Это старая версия документа!
Настройки
Изменение настроек или отключение опции осуществляется с помощью редактирования файла конфигурации /etc/dpi/fastdpi.conf
. Все параметры опциональны и имеют значения по умолчанию.
Настройки сервиса фильтрации
Включение автоматической загрузки и применение реестра из облачного сервиса:
federal_black_list=1
Возможные значения:
- 0 или false - отключает автоматическое скачивание списков
- 1 - российский список
- 2 - приватный список оператора из облака VAS Experts
- 3 - белорусский список
Полученные из облачного сервиса списки размещаются в каталоге /var/lib/dpi
под именами1):
blcache.bin
- словарь URL для блокировки HTTP
blcachecn.bin
- словарь имен для блокировки HTTPS по сертификатам
blcacheip.bin
- словарь IP адресов для блокировки HTTPS по IP
blcachesni.bin
- словарь имен для блокировки HTTPS по SNI
Настройка страницы для редиректа:
black_list_redirect=http://operator.ru/blockpage.html
Периодичности проверки обновления черного списка (по умолчанию 1 минута) можно изменить:
timeout_check_new_bl=1
После изменения настроечных параметров нужно сообщить сервису, чтобы он подхватил изменения 4):
Производится изменение только горячих параметров:
service fastdpi reload
Производится изменение всех параметров путем перезапуска сервиса:
service fastdpi restart
При отсутствии Bypass во время перезапуска произойдет кратковременный перерыв в обслуживании (< 1 секунды)
Холодные параметры: black_list_redirect,custom_url_black_list,custom_cn_black_list,custom_ip_black_list,custom_sni_black_list
Подробнее в разделе: Администрирование
Подключение кастомных списков
Оператор может также подключить собственный черный список в дополнение или взамен федеральных списков, предоставляемых в рамках сервиса:
#словарь URL для блокирования по протоколу HTTP custom_url_black_list=http://operator.ru/url_list.dic #словарь имен для блокирования протокола HTTPS по сертификату custom_cname_black_list=http://operator.ru/cn_list.dic #словарь IP адресов для блокирования протокола HTTPS по IP custom_ip_black_list=http://operator.ru/ip_list.dic #словарь имен хостов для блокирования HTTPS по SNI (Server Name Indication) custom_sni_black_list=http://operator.ru/sni_list.dic
В URL возможно задать также протокол ftp и параметры авторизации.
Скачанные по заданным URL списки размещаются в каталоге /var/lib/dpi под именами5):
blcustom.bin
- словарь URL для блокировки HTTP
blcustomcn.bin
- словарь имен для блокировки HTTPS по сертификату
blcustomip.bin
- словарь IP адресов для блокировки HTTPS по IP
blcustomsni.bin
- словарь IP адресов для блокировки HTTPS по SNI
Дополнительная информация
Символ #
в начале строки конфигурационного файла используется для создания строки комментария.
Если сервис используется только в режиме фильтрации по черному списку рекомендуется отключить
анализ отличных от TCP протоколов, что увеличит производительность и уменьшит потребление ресурсов
процессора:
only_tcp=1
Если подготовка черных списков осуществляется на том же компьютере, где работает DPI,
то можно их просто поместить в каталог /var/lib/dpi
под указанными выше именами blcustom.bin
, blcustomsni.bin
, blcustomcn.bin
и blcustomip.bin
Отключение федеральных списков РКН и Минюста:
/var/lib/dpi
. После чего рестартовать сервис.
В конфигурационном файле /etc/dpi/fastdpi.conf
установить параметр:
federal_black_list=false
и удалить локальные списки
rm /var/lib/dpi/blcache.bin rm /var/lib/dpi/blcachecn.bin rm /var/lib/dpi/blcacheip.bin rm /var/lib/dpi/blcachesni.bin
После удаления потребуется рестарт сервиса.
service fastdpi restart
Отключение дополнительных (операторских) списков:
В конфигурационном файле /etc/dpi/fastdpi.conf
закомментировать или удалить параметры
custom_url_black_list, custom_ip_black_list, custom_cname_black_list, custom_sni_black_list
и удалить локальные списки
rm /var/lib/dpi/blcustom.bin rm /var/lib/dpi/blcustomcn.bin rm /var/lib/dpi/blcustomip.bin rm /var/lib/dpi/blcustomsni.bin
Настройки блокировки
В конфигурационный файл /etc/dpi/fastdpi.conf
добавить параметр block_options
.
Значения:
- 1 — блокировать независимо от наличия SNI
- 2 — блокировать все порты на адресе
- 4 — блокировка всего IPv6 (при включенной 4 услуге)
- 8 — не формировать RST-пакеты блокировки и переадресации для направления пакетов
inet–>subs