URL-фильтрация

[Bobr 7]

Планируется ли вернуть URL фильтрацию (как это было на 1 версиях прошивки для старых белых кинетиков) ? в тв начали пихать рекламу в смарт, хочу заблокировать.

[ruschestor 0]

1 минуту назад, sergeyk сказал:

Какую скорость маршрутизации выдает ваше устройство на Tomato при таком работающем компоненте? Что за устройство / процессор?

Устройство - NetGear WNR3500L. Процессор - Broadcom BCM4718.

Не знаю как измерить скорость маршрутизации, но задержки "на глаз" заметны не были.

[sergeyk 167]

1 минуту назад, ruschestor сказал:

Устройство - NetGear WNR3500L. Процессор - Broadcom BCM4718.

Не знаю как измерить скорость маршрутизации, но задержки "на глаз" заметны не были.

speedtest подошел бы.

[ruschestor 0]

В продолжение темы про возможности прошивки Tomato (Tomato Firmware v1.28.7511 MIPSR2Toastman-RT K26 USB Std). Выгрузил из HTML-кода страницы "Access Restriction" переменные со списком возможных протоколов, может пригодится.

layer7 = ['100bao','aim','aimwebcontent','applejuice','ares','armagetron','audiogalaxy','battlefield1942','battlefield2','battlefield2142','bgp','biff','bittorrent','chikka','cimd','ciscovpn','citrix','code_red','counterstrike-source','cvs','dayofdefeat-source','dazhihui','dhcp','directconnect','dns','doom3','edonkey','exe','fasttrack','finger','flash','freenet','ftp','gif','gkrellm','gnucleuslan','gnutella','goboogy','gopher','gtalk','guildwars','h323','halflife2-deathmatch','hddtemp','hotline','html','http-dap','http-freshdownload','http-itunes','http-rtsp','http','httpaudio','httpcachehit','httpcachemiss','httpvideo','ident','imap','imesh','ipp','irc','jabber','jpeg','kugoo','live365','liveforspeed','lpd','mohaa','mp3','msn-filetransfer','msnmessenger','mute','napster','nbns','ncp','netbios','nimda','nntp','ntp','ogg','openft','pcanywhere','pdf','perl','png','poco','pop3','postscript','pplive','pressplay','qq','quake-halflife','quake1','quicktime','radmin','rar','rdp','replaytv-ivs','rlogin','rpm','rtf','rtmp','rtmpt','rtp','rtsp','runesofmagic','shoutcast','sip','skypeout','skypetoskype','smb','smtp','snmp-mon','snmp-trap','snmp','socks','soribada','soulseek','ssdp','ssh','ssl','stun','subspace','subversion','tar','teamfortress2','teamspeak','telnet','tesla','tftp','thecircle','tonghuashun','tor','tsp','unknown','unset','uucp','validcertssl','ventrilo','vnc','whois','worldofwarcraft','x11','xboxlive','xunlei','yahoo','youtube-2012','zip','zmaap'];    

ipp2p = [[0,'IPP2P (disabled)'],[0xFFFF,'All IPP2P Filters'],[1,'AppleJuice'],[2,'Ares'],[4,'BitTorrent'],[8,'Direct Connect'],[16,'eDonkey'],[32,'Gnutella'],[64,'Kazaa'],[128,'Mute'],[4096,'PPLive/UUSee'],[256,'SoulSeek'],[512,'Waste'],[1024,'WinMX'],[2048,'XDCC'],[8192,'Xunlei/QQCyclone']]

protocols = [null,'ICMP','IGMP','GGP','IP-ENCAP','ST','TCP','CBT','EGP','IGP','BBN-RCC-MON','NVP-II','PUP','ARGUS','EMCON','XNET','CHAOS','UDP','MUX','DCN-MEAS','HMP','PRM','XNS-IDP','TRUNK-1','TRUNK-2','LEAF-1','LEAF-2','RDP','IRTP','ISO-TP4','NETBLT','MFE-NSP','MERIT-INP','SEP','3PC','IDPR','XTP','DDP','IDPR-CMTP','TP++','IL','IPv6','SDRP','IPv6-Route','IPv6-Frag','IDRP','RSVP','GRE','MHRP','BNA','ESP','AH','I-NLSP','SWIPE','NARP','MOBILE','TLSP','SKIP','IPv6-ICMP','IPv6-NoNxt','IPv6-Opts',null,'CFTP',null,'SAT-EXPAK','KRYPTOLAN','RVD','IPPC',null,'SAT-MON','VISA','IPCV','CPNX','CPHB','WSN','PVP','BR-SAT-MON','SUN-ND','WB-MON','WB-EXPAK','ISO-IP','VMTP','SECURE-VMTP','VINES','TTP','NSFNET-IGP','DGP','TCF','EIGRP','OSPFIGP','Sprite-RPC','LARP','MTP','AX.25','IPIP','MICP','SCC-SP','ETHERIP','ENCAP',null,'GMTP','IFMP','PNNI','PIM','ARIS','SCPS','QNX','A/N','IPComp','SNP','Compaq-Peer','IPX-in-IP','VRRP','PGM',null,'L2TP','DDX','IATP','STP','SRP','UTI','SMP','SM','PTP','ISIS','FIRE','CRTP','CRUDP','SSCOPMCE','IPLT','SPS','PIPE','SCTP','FC'];

[Le ecureuil 3,997]

Мы рекламируем Giga как гигабитное устройство. Сможете показать что-то хотя бы на 300 Мбит/сек? (а еще лучше по pps считать, скажем 50k pps)? А то на 50 мбит с 5k pps справится можно, но это же сразу гигабитное устройство превращает в тыкву образца 2008 года.

[Mihail_Boyanskiy 2]

А можно сделать так. Если блокировать HTTPS-traffic, то блокировать 443 порт. Ведь он отвечает за такие соединения?

Или определять на какой IP он заходит по этому домену и блокировать типа: 1.2.3.4:443

[ajs 51]

В 20.06.2017 в 16:13, Александр Рыжов сказал:

а фича URL-фильтрации для него бесполезна.

URL фильтрация да, но по IP или Домену HTTPS спокойно можно фильтровать без подмены сертификатов

[Le ecureuil 3,997]

1 час назад, ajs сказал:

URL фильтрация да, но по IP или Домену HTTPS спокойно можно фильтровать без подмены сертификатов

По домену HTTPS из SNI - очень ресурсозатратно. Даже Ultra врядли потянет на сколько-либо вменяемой скорости.

[ruschestor 0]

В 28.07.2018 в 00:10, Le ecureuil сказал:

Мы рекламируем Giga как гигабитное устройство. Сможете показать что-то хотя бы на 300 Мбит/сек? (а еще лучше по pps считать, скажем 50k pps)? А то на 50 мбит с 5k pps справится можно, но это же сразу гигабитное устройство превращает в тыкву образца 2008 года.

Хорошо. Провел еще один тест на более высоких скоростях (все компоненты были связаны Ethernet 1 Gbit). Чтобы тест был приближен к бою использовал пакет speedtest (https://github.com/adolfintel/speedtest) на виртуальной машине с Debian (на ssd).

Схема:

Виртуальная машина Debian (Apache2 + php + speedtest) на Intel NUC (ssd) --1G LAN--> Keenetic Giga (KN-1010) --1G LAN--> NetGear WNR3500L --1G LAN--> PC
Правила остались те же. Как замерить pps на роутере не знаю, надеюсь новых данных хватит.

Результаты:
Эталонный тест без роутера NetGear WNR3500L        | Download: 387,5 Mbps    | Upload: 843,04 Mbps | Ping: 8,78 ms | Jitter: 8,3 ms
Тест с роутером NetGear WNR3500L без правил         | Download: 221,36 Mbps  | Upload: 142,56 Mbps | Ping: 7,59 ms | Jitter: 1,8 ms
Тест с роутером NetGear WNR3500L с правилами      | Download: 152,22 Mbps  | Upload: 95,41 Mbps   | Ping: 9,85 ms | Jitter: 4,78 ms

Этот тест проявляет разницу в скорости маршрутизации с правилами и без. Во время тестов ksoftirqd (на NetGear с Tomato) был загружен под 100%. Напомню, что все это работает на процессоре ~450 MHz из ~2010 года.

Вы подумаете над реализацией аналогичного функционала? Наверняка для этого есть уже готовые пакеты/проекты.

P.S. Не заставляй меня проводить еще тесты

P.P.S. Нашел некоторое описание функционала "Access Restriction" - https://en.wikibooks.org/wiki/Tomato_Firmware/Installation_and_Configuration#QoS_/_Access_Restrictions_Notes

[Le ecureuil 3,997]

Что и требовалось доказать - из гигабитного устройство превратится в 100 мегабитное

[ruschestor 0]

1 час назад, Le ecureuil сказал:

Что и требовалось доказать - из гигабитного устройство превратится в 100 мегабитное

Откуда такой вывод?

Это NetGear WNR3500L с процессором ~450 MHz (результат №2) без правил работает на 221/142 Mbps, а с правилами (результат №3) на 152/95 Mbps. В Giga (kn-1010) 2 ядра по 880 MHz.

Понятное дело, установив кучу приложений, включить весь функционал, можно "загрузить" любой роутер. Отмазка "сразу гигабитное устройство превращает в тыкву образца 2008 года." звучит не убедительно. Вы даже не проверили.

"Мы рекламируем Giga как гигабитное устройство." Пожалуйста, напишите большими буквами, что производительность при включении данной функции может упасть. И то, это еще надо проверить! А вы не хотите.

[Le ecureuil 3,997]

4 часа назад, ruschestor сказал:

Откуда такой вывод?

Это NetGear WNR3500L с процессором ~450 MHz (результат №2) без правил работает на 221/142 Mbps, а с правилами (результат №3) на 152/95 Mbps. В Giga (kn-1010) 2 ядра по 880 MHz.

Понятное дело, установив кучу приложений, включить весь функционал, можно "загрузить" любой роутер. Отмазка "сразу гигабитное устройство превращает в тыкву образца 2008 года." звучит не убедительно. Вы даже не проверили.

"Мы рекламируем Giga как гигабитное устройство." Пожалуйста, напишите большими буквами, что производительность при включении данной функции может упасть. И то, это еще надо проверить! А вы не хотите.

Код контентной фильтрации (как и самой прошивки) не обновлялся с конца 2009.

Извините, это труп. Полный. И он никак не может быть даже примером.

[ruschestor 0]

9 часов назад, Le ecureuil сказал:

Код контентной фильтрации (как и самой прошивки) не обновлялся с конца 2009.

Извините, это труп. Полный. И он никак не может быть даже примером.

" Где пруфы, Билли?"©

Ответвления Tomato, которой я и пользовался, обновлялись вплоть до начала 2017 года. И я вас не заставляю использовать тот же самый пакет - найдите новый, сделайте аналог...

Вы сначала проверьте, а потом уже делайте выводы или честно скажите, что просто не хотите.

  

[Александр Рыжов 395]

Код прошивки ≠ код URL фильтрации.

[ruschestor 0]

2 часа назад, Александр Рыжов сказал:

Код прошивки ≠ код URL фильтрации. 

Да, но и код URL фильтрации ≠ код прошивки.

[Александр Рыжов 395]

«Встройте неработающую в 2018-м году фичу и дайте пользователю уже решать использовать ее или нет. И не будет никаких споров.»

Конечно-конечно:)

[Le ecureuil 3,997]

В 15.08.2018 в 09:28, OlegR сказал:

Поддерживаю необходимость наличия возможности URL фильтрации средствами роутера.

Вы встройте её, и дайте пользователю уже решать использовать ее или нет ( включение/отключение в настройках ) .

Пусть пользователь сам смотрит устраивает ли его работа роутера при использовании URL фильтрации или нет.   

И не будет никаких споров.

Ну вы нормальный проект по фильтрации можете предложить? Я вам даже его в opkg соберу, ради бога тестируйте.

Только все что я пока вижу - оно либо через nfnetlink_queue (прощай, скорость) или давно сдохло и в 2018 не работает (типа opendpi).

[ajs 51]

Остается надеяться, что найдется человек со знаниями и прямыми руками, которому это нужно и прикрутит к примеру прозрачный mitmproxy на роутер ну и в идеальном варианте добавит возможность правки перенаправляемых ссылок в графическом интерфейсе.

Ну и второй немаловажный фактор, что для этого хватит аппаратных ресурсов роутера 

squid вроде в Entware есть, прозрачное проксирование, перенаправление, фильтрация и mitm в нем можно настроить.

 

--

WBR, ajs

 

 

 

[Alexandr Pipkin 1]

Добрый день! Есть у меня небольшое пожелание по поводу возможности реализации на мой взгляд полезной функции фильтрации по url адресам реализуемой через создание алиасов по аналогии на примере pfsense. 
Я записал короткий 2 минутный ролик как я реализовал блокировку по ip и url сервисов варгеминг на работе на основе pfsense. 
( Для более наглядного примера что я имею в виду) 

( https://youtu.be/65tQZk24tPk ) 

Да я знаю что есть Яндекс днс , а так-же Sky dns, но почему бы не реализовать такую функцию прямо на железе, что-бы самому на прямую рулить блокировками без использования сторонних сервисов и их ограничений? 

Я являюсь недавним обладателем kkeenetic kn-1010 и его железо думаю вполне справится с таким функционалом. Честно скажу долго смотрел в сторону Микротика а так-же само сборного роутера на pfsense так как являюсь системным администратором. Но выбор пал все таки на ваш (взвесил все отзывы в интернете). 
У вас очень хорошая продукция. Спасибо я доволен. Пожалуйста посмотрите видео по ссылке которую я прикрепил выше и передаите его сотрудникам в отдел разработки для оценки рассмотрения возможности введения подобного функционала. 
Было-бы интересно услышать их мнение. Спасибо.

Edited February 14, 2019 by Alexandr Pipkin

[sergeyk 167]

6 минут назад, Alexandr Pipkin сказал:

Пожалуйста посмотрите видео по ссылке которую я прикрепил выше и передаите его сотрудникам в отдел разработки для оценки рассмотрения возможности введения подобного функционала.

Не ленитесь пользоваться поиском.