Разное

Блокировка рекламы с помощью черного списка и Unbound DNS

В данной инструкции описывается как блокировать рекламу с помощью черного списка и Unbound DNS.

Принцип работы очень прост. Все пользователи будут использовать службу Unbound DNS в качестве своего DNS-сервера, а она, в свою очередь будет резолвить домены из черного списка (домены, с которых публикуются рекламные банеры) в несуществующий адрес 0.0.0.0. Таким образом, сокращается время на загрузку страниц и снижается требование к пропускной способности канала.

Начальные настройки

Осуществите начальную настройку в соответствии с инструкцией Начало работы .

Настройка SSH-доступа

Пройдите в раздел Система -> Настройки -> Администрирование и настройте доступ по SSH в соответствии со cкриншотом:

_images/enable_ssh.png

Настройка пакетов

Подключитесь к устройству TING через ранее настроенный SSH или через консольный порт.

Установите пакет curl:

pkg install curl

С помощью curl скачайте скрипт:

curl https://devinstechblog.com/update-hosts.sh -o update-hosts.sh

Выставите нужные права на скрипт update-hosts.sh:

chmod +x update-hosts.sh

Шелл-скрипт допускает модификации. В частности, вы можете прописать другое значение переменной, задающей черный список. Шелл-скрипт обеспечивает скачивание черного списка (в виде hosts-файла), удаляет дупликаты записей в файле, конвертирует список в формат, используемый DNS-резолвером Unbound, сохраняет результат по пути /var/unbound/ad-blacklist.conf.

Выполните скрипт командой:

./update-hosts.sh

Настройка DNS-резолвера

Пройдите в раздел Службы -> Unbound DNS -> Общие настройки и настройте DNS-резолвер в соответствии со cкриншотом:

_images/dns_resolver_settings.png

Примечание

Обратите внимание на поле Пользовательские настройки. Здесь указывается файл /var/unbound/ad-blacklist.conf, сгенерированнфй скриптом.

Настройка компьютеров

Убедитесь, что DHCP-серверы в вашей сети, если такие имеются, в опции DNS-серверы распространяют IP-адрес LAN-адаптера устройства TING. Аналогично, компьютеры пользователей должны быть настроены на использование IP-адреса LAN-адаптера устройства TING в качества DHCP-серверов.

Переход с версии 1.0.2_232 ФСТЭК на более новые не-ФСТЭК версии

Подключение к устройству

К устройству можно подключится разными способами, например:

  • с помощью putty по протоколу SSH

  • с помощью putty по порту RS-232 (более известен как COM-порт)

Примечание

Имея подключение по порту RS-232 во время загрузки устройства, можно увидеть сообщения BIOS, меню загрузчика, загрузочные сообщения ядра FreeBSD. После загрузки операционной системы, Вы увидите приглашение на ввод пароля, и, после удачной аутентификации, консольное меню.

Примечание

Подключившись к загрузившемуся устройству TING по протоколу SSH, Вы увидите приглашение на ввод пароля, и, после удачной аутентификации, консольное меню.

Меню загрузчика

Для того, чтобы попасть в Меню загрузчика, подключитесь к устройству TING с помощью putty по порту RS-232 и включите устройство.

Меню загрузчика имеет следующие пункты:

1. Boot Multi User [Enter]
2. Boot Single User [Enter]
3. Escape to loader prompt
4. Reboot

Options:
5. Configure Boot Options

Консольное меню

Чтобы попасть в Консольное меню нужно дождаться загрузки устройства, подключится к нему одним из двух вышеупомянутых способов и войти в систему под логином/паролем.

Консольное меню выглядит следующим образом:

Traffic Inspector Next Generation (c) 2017 Smart-Soft Ltd.


  0) Logout                              7) Ping host
  1) Assign interfaces                   8) Shell
  2) Set interface IP address            9) pfTop
  3) Reset the root password            10) Firewall log
  4) Reset to factory defaults          11) Reload all services
  5) Power off system                   12) Upgrade from console
  6) Reboot system                      13) Restore a backup

Enter an option:

Командная оболочка

Чтобы попасть в Командную оболочку, нужно зайти в Консольное меню и выбрать пункт 8) Shell.

1. Сохранение текущей конфигурации

Сохраните текущую конфигурацию на внешний носитель.

Общую конфигурацию можно сохранить в разделе Система -> Конфигурация -> Резервные копии -> кнопка Загрузить конфигурацию.

Сохраните файлы лицензии. Для этого подключитесь к устройству TING с помощью программы WinSCP по протоколу SFTP (SSH Secure File Transfer) и сохраните копии файлов:

/usr/local/etc/ssl/ting-client.key
/usr/local/etc/ssl/ting-client.crt

2. Проверка наличия доступа в Интернет

Проверьте наличие доступа в Интернет на устройстве TING. Для этого зайдите в командную оболочку и выполните команду:

ping ya.ru

3. Обновление до версии 1.0.2

Находясь в командной оболочке, выполните команду:

opnsense-update -n 1.0.2

Устройство начнёт процесс обновления, по завершении которого напишет в консоль, что нужно перезагрузиться.

Выйдите из командной оболочки в консольное меню (команда exit), далее выберите вариант 6) Reboot system.

4. Обновление из консольного меню

После перезагрузки, зайдите в консольное меню и выберите вариант 12) Upgrade from console.

Будет предложен выбор значений 1.1/y/n. Нужно ввести значение 1.1 и нажать Enter.

Устройство начнет процесс обновления, по завершению которого произойдет перезагрузка.

5. Обновление из веб-интерфейса

Произведите обновление устройства TING обычным способом через Web-интерфейс в разделе Система -> Прошивка -> Обновление.

Переход с версии 1.0.2 ФСТЭК на версию 1.3 ФСТЭК

Для сохранения настроек и ключей осуществите следующие действия:

  1. Перед обновлением вручную сделайте резервную копию конфига и сертификатов. Копия конфига создается в разделе Система -> Конфигурация -> Резервные копии, кнопка Сохранить конфигурацию. Сертификат ting-client.crt и соответствующий закрытый ключ ting-client.key хранятся в файловой системе по пути /usr/local/etc/ssl/.

  2. Если не используется консоль по COM-порту, то перед обновлением проверьте, чтобы главная консоль была выставлена на консоль VGA.

  3. Перед обновлением нужно сделать резервные копии баз PostgreSQL логов Squid (присутствуют, если используется функционал CMS), SQLite базы Squid и SQLite базы статистики NetFlow (присутствует, если включен сбор статистики NetFlow). При обновлении эти базы автоматически не переносятся.

  4. После обновления, на мастере нужно заново создать ключи идентификации туннеля и установить туннели со всеми нодами.

Примечание

При обновлении с версии 1.0.2 до версии 1.3 поменялся протокол связи между мастером и нодами. Иными словами, обновлённый мастер не сможет связаться со старыми нодами и старый мастер не сможет связаться с обновлёнными нодами.

Сброс пароля на устройстве TING

1. Загрузка в однопользовательском режиме

Загрузитесь в однопользовательском режиме. Для этого зайдите в меню загрузчика и выберите вариант загрузки 2) Boot Single User.

2. Выбор командной оболочки

Выберите командную оболочку, которую нужно запустить. Для этого укажите путь, по которому расположен исполняемый файл командной оболочки:

/bin/sh

4. Изменение параметров монтирования файловой системы

Находясь в запущенной командной оболочке, выполните команду на перемонтирование корневой файловой системы:

mount -uw /
mount -a

Файловая система будет перемонтирована с возможностью чтения/записи.

5. Запуск скрипта

Запустите скрипт:

opnsense-shell

6. Сброс пароля

В консольном меню выберите вариант 3) Reset the root password.

7. Перезагрузка системы

В консольном меню выберите вариант 6) Reboot system.

Фронтальная панель устройств S100

Предустановленные настройки

Один из вариантов поставки TING - это устройства S 100, реализованные на аппаратной платформе APU производителя PC Engines. Данные устройства имеют на передней панели три светодиода и скрытую кнопку. На данных устройствах существует возможность управлять свечением светодиодов и срабатыванием нажатитя на кнопку.

Примечание

Нажимать на скрытую кнопку фронтальной панели следует тонким жёстким предметом (вроде канцелярской скрепки), аккуратно, без усилий, чтобы не повредить её.

Изначально конфигурация управления настроена следующим образом:

  1. При загрузке устройства светодиоды 1, 2 и 3 (слева направо) зажигаются попеременно циклически с интервалом 300 мс.

  2. После окончания процесса загрузки светодиоды 1 и 3 горят постоянно.

  3. При начале перезагрузки светодиоды 1, 2 и 3 зажигаются попеременно циклически, также как при загрузке системы.

  4. При нажатии на кнопку фронтальной панели светодиоды 1 и 3 зажигаются и гаснут одновременно с интервалом 100 мс. При удержании кнопки в нажатом состоянии происходит сброс настроек устройства в значения по-умолчанию с последующей перезагрузкой системы. Это позволяет вернуть контроль над устройством после ошибок конфигурирования, в результате которых происходит потеря доступа к интерфейсам управления устройством. При этом:

    • IP-адрес локальной сети будет сброшен до 192.168.1.1

    • Система будет настроена как DHCP-сервер на LAN-интерфейсе по умолчанию

    • WAN-интерфейс будет автоматически получать адрес от DHCP-сервера

    • Имя и пароль администратора будут сброшены

Описание работы

Управление данными функциями производит демон apuledctld. Данный демон предназначен для слежения за состоянием кнопки на передней панели на устройствах PCEngines APU<x>. Кроме того, он может зажигать и тушить три светодиода на передней панели согласно схеме, заданной в конфигурационном файле. При запуске без параметров демон зажигает светодиоды согласно схеме «running» и далее отслеживает состояние кнопки на передней панели. При постоянном нажатии на кнопку более определенного в конфигурационном файле периода времени, выполняется вызов команды, определенной в конфигурационном файле (/usr/local/etc/apuledctld.conf).

При запуске с параметром --startup демон зажигает светодиоды согласно схеме «startup», далее все так же, как описано выше.

Во время нажатия на кнопку на фронтальной панели демон зажигает светодиоды согласно схеме «press». Если кнопку отпустить раньше, чем истек период нажатия, демон зажигает светодиоды по схеме «running».

Управление светодиодами

Схемы зажигания светодиодов могут быть двух типов: постоянные и циклические. Постоянная схема один раз зажигает светодиоды, циклическая схема зажигает светодиоды согласно заданным параметром в цикле, который запускается в параллельном потоке.

Схема зажигания светодиодов задается в конфигурационном файле согласно следующему синтаксису:

blink:<имя схемы>:<битовая карта>:<время в мс>[:<битовая карта>:<время в мс>]...

  • Имя схемы - любая строка до 256 символов.

  • Битовая карта - число, биты 0, 1 и 2 в котором являются признаком свечения светодиодов 1, 2 и 3. Например, число 5: светодиоды 1 и 3 светятся, светодиод 2 не светится.

  • Время свечения в мс - время в миллисекундах, которое светодиоды светятся согласно битовой карте.

Если в схеме только одна пара битовая карта:время - такая схема считается статической, и время свечения игнорируется, его можно установить -1. Если таких пар больше одной - схема считается циклической, и значение времени свечения должно быть положительным целым числом. Количество пар ограничивается максимальной длиной строки в 1024 байта.

Например:

blink:running:5:-1 Статическая схема, где светодиоды 1 и 3 светятся постоянно.

blink:startup:1:300:2:300:4:300 Циклическая схема, где светодиоды 1, 2 и 3 зажигаются по очереди с интервалом в 300 мс.

blink:press:5:100:0:100 Циклическая схема, где светодиоды 1 и 3 зажигаются и гаснут с интервалом в 100 мс.

Количество схем в конфигурационном файле неограничено. Обязательно должны быть определены три схемы: startup, running и press. Остальные схемы могут иметь произвольные названия.

Во время работы демона возможно переключение между схемами с помощью сигналов:

  • SIGUSR1: переключение на схему «startup»

  • SIGUSR2: переключение на схему «running»

  • SIGHUP: переключение на схему, имя которой задано в текстовом файле /var/run/apuled-scheme

Для использования SIGHUP вместе с демоном поставляется shell-скрипт „al_chscheme“.

Действие при нажатии на кнопку

Действие при нажатии на кнопку задается в конфигурационном файле согласно следующему синтаксису:

action:<время нажатия на кнопку>:<команда>

  • Время нажатия на кнопку - время в секундах

  • Команда: любая программа либо скрипт (полный абсолютный путь)

При активной схеме startup нажатие на кнопку игнорируется. После выполнения команды, заданной в конфигурации, демон завершает работу. При нажатии на кнопку светодиоды зажигаются согласно схеме press, если нажатие на кнопку было менее заданного в конфигурации, свечение светодиодов возвращается к схеме, которая была активна в момент нажатия кнопки. Действие может быть задано только одно, в случае если их несколько, активным будет последнее. Например:

action:5:/usr/local/etc/rc.reboot

Через 5 секунд непрерывного нажатия на кнопку будет вызван скрипт /usr/local/etc/rc.reboot

Резервное копирование приватного ключа TING

При работе с TING иногда возникают ситуации, когда необходимо выполнить переустановку операционной системы TING ( как то: замена диска и пр.)

Для этого вам надо иметь резервную копию приватного ключа устройства.

Для создание резервной копии приватного ключа TING выполните следующие шаги:

Пройдите в раздел Сводка –> Лицензия

Нажмите кнопку Экспортировать лицензию.

Сохраните файл ting-client.key в безопасное место.

Для восстановление приватного ключа TING из резервной копии выполните следующие шаги:

Пройдите в раздел Сводка –> Лицензия

Нажмите кнопку Импортировать лицензию.

Выберите сохранный ранее файл ting-client.key

Примечание

восстановление приватного ключа устройства необходимо выполять до установки лицензий.