Управление [Документация VAS Experts]

Управление

По умолчанию фильтрация применяется ко всему проходящему трафику.

Если вы хотите фильтровать трафик только отдельных абонентов, или исключить фильтрацию транзитного трафика, или предоставлять фильтрацию другим операторам как услугу, то для управления данной услугой нужно активировать SM-Subscriber Management.

Активация управления услуги фильтрации на уровне абонентов - Subscriber Management

В конфигурационном файле /etc/dpi/fastdpi.conf указываем настройку:

black_list_sm=1

где

  • значение 1 означает, что услуга по умолчанию всем выключена, а включать услугу нужно через fdpi_ctrl
  • другое значение означает, что услуга по умолчанию всем включена, а отключать услугу нужно через fdpi_ctrl

Дальнейшее управление данным сервисом на уровне отдельных абонентов осуществляется с помощью Команды управления fdpi_ctrl

Услуга фильтрации имеет два варианта подключения:

  1. Профиль по умолчанию: глобальная настройка на устройство, подключается услугой без указания профиля.
  2. Именованный профиль: подключается через услугу с указанием имени профиля.
Для BRAS необходимо использовать именованные профили имя, которых указывается в атрибутах Radius-Accept.

Формат команды:

fdpi_ctrl команда --service 4 [список опций] [список_IP или login]
Подробнее синтаксис команд и способы задания IP адресов описаны в разделе Команды управления
При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо включить параметр udp_block.

Пример для профиля по умолчанию

Отключить фильтрацию для администратора если black_list_sm=2

fdpi_ctrl load --service 4 --ip 192.168.0.1

Подключить услугу для автономной системы AS50538 (black_list_sm=1) c профилем по умолчанию (заданном в конфигурационном файле /etc/dpi/fastdpi.conf)

fdpi_ctrl load --service 4 --cidr 37.110.240.0/21 --cidr 109.235.216.0/21

Пример для именованного профиля

Создание профиля с именем и подключение услуги блокировки с профилем для нескольких абонентов

fdpi_ctrl load profile --service 4  --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "sni_list" : "http://mysite.ru/myfilesni.bin", "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : true }'
fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.1
fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.2

где в формате json задаются следующие настройки профиля:

  • redirect - страница переадресации1)
  • federal : true/false использовать или нет федеральный список блокировки
  • url_list - список блокировки с URL
  • sni_list - список блокировки по имени хоста (SNI)
  • ip_list - список блокировки с IP:PORT2)
  • cn_list - список блокировки Common Name3)

Список может быть размещен как на внешнем ресурсе, тогда он загружается перед использованием, так и в локальном файле, например, "cn_list" : "/tmp/cn_list.bin"

Поиск абонентов, которым подключено оповещение с заданным именем профиля

fdpi_ctrl list all --service 4 --profile.name test_black

Удаление именованного профиля (не должно быть абонентов, которые его используют)

fdpi_ctrl del profile --service 4  --profile.name test_black

Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги)

fdpi_ctrl load profile --service 4 --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : false }'

Максимальное количество профилей для черных списков задается настроечным параметром в /etc/dpi/fastdpi.conf

max_profiles_black_list=64

где 64 значение по умолчанию, а 65535 максимально возможное значение

Это холодный параметр и его изменение требует рестарта.

Активация услуги по блокировке IPv6 трафика

Формат команды:

fdpi_ctrl команда --service 49 [список опций] [список_IP или login]
Подробнее синтаксис команд и способы задания IP адресов описаны в разделе Команды управления

Подключить услугу:

fdpi_ctrl load --service 49 --login DEMO

или

fdpi_ctrl load --service 49 --vchannel 1
При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо включить параметр udp_block.
1)
доп. праметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url для белого списка и тут надо подумать за dpi,иначе dpi припишет /?
2) , 3)
проверка по ip:port или cname осуществляется если в запросе отсутствуют url или sni