Управление [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Ссылки сюда
  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Ссылки сюда
    • СКАТDPIФильтрация по реестру запрещенных сайтовУправлениеУправление

    Это старая версия документа!

    Управление

    По умолчанию фильтрация применяется ко всему проходящему трафику.

    Если вы хотите фильтровать трафик только отдельных абонентов, или исключить фильтрацию транзитного трафика, или предоставлять фильтрацию другим операторам как услугу, то для управления данной услугой нужно активировать SM-Subscriber Management.

    Активация управления услуги фильтрации на уровне абонентов - Subscriber Management

    В конфигурационном файле /etc/dpi/fastdpi.conf указываем настройку: 

    black_list_sm=1

    где

    • значение 1 означает, что услуга по умолчанию всем выключена, а включать услугу нужно через fdpi_ctrl
    • другое значение означает, что услуга по умолчанию всем включена, а отключать услугу нужно через fdpi_ctrl

    Дальнейшее управление данным сервисом на уровне отдельных абонентов осуществляется с помощью Команды управления fdpi_ctrl

    Услуга фильтрации имеет два варианта подключения:

    1. Профиль по умолчанию: глобальная настройка на устройство, подключается услугой без указания профиля.
    2. Именованный профиль: подключается через услугу с указанием имени профиля.
    Для BRAS необходимо использовать именованные профили имя, которых указывается в атрибутах Radius-Accept.

    Формат команды: 

    fdpi_ctrl команда --service 4 [список опций] [список_IP или login]
    Подробнее синтаксис команд и способы задания IP адресов описаны в разделе Команды управления
    При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо включить параметр udp_block.

    Пример для профиля по умолчанию

    Отключить фильтрацию для администратора если black_list_sm=2 

    fdpi_ctrl load --service 4 --ip 192.168.0.1

    Подключить услугу для автономной системы AS50538 (black_list_sm=1) c профилем по умолчанию (заданном в конфигурационном файле /etc/dpi/fastdpi.conf) 

    fdpi_ctrl load --service 4 --cidr 37.110.240.0/21 --cidr 109.235.216.0/21

    Пример для именованного профиля

    Создание профиля с именем и подключение услуги блокировки с профилем для нескольких абонентов 

    fdpi_ctrl load profile --service 4  --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "sni_list" : "http://mysite.ru/myfilesni.bin", "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : true }'
fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.1
fdpi_ctrl load --service 4 --profile_name test_black --ip 192.168.0.2

    где в формате json задаются следующие настройки профиля:

    • redirect - страница переадресации1)
    • federal : true/false использовать или нет федеральный список блокировки
    • url_list - список блокировки с URL
    • sni_list - список блокировки по имени хоста (SNI)
    • ip_list - список блокировки с IP:PORT2)
    • cn_list - список блокировки Common Name3)

    Список может быть размещен как на внешнем ресурсе, тогда он загружается перед использованием, так и в локальном файле, например, "cn_list" : "/tmp/cn_list.bin"

    Поиск абонентов, которым подключено оповещение с заданным именем профиля 

    fdpi_ctrl list all --service 4 --profile.name test_black

    Удаление именованного профиля (не должно быть абонентов, которые его используют) 

    fdpi_ctrl del profile --service 4  --profile.name test_black

    Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги) 

    fdpi_ctrl load profile --service 4 --profile.name test_black --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "http://mysite.ru/block", "federal" : false }'

    Максимальное количество профилей для черных списков задается настроечным параметром в /etc/dpi/fastdpi.conf 

    max_profiles_black_list=64

    где 64 значение по умолчанию, а 65535 максимально возможное значение

    Это холодный параметр и его изменение требует рестарта.

    Активация услуги по блокировке IPv6 трафика

    Формат команды: 

    fdpi_ctrl команда --service 49 [список опций] [список_IP или login]
    Подробнее синтаксис команд и способы задания IP адресов описаны в разделе Команды управления

    Подключить услугу: 

    fdpi_ctrl load --service 49 --login DEMO

    или 

    fdpi_ctrl load --service 49 --vchannel 1
    При активации услуги блокируется только TCP трафик. Чтобы блокировать и UDP трафик, необходимо включить параметр udp_block.

    Настройка блокировки протоколов TCP и UDP

    Параметр udp_block отвечает за блокировку протокола UDP. Если в конфигурационном файле DPI /etc/dpi/fastdpi.conf есть этот параметр — то происходит блокировка TCP+UDP, если нет — блокируется только TCP.

    Чтобы начать блокировать протоколы UDP (например, QUIC), необходимо добавить в конфигурационный файл параметр udp_block со значением 2 или 3 (начать блокировку после двух или трёх прошедших пакетов). Такие значения устанавливаются так как бывает, что проходит большое количество одиночных пакетов, которые не учитываются в трафике, но могут вызвать сильную нагрузку на DPI. 

    udp_block=3

    Добавление параметра не требует рестарта DPI, достаточно сделать reload: 

    service fastdpi reload
    1)
    доп. праметры можно дописать (по правилам http) только после ? или &, их надо обязательно указывать в url для белого списка и тут надо подумать за dpi,иначе dpi припишет /?
    2) , 3)
    проверка по ip:port или cname осуществляется если в запросе отсутствуют url или sni