_ctrl load --service 49 --login DEMO
или
fdpi_ctrl load --service 49 --vchannel 1
udp_block
.