Создание и настройка DPI-списков EcoNAT Documentation / Создание и настройка DPI-списков
Настройка подсистемы DPI производится в ветке system.dpi. Включение и выключение подсистемы DPI производится непосредственно в ветке system.dpi командами enable и disable соответственно.
В заводской конфигурации ветка system.dpi имеет следующий вид:
EcoSGE:system.dpi# ls
disable
functionality_mode normal_nat
rkn
{
source rkn
login ""
password ""
list_number none
list_number_soc none
proxy ""
upload_dump_server ""
}
revisors ( )
shortlist
{
disable
timeskew utc
server_ip_and_port 0.0.0.0:0
}
block_fast_response on
blocked_session_timeout
{
tcp 300
udp 300
icmp 60
other 300
}
В таблице ниже описаны параметры ветки system.dpi в заводской конфигурации.
| Параметр | Описание |
|---|---|
| { enable | disable } | Состояние подсистемы DPI: включена (enable) или выключена (disable) |
| functionality_mode | Режим работы в зависимости от схемы подключения EcoSGE:
Подробная информация содержится в разделе "Зависимость работы EcoSGE от схемы подключения" |
| rkn | Подгруппа параметров для настройки фильтрации по реестру Роскомнадзора |
| shortlist | Подгруппа параметров для настройки логирования срабатывания DPI-списков (см. раздел "Shortlist") |
| block_fast_response | Включение/выключение обработки незапрошенных HTTP-ответов (см. раздел "Обработка незапрошенных HTTP-ответов") |
| blocked_session_timeout { tcp | udp | icmp | other } <value> | Позволяет задать тайм-ауты в секундах для заблокированных сессий TCP, UDP, ICMP и других протоколов, инкапсулированных в IP (подгруппа "Other"). По истечении тайм-аута заблокированная сессия будет закрыта, а соответствующая ей запись будет удалена из общей таблицы сессий |
В заводской конфигурации ветка system.dpi не содержит параметров, определяющих то, с каких IP-адресов подсистема DPI должна анализировать трафик и какие действия выполнять при обнаружении этого трафика. Поэтому необходимо создать один или несколько DPI-списков.
Для создания DPI-списка необходимо отправить команду create dpilist N, где N – номер из установленного диапазона (в стандартной конфигурации – от 0 до 24; по требованию заказчика количество поддерживаемых DPI-списков может быть увеличено; максимум – 1000). После выполнения данной команды (например, create dpilist 0) в ветку system.dpi будет добавлена дочерняя ветка dpilistN со следующим набором параметров:
EcoSGE:system.dpi# ls
...
dpilist0
{
disable
whitelist_mode off
log_matches off
log_pictures off
exceptions off
direction egress
behaviour block
redirect_use_interval off
redirect_interval 600
redirect_interval_url 2592000
redirect_url " "
tls_esni_match on
color_direction both
color_tos_byte 32
download_url " "
update_schedule never
protocols ( )
quic_sni_match off
acl none
aclv6 none
}
Любой DPI-список можно отдельно включить или выключить командами enable и disable, выполненными в ветке его параметров.
При создании и настройке нескольких DPI-списков следует помнить, что они применяются в порядке убывания приоритета (возрастания номера).
Для удаления DPI-списка необходимо отправить команду no dpilist N, где N – номер от 0 до 24.
В таблице ниже дано описание параметров DPI-списка.
| Параметр | Описание |
|---|---|
enable / disable | Определяет состояние списка: enable – включён, disable – выключен |
whitelist_mode | Задаёт тип загружаемого списка интернет-ресурсов (см. параметр download_url ниже). Чёрный список (значение off) определяет, к каким ресурсам доступ запрещён. Белый список (значение on), наоборот, разрешает доступ только к перечисленным ресурсам и, например, может быть использован для организации «детского интернета». Белый список может содержать только IP-адреса, только URL или IP-адреса и URL. Если список содержит IP-адреса и URL, то для каждого URL должен быть прописан соответствующий IP-адрес (адреса), в который он будет преобразовываться. Если список содержит только URL, то IP-адреса прописывать не надо. |
log_matches | Определяет, будет ли выполняться логирование обращений к запрещённым адресам. Значения: on, off |
log_pictures | Определяет, будет ли выполняться логирование изображений на сайтах. Учитываются форматы *.bmp, *.gif, *.jpeg, *.jpg, *.png, *.tif, *.tiff. Значения: on, off |
exceptions | Применяет список исключений к данному DPI-списку. Значения: on, off. См. раздел "Настройка исключений". |
| direction | Определяет, на каком направлении необходимо анализировать трафик. Возможные значения:
|
behaviour | Определяет действие, применяемое к трафику при срабатывании условия чёрного списка или несрабатывании условия белого списка:
|
redirect_use_interval | Включает использование таймеров перенаправления. При выключении этого параметра перенаправление будет выполняться при каждой попытке зайти на любой адрес из списка. Значения: on, off |
redirect_interval | Интервал между перенаправлениями для сайтов из списка, в секундах. По умолчанию 10 минут (600). После первого перенаправления все остальные сайты из списка будут в течение 10 минут открываться в обычном режиме |
redirect_interval_url | Интервал между перенаправлениями одной и той же страницы, в секундах. По умолчанию 30 суток (2592000). При попытке зайти на страницу из списка срабатывает перенаправление. После этого данная страница будет открываться в обычном режиме в течение 30 суток. Затем снова сработает перенаправление |
redirect_url | URL, куда будет перенаправлено HTTP-соединение, если условие списка сработало (для чёрного списка) или не сработало (для белого списка). EcoSGE позволяет добавлять в адресную строку спецификаторы, указывающие на клиента. Что позволяет персонализировать страницу переадресации. Возможные спецификаторы: %c - передавать в redirect_url callback-id, полученный от RADIUS-сервера; Формат ввода параметра redirect_url: <URL>/?<VAR_NAME1>=<SPEC1>&<VAR_NAME2>= <SPEC2>..<VAR_NAMEN>=<SPECN> где URL - адрес страницы, на которую осуществляется перенаправление, VAR_NAME1 .. VAR_NAMEN - имя переменной, SPEC1 .. SPECN - спецификатор. Например, http://example.com/?var1=%u&ip=%i&qwe=%v2. Если при таком значении параметра клиент попробует обратиться на адрес forbidden.com, то он будет перенаправлен на адрес: http://example.com/?var1= forbidden.com&ip=10.1.1.10&qwe=0 |
| tls_esni_match | Включение (on) / выключение (off) распознавания TLS-пакетов с полем ESNI (Encrypted SNI) в заголовке. По умолчанию включено |
color_direction | Маркируемое направление трафика:
|
color_tos_byte | Значение, которое будет устанавливаться в поле type of service в заголовке пакета. Задаётся в десятичном формате |
download_url | URL, откуда будет выгружаться список интернет-ресурсов в случае автообновления (поддерживаются протоколы HTTP, HTTPS, FTP, TFTP). Для DPI-списка, используемого для фильтрации по реестру РКН, – адрес, по которому будет храниться предварительно скачанный реестр РКН. Для работы по HTTPS требуется локальный SSL-сертификат и его привязка к адресу сервера (см. "Хранилище сертификатов SSL") |
update_schedule | Периодичность автоматического обновления списка интернет-ресурсов. Возможные значения: never – никогда не обновлять, interval <SECONDS> – периодичность в секундах. Не рекомендуется задавать значения меньше 300. |
protocols ( ) | Обрабатываемые протоколы (см. раздел "Фильтрация протоколов"). Можно указать несколько протоколов через пробел |
| quic_sni_match | Включение (on) / выключение (off) фильтрации трафика QUIC на основании SNI из загруженного списка фильтрации. По умолчанию off. |
acl aclv6 | ACL для трафика IPv4 и IPv6 соответственно. К трафику, который соответствует разрешающим правилам ACL, будут применяться действия, указанные в настройках данного DPI-списка. Трафик, соответствующий запрещающим правилам ACL, будет отправлен на анализ в следующий по приоритету DPI-список. Если других DPI-списков нет, то трафик будет передан дальше в сеть. По умолчанию обоим параметрам присвоено значение none. Это значение равносильно разрешающему правилу ACL permit ip any any, т. е. заданные действия DPI-списка будут применяться ко всему трафику. |