Интерфейс управления правилами фильтрации предназначен для управления правилами фильтрации на некскольких DPI одновременно с помощью графического интерфейса.

Для подсистемы можно использовать оборудование или виртуальные машины со сл.характеристиками:

1. Процессор (CPU) 2.5 ГГц, 1 шт
2. Оперативная память (RAM) 512 Мб - 1 Гб
3. Жесткий диск (HDD) 50 Гб - 250 Гб
4. Операционная система Cent OS 7+ (не ставьте minimal, иначе большинство зависимостей придется руками ставить)
5. Сетевая плата (NIC) от 10 Mб/сек

Настройка подсистемы выполняется через файл .env

/var/www/html/dpiui2/backend/.env

Содержимое файла следующее:

#URL редиректа для услуги "Белый список"
ULR_WHITE_LIST_REDIRECT_URL=https://google.com

#Период очистки данных Ulr задач в днях
ULR_QUEUE_DELETE_TASKS_DAYS_INTERVAL=1

#ASN для правил IP-исключений.
ULR_IP_EXCLUDE_ASN=64401

#Хост для выгрузки списка блокируемых ресурсов. Для подключения к серверу блокируемых ресурсов.
ULR_BLACK_LIST_DEPLOY_HOST=<IP адресс или хост Web сервера глобальных блокировок>

#Порт для выгрузки списка блокируемых ресурсов. Для подключения к серверу блокируемых ресурсов.
ULR_BLACK_LIST_DEPLOY_PORT=22

#Имя пользователя для выгрузки списка блокируемых ресурсов. Для подключения к серверу блокируемых ресурсов.
ULR_BLACK_LIST_DEPLOY_USER=default

#Пароль для выгрузки списка блокируемых ресурсов. Для подключения к серверу блокируемых ресурсов
ULR_BLACK_LIST_DEPLOY_PASS=

#Использовать sudo при выгрузке списка блокируемых ресурсов. (0 - не использовать, 1 - использовать)
ULR_BLACK_LIST_DEPLOY_SUDO=1

#Путь для сохранения черных списков.
ULR_BLACK_LIST_DEPLOY_PATH=/var/www/html/blacklists/

#Уровень детализации логов.(0 - инфо, 1 - отладка, 2 - трассировка)
ULR_LOAD_LOG_LEVEL=0

php /var/www/html/dpiui2/backend/artisan queue:restart

Для того, чтобы получить возможность пользоваться Интерфейсом управления правилами фильтрации необходимо активировать лицензию Ulr-раздела в DPIUI2.

Для этого необходимо выполнить команду:

dpiui2 ulr_lic --make=1

Далее:

1. Ввести уровень лицензии standard;
2. Ввести дату завершения лицензии в формате Y-m-d (например 2099-12-31);
3. Ввести пароль от лицензии.

В случае, если Вами были введены корректные данные, выведется сообщение об успешной активации лицензии для Ulr-раздела:

dpiui2 ulr_lic --make=1
 Enter level:
 > standard

 Enter expire date in Y-m-d format:
 > 2099-12-31

 Enter password:
 > 

stdClass Object
(
    [success] => 1
)

В интрефейсе DPIUI2 перейдите в раздел Администратор→Роли. Создайте новую роль и устновите в ней права на чтение и запись в разделе ulr_admin как на изображении ниже.

Далее, перейдите в раздел Администратор→Пользователи. Создайте нового пользователя и установите ему роль, которую вы создали ранее.

При авторизации от имени этого пользователя, он будет переключен в раздел управления правилами фильтрации.

В разработке.

• Справочник категорий
• Справочник регуляторов

В интерфейсе управления провилами фильтрации перейдите в раздел Справочники→Категории.

В форме введите название категории, ее описание и нажмите кнопку «Добавить запись».

В таблице с категориями нажмите на кнопку редактирования категории, чтобы открылась форма редактирования. В форме измените название и/или описание категории, после чего нажмите кнопку «Сохранить запись».

В таблице с категориями нажмите на кнопку удаления категории. В появившемся окне подтвердите или отмените действие.

В интерфейсе управления провилами фильтрации перейдите в раздел Справочники→Регуляторы.

В форме введите название регулятора, его описание и нажмите кнопку «Добавить запись».

В таблице со списком регуляторов нажмите на кнопку редактирования регулятора, чтобы открылась форма редактирования. В форме измените название и/или описание регулятора, после чего нажмите кнопку «Сохранить запись».

В таблице со списком регуляторов нажмите на кнопку удаления записи. В появившемся окне подтвердите или отмените действие.

Перейдите в раздел «Профили ISP и IGW»→«Список IGW».

Для добавления нового профиля IGW перейдите в раздел «Профили ISP и IGW»→«Добавить профиль IGW».

В форме укажите:

• Имя профиля;
• Режим работы (Snadalone/Cluster)
• Узлы для профиля (Имя узла, DPI оборудование из списка доступных и количество мостов)

В разделе «Профили ISP и IGW»→«Список IGW» нажмите кнопку «Редактировать профиль».

Откроется форма создания/редактирования профиля IGW, внесите необходимые Вам изменения и нажмите «Сохранить изменения».

В разделе «Профили ISP и IGW»→«Список IGW» нажмите кнопку «Удалить» и подтвердите/отмените действие.

1. Подготовить машину с установленной CentOS7+

2. Создать sudo пользователя

3. Запустите следующий скрипт:

rpm --import http://vasexperts.ru/centos/RPM-GPG-KEY-vasexperts.ru
rpm -Uvh http://vasexperts.ru/centos/6/x86_64/vasexperts-repo-1-0.noarch.rpm
yum install dpiutils -y
yum install httpd -y
yum install unzip -y

mkdir /var/www/html/blacklists
chmod -R 777 /var/www/html/blacklists

echo "
<VirtualHost *:80>
    DocumentRoot \"/var/www/html/blacklists\"

    <proxy *>
    Order deny,allow
    Allow from all
    </proxy>
</VirtualHost>
" > /etc/httpd/conf.d/bl_lists.conf

firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --reload

systemctl enable httpd.service
systemctl restart httpd.service

4. В конфигурации dpiui2 в разделе Ulr настроек указать данные для доступа к Web-серверу

5. В настройках всех подключенных FastDPI-серверов указать путь к Custom спискам блокировок:

# Словарь URL для блокирования по протоколу HTTP (custom_url_black_list)
custom_url_black_list=http://<IP адрес Web-сервера>/blacklist.dict

# Словарь имен для блокирования протокола HTTPS по сертификату (custom_cname_black_list)
custom_cname_black_list=http://<IP адрес Web-сервера>/blacklistcn.dict

# Словарь IP адресов для блокирования протокола HTTPS по IP (custom_ip_black_list)
custom_ip_black_list=http://<IP адрес Web-сервера>/blacklistip.dict

# Словарь имен хостов для блокирования HTTPS по SNI (custom_sni_black_list)
custom_sni_black_list=http://<IP адрес Web-сервера>/blacklistsni.dict

Перейдите в раздел «Приложения и полисинги»→«Правила DSCP».

В форме создания правила:

• Введите имя протокола приложения и выберите нужный из представленного списка;
• Выберите приоритет из представленного списка.

Сохраните правило путем нажатия кнопки «Установить DSCP».

В списке правил DSCP нажмите на кнопку «Редактировать правило». В открывшейся форме редактирования правила DSCP задайте необходимый приоритет и сохраните изменения нажатием кнопки «Установить DSCP».

В списке правил DSCP нажмите на кнопку «Удалить правило» и, в появившемся окне, подтвердите либо отмените действие.

Перейдите в раздел «Фильтр номеров АС».

В форме создания правила:

• Укажите номер АС;
• Выберите приоритет из представленного списка;
• Укажите название правила;
• Укажите описание правила;

Сохраните правило путем нажатия кнопки «Установить DSCP».

В списке правил DSCP в направлении ASN нажмите на кнопку «Редактировать правило». В открывшейся форме редактирования правила DSCP в направлении ASN при необходимости:

• Выберите приоритет из представленного списка;
• Укажите название правила;
• Укажите описание правила;

Сохраните изменения путем нажатия кнопки «Установить DSCP».

В списке правил DSCP в направлении ASN нажмите на кнопку «Удалить правило» и, в появившемся окне, подтвердите либо отмените действие.

Перейдите в раздел «Исключение IP & АС».

Перейдите в раздел «Исключение IP & АС»→«Исключение IP».

В форме создания правила:

• Укажите IP/CIDR;
• Укажите название правила;
• Укажите описание правила;

Сохраните правило путем нажатия кнопки «Установить исключение».

Нажмите на кнопку «Редактировать исключение». В форме редактирования правила есть возможность изменить:

• название правила;
• описание правила.

Сохраните изменения путем нажатия кнопки «Установить DSCP».

В списке исключений нажмите на кнопку «Удалить исключение» и, в появившемся окне, подтвердите либо отмените удаление.

Перейдите в раздел «Исключение IP & АС»→«Исключение номеров АС».

В форме создания правила:

• Укажите номер АС;
• Укажите название правила;
• Укажите описание правила;

Сохраните правило путем нажатия кнопки «Установить исключение».

Нажмите на кнопку «Редактировать правило». В форме редактирования правила есть возможность изменить:

• название правила;
• описание правила.

Сохраните изменения путем нажатия кнопки «Установить DSCP».

В списке исключений нажмите на кнопку «Удалить правило» и, в появившемся окне, подтвердите либо отмените удаление.

Перейдите в раздел «Профили ISP и IGW»→«Список ISP».

Для добавления нового профиля IGW перейдите в раздел «Профили ISP и IGW»→«Добавить профиль ISP».

В форме укажите:

• Имя профиля ISP;
• Выберите бордер из представленного списка;
• Логин, который будет использоваться на узле DPI;
• Префикс для списков на узле DPI(будет использоваться как имя профиля услуг на узле);
• Выберите используемые мосты выбранного бордера;
• Выберите Обучение сети для получения адресов данного профиля;
• Укажите адрес/сети данного ISP (при необходимости).

Нажмите кнопку «Сохранить изменения» или «Сохранить и Отключить/Включить».

В разделе «Профили ISP и IGW»→«Список ISP» нажмите кнопку «Редактировать профиль».

Откроется форма создания/редактирования профиля ISP, внесите ,необходимые Вам, изменения и нажмите кнопку «Сохранить изменения» или «Сохранить и Отключить/Включить».

В разделе «Профили ISP и IGW»→«Список ISP» нажмите кнопку «Удалить» и подтвердите/отмените действие.

Перейдите в раздел «Приложения и полисинги»→«Профили полисинга».

Нажмите на кнопку «Редактировать полисинг».

В открывашейся форме редактирования полисинга:

• Введите описание профиля;
• Выберите тип полисинга TBF/HTB (в зависимости от выбранного типа форма со значениями по классам будет выглядеть по-разному)

Для того, чтобы сохранить изменения профиля, нажмите кнопку «Сохранить профиль» либо «Сохранить и отключить/включить».

Удалить профиль можно либо путем нажатия кнопки «Удалить профиль» в списке профилей полисингов либо на странице редактирования профиля нажатием кнопки «Удалить профиль».

Перейдите в раздел «Фильтр WEB и IP».

• Для создания нового правила блокировка ресурса перейдите в раздел «Фильтр WEB и IP»→«Добавить новое правило»;
• Для внесения изменений в существующее правило перейдите в раздел «Фильтр WEB и IP» и нажмите на кнопку «Редактировать правило».

В открывшейся форме:

• Выберите регулятор;
• Выберисте категорию;
• Введите публичное описание правила;
• Введите скрытое описание правила;

В форме проверки/валидации ресурса введите ресурс и выберите его тип:

• В случае, если нет необходимости в проверке/валидации ресурса нажмите «Добавить в список»;
• Нажмите кнопку «Проверить». Будет произведен вывод информации по ресурсу, которую можно будет добавить в список блокировок по этому правилу нажатием кнопки «Добавить в список».

В подразделе привязки правила к профилям ISP:

• В случае, если опция «Применит правило к ISP из списка» отключена, данное правило считается глобальным и ресурсы из данного правила включаются в глобальные списки заблокированных ресурсов.
• В случае, если опция «Применит правило к ISP из списка» включена, данное правило применяется только к ISP профилям, которые отмечены в данном правиле и ресурсы из данного правила включаются в списки блокировок по этим ISP профилям.

Перейдите в раздел «Фильтр WEB и IP» и нажмите на кнопку «Редактировать правило».

Перейдите в раздел «Фильтр WEB и IP»→«Проверить домен».

В поле ввода «Проверка ресурса» введите URL ресурса, информацию о котором Вы хотите проверить, и нажмите кнопку «Проверить». Под формой выведется информация о введенном Вами ресурсе:

• SSL/TLS, тип блокировки;
• Информация о сертификате;
• Список DNS;
• Рекомендации о значениях, которые нужно использовать для блокировки данного ресурса.

Перейдите в раздел «Фильтр WEB и IP»→«Поиск по базе».

В поле «IP,CIDR,Домен, Комментарий» введите значение в соответствии с подсказками вверху страницы, выберите тип поиска: Полный текст, По ресурсами или По описанию. Нажмите на кнопку «Поиск».

В результате поиска отобразятся все правила блокировок, которые соответствуют выбранным параметрам поиска.

Перейдите в раздел «Белый список».

• Для создания нового правила белого списка перейдите в раздел «Белый список»→«Добавить новое правило»;
• Для внесения изменений в существующее правило перейдите в раздел «Белый список» и нажмите на кнопку «Редактировать правило».

В открывшейся форме:

• Выберите регулятор;
• Выберисте категорию;
• Введите публичное описание правила;
• Введите скрытое описание правила;

В форме проверки/валидации ресурса введите ресурс и выберите его тип:

• В случае, если нет необходимости в проверке/валидации ресурса нажмите «Добавить в список»;
• Нажмите кнопку «Проверить». Будет произведен вывод информации по ресурсу, которую можно будет добавить в список блокировок по этому правилу нажатием кнопки «Добавить в список».

В подразделе привязки правила к профилям ISP:

• В случае, если опция «Применит правило к ISP из списка» отключена, данное правило считается глобальным и ресурсы из данного правила применяются ко всем ISP, у которых включен белый список.
• В случае, если опция «Применит правило к ISP из списка» включена, данное правило применяется только к ISP профилям, которые отмечены в данном правиле.

Перейдите в раздел «Белый список» и нажмите на кнопку «Редактировать правило».

Перейдите в раздел «Белый список»→«Режим».

• При включенном глобальном режиме белого списка услуга белого списка применяется на все ISP профили и списки ресурсов формируются только из глобальных правил белого списка;
• При включенном режиме белого списка по отдельному профилю ISP услуга белого списка применяется только к ISP, у которого она включена и списки ресурсов формируются только из правил белого списка, в которых отмечен этот ISP профиль;
• В случае комбинации включенных режимов глобального белого списка и билого списка по отдельному профилю ISP происходит конкатенация списков ресурсов для глобальных правил и правил, в которых отмечен ISP профиль. Для остальных ISP применяется услуга белого списка с использованием только глобальных правил белого списка.

Перейдите в раздел «Поиск по базе».

В поле «IP,CIDR,Домен, Комментарий» введите значение в соответствии с подсказками вверху страницы, выберите тип поиска: Полный текст, По ресурсами или По описанию. Нажмите на кнопку «Поиск».

В результате поиска отобразятся все правила (с указанием типа правила), которые соответствуют выбранным параметрам поиска.

Перейдите в раздел «Состояние системы».

В данном разделе отображается очередь выполнения задач, статус и время. Для того, чтобы увидеть детали выполнения задачи нажмите на «Детали задачи».

Логи по данному разделу хранятся в файлах:

/var/www/html/dpiui2/backend/storage/logs/ulr*.log