Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
abills:docs:modules:netblock:rkn:ru [2017/06/13 20:56] diger [Начало работы] |
abills:docs:modules:netblock:rkn:ru [2017/08/23 11:56] (текущий) asmodeus [Начало работы] |
||
|---|---|---|---|
| Строка 22: | Строка 22: | ||
| ^ $conf{NETBLOCK_SKIP_IP} | **Список IP адресов, которым при обработке реестра будет автоматически присваиваться параметр [[abills:docs:modules:rkn:ru#vozmozhnosti|SKIP]]**\\ Пример $conf{NETBLOCK_SKIP_IP} = '64.233.161.198,64.233.162.198,64.233.163.198,64.233.164.198' | | ^ $conf{NETBLOCK_SKIP_IP} | **Список IP адресов, которым при обработке реестра будет автоматически присваиваться параметр [[abills:docs:modules:rkn:ru#vozmozhnosti|SKIP]]**\\ Пример $conf{NETBLOCK_SKIP_IP} = '64.233.161.198,64.233.162.198,64.233.163.198,64.233.164.198' | | ||
| ^ $conf{NETBLOCK_FW_SKIP_CMD} | **Шаблон команды для [[abills:docs:modules:rkn:ru#vozmozhnosti|SKIP]] блокировки**\\ Пример $conf{NETBLOCK_FW_SKIP_CMD} = '/sbin/ipfw table 14 add %IP'; | | ^ $conf{NETBLOCK_FW_SKIP_CMD} | **Шаблон команды для [[abills:docs:modules:rkn:ru#vozmozhnosti|SKIP]] блокировки**\\ Пример $conf{NETBLOCK_FW_SKIP_CMD} = '/sbin/ipfw table 14 add %IP'; | | ||
| + | ^ $conf{NETBLOCK_TZ} | **Значение смещения для Вашего часового пояса**\\ Пример $conf{NETBLOCK_TZ} = '+05:00'; Если параметр не задан, используется системное значение | | ||
| + | ^ $conf{NETBLOCK_CRT_ALERT} | **Количество дней до окончания действия сертификата, при котором начинают отправляться оповещения(на данный момент только через модуль Events, в дальнейшем через Sender **\\ Параметр был добавлен "чисто для себя", так как один раз <del>проеб</del> пропустил время обновления сертификата. Если не задать переменную, оповещения не будет | | ||
| ====Начало работы==== | ====Начало работы==== | ||
| === Формирование подписанного сертификатом файла-запроса=== | === Формирование подписанного сертификатом файла-запроса=== | ||
| + | |||
| + | ====Установка OpenSSL===== | ||
| + | |||
| + | |||
| + | wget https://www.openssl.org/source/openssl-1.0.1u.tar.gz | ||
| + | tar zxvf openssl-1.0.1u.tar.gz | ||
| + | cd openssl-1.0.1u | ||
| + | ./config shared zlib enable-rfc3779 --prefix=/usr/local | ||
| + | make depend | ||
| + | make | ||
| + | make install | ||
| + | |||
| + | Далее, после установки редактируем файл **/usr/local/ssl/openssl.cnf** | ||
| + | |||
| + | К названию первой секции (первая строка [в квадратных скобках]) добавляем: | ||
| + | |||
| + | openssl_conf = openssl_def | ||
| + | |||
| + | Далее в конец файла вносим: | ||
| + | |||
| + | [openssl_def] | ||
| + | engines = engine_section | ||
| + | | ||
| + | [engine_section] | ||
| + | gost = gost_section | ||
| + | | ||
| + | [gost_section] | ||
| + | engine_id = gost | ||
| + | default_algorithms = ALL | ||
| + | #dynamic_path = /usr/local/lib64/engines/libgost.so | ||
| + | #CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet | ||
| + | |||
| + | тестируем: | ||
| + | |||
| + | # /usr/local/bin/openssl ciphers | tr ":" "\n" | grep GOST | ||
| + | |||
| + | |||
| + | Вывод: | ||
| + | |||
| + | |||
| + | GOST2001-GOST89-GOST89 | ||
| + | GOST94-GOST89-GOST89 | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| Предполагается, что у Вас уже имеется [[https://commonworkspace.ru/article.php?id=35|выгруженный сертификат в формате PCKS#12]]. \\ | Предполагается, что у Вас уже имеется [[https://commonworkspace.ru/article.php?id=35|выгруженный сертификат в формате PCKS#12]]. \\ | ||
| Сертификат (как правило файл p12.pfx) копируем на сервер, где вы планируете осуществлять выгрузку, в свою домашнюю папку.\\ | Сертификат (как правило файл p12.pfx) копируем на сервер, где вы планируете осуществлять выгрузку, в свою домашнюю папку.\\ | ||
| Строка 42: | Строка 92: | ||
| Enter Import Password: | Enter Import Password: | ||
| </code> | </code> | ||
| - | Полученный в результате файл certificate.pem помещаем в папку /usr/abills/var/db/netblock/cfg | + | Полученный в результате файл certificate.pem помещаем в папку /usr/abills/var/db/netblock/cfg \\ |
| + | Заполняем реквизиты необходимые для формирования файла-запроса(**Настройка>Другое>Параметры организации**): | ||
| + | * ORGANIZATION_NAME | ||
| + | * ORGANIZATION_INN | ||
| + | * ORGANIZATION_OGRN | ||
| + | * ORGANIZATION_MAIL | ||
| + | Если какой-либо из этих реквизитов отсутствует, необходимо добавить его самостоятельно. \\ | ||
| + | И наконец подписываем файл-запрос, выполнив в консоли команду: | ||
| + | <code> | ||
| + | /usr/abills/libexec/billd netblock CONF=1 | ||
| + | </code> | ||
| === Выгрузка реестра === | === Выгрузка реестра === | ||
| - | Рекомендуется первый запуск системы произвести вручную, так как список очень большой и наполнении его "вживую" займёт очень много времени. Для этого нужно запустить скрипт в режиме отладки: | + | Рекомендуется первый запуск системы произвести вручную, так как список очень большой и наполнение его "вживую" займёт очень много времени. Для этого нужно запустить скрипт в режиме отладки: |
| <code> | <code> | ||
| /usr/abills/libexec/billd netblock TYPE=rkn DEBUG=4 | /usr/abills/libexec/billd netblock TYPE=rkn DEBUG=4 | ||
| Строка 55: | Строка 114: | ||
| * 1,9,17 * * * root /usr/abills/libexec/billd netblock TYPE=rkn | * 1,9,17 * * * root /usr/abills/libexec/billd netblock TYPE=rkn | ||
| </code> | </code> | ||
| + | Если Вы хотите, чтобы файл запроса каждый раз подписывался заново, добавьте аргумент **CONF=2** \\ | ||
| Если что-то пошло некорректно, можно произвести переинициализацию системы, выполнив последовательно 2 команды: | Если что-то пошло некорректно, можно произвести переинициализацию системы, выполнив последовательно 2 команды: | ||
| <code> | <code> | ||
| Строка 60: | Строка 120: | ||
| /usr/abills/libexec/billd netblock TYPE=rkn DEBUG=4 | /usr/abills/libexec/billd netblock TYPE=rkn DEBUG=4 | ||
| </code> | </code> | ||
| + | |||
| + | ===Логирование=== | ||
| + | Система логирует дествия по получению данных РКНЗ и обновлению листов доступу (access-list) | ||
| + | |||
| + | ''Отчёт>Cписок логов'' | ||
| + | |||
| + | **netblock.log** | ||
| Строка 67: | Строка 134: | ||
| <code>include: "/usr/abills/var/db/netblock/domain_list"</code> | <code>include: "/usr/abills/var/db/netblock/domain_list"</code> | ||
| Блокировки начнут работать после перезапуска сервера. Шаблон для формирования файла domain_list приведен в примерах настройки. | Блокировки начнут работать после перезапуска сервера. Шаблон для формирования файла domain_list приведен в примерах настройки. | ||
| - | Для того чтобы в дальнейшем не перезагружать сервер, а только вносить изменения в его кеш, нужно в config.pl указать команды для блокировки и разблокировки в параметрах **$conf{RKN_DNS_ADD_CMD}** и **$conf{RKN_DNS_ADD_CMD}**. | + | Для того чтобы в дальнейшем не перезагружать сервер, а только вносить изменения в его кеш, нужно в config.pl указать команды для блокировки и разблокировки в параметрах **$conf{NETBLOCK_DNS_ADD_CMD}** и **$conf{NETBLOCK_DNS_DEL_CMD}**. |
| === Блокировка по IP с использованием ipfw=== | === Блокировка по IP с использованием ipfw=== | ||