dimon27254

@Le ecureuil @slomblobov В 5.0 Alpha 5 все еще актуально.

@Le ecureuil В 5.0 Alpha 5 увидел на двух Кинетиках немного иные сообщения: Netfilter::Lockout::Manager: "Http": system failed [0xcffd03ad], [ND] invalid address '127.0.0.1'.

@eralde @Anna_ В 5.0 Alpha 5 исправлено. Спасибо!

@eralde @Anna_ В 5.0 Alpha 5 записи снова отображаются. Спасибо!

@eralde @Anna_ Подтверждаю исправление в 5.0 Alpha 5. Спасибо!

@eralde @Anna_ @Test Pilot Если открыть данную страницу при отсутствующем на Кинетике компоненте "Протокол IPv6", то в логе появляются ошибки: Core::Configurator: not found: "show/sc/ipv6/route" [http/rci]. Проверял на KN-1012 с 5.0 Alpha 5.

Важное замечание по использованию Antiscan При включенной геоблокировке (особенно в режиме белого списка) и защите порта 80 возможны неполадки с получением/продлением SSL-сертификатов Let's Encrypt для ваших собственных доменов (не принадлежащих Keen/CrazeDNS). Это связано с тем, что в режиме геоблокировки Antiscan может закрыть доступ к порту 80, если он был указан в конфиге, с серверов Let's Encrypt, IP которых принадлежат "запрещенным" странам. В результате не пройдет HTTP проверка, и получение сертификата завершится неудачно. Вы можете перейти для собственных доменов на DNS проверку (именно такой способ проверки используется Keen/CrazeDNS), или вручную отключать Antiscan, когда необходимо продлить/получить сертификаты. Еще, как вариант, попробовать изменить список стран для геоблокировки так, чтобы Let's Encrypt мог попытаться получить доступ к порту 80. Однако, Let's Encrypt не публикует список подсетей, с которых возможны обращения, и соответственно, добавить в исключения Antiscan тогда становится нечего. С получением/продлением SSL-сертификатов для Keen/CrazeDNS проблем никаких нет - там используется DNS проверка, не требующая открытых портов.

На актуальных 4.3 и 5.0 лишний пробел отсутствует. Спасибо!

@eralde @Anna_ В 5.0 Alpha 4 уже вижу улучшения в данном направлении. Спасибо! Для полной красоты еще не помешало бы избавиться от мерцания для элемента "анализатор трафика приложений", который переносится на вторую строку

Подтверждаю исправление в 5.0 Alpha 4. Спасибо! Теперь при тапе по количеству клиентов ничего не открывается. Подсказку решили убрать? @eralde @Anna_

@eralde @Anna_ @Test Pilot Подсказка может выходить за пределы видимой области, если навести курсор/тапнуть по последним столбцам графика: Проверял на KN-1012 с 5.0 Alpha 4.

Еще бы убрать разделитель перед колонкой с адресом туннеля, и тогда получится идеально

@eralde @Anna_ @Test Pilot На вкладке "Политики доступа в интернет", в строках колонки "Подключение" потерялись разделительные линии рядом с иконками drag-and-drop: Проверял на KN-1811 с 5.0 Alpha 4. Для сравнения, вариант из 5.0 Alpha 3:

Новая версия 1.6.1. Улучшения: 1) Игнорирование IP 127.0.0.1 при чтении системных списков ограничения доступа (сообщил @MDP). В заголовке темы версия пакета была обновлена до 1.6.1. Предыдущие версии доступны на GitHub.

Я сделал 2 минуты. Подправьте задачу в ascn_crontab при необходимости.

Новая версия 1.6. Новое: 1) Чтение системных списков блокировки по брутфорсу (предложил @MDP). Теперь Antiscan может копировать системные списки ограничения доступа по ip lockout-policy в собственный ipset, для которого вы можете настроить блокировку на постоянной основе или с бОльшим сроком действия, чем это позволяет NDMS. Для включения данного функционала установите параметр READ_NDM_LOCKOUT_IPSETS в 1, а также укажите срок хранения записей в LOCKOUT_IPSET_BANTIME. Обратите внимание: Antiscan использует системные списки только для чтения. Их очисткой NDMS занимается самостоятельно. Исправления: 1) В выводе команды antiscan list для пустого списка отображалось количество записей, равное 1.

@MDP В ближайшие дни выпущу версию 1.6, протестируете работу в ваших условиях.

В таком случае, задачей Antiscan будет просто скопировать записи из системных списков в отдельный ipset, и в соответствии с ним производить блокировку. Повторюсь, очищаться системные списки Antiscan'ом не будут - это работа системы, и вмешиваться в неё я не буду. Соответственно, если, например, адрес 1.1.1.1 заблокирован по lockout-policy, и затем он же попадает в отдельный ipset, то вам нужно будет его не только вручную удалить из отдельного ipset, но и дождаться, пока "отпустит" система из своих списков. Функционал чтения системных списков будет по умолчанию выключен. В ascn.conf сможете его включить, а также установить нужный таймаут - будут отдельные параметры. Сохранение будет производиться в отдельный файл, располагающийся рядом с ipset_ascn_ips, ipset_ascn_candidates и т.д.

Интересное предложение, спасибо! Думаю, что это реализуемо. Однако, какой смысл заводить для них именно отдельный ipset? Можно скопировать накопленные адреса в уже имеющийся ascn_ips, чтобы применить к ним всю работающую логику Antiscan. Antiscan будет только считывать адреса из системных списков. Их очисткой займется система самостоятельно в соответствии с установленными правилами в lockout-policy.

@eralde @Anna_ @corniger В некоторых местах веб-интерфейса отсутствует перевод на английский/русский языки: Проверял на KN-3210 с 5.0 Alpha 3.

В 5.0 Alpha 3 без изменений.

@eralde @Anna_ @Test Pilot Если у одного из зарегистрированных клиентов установить постоянный IP-адрес, а затем этот же постоянный адрес попробовать установить еще одному, то в веб-интерфейсе не срабатывает какая-либо проверка на занятость. При попытке сохранить изменения система вернет ошибку. Проблема воспроизводится, когда первый клиент еще не получил новый назначенный постоянный IP по DHCP. Проверял на KN-1012 с 5.0 Alpha 3.

Новая версия 1.5.3. Исправления: 1) При вызове команды antiscan flush и отключенной геоблокировке отображалось излишнее сообщение о необходимости перезапуска Antiscan.

После удаления -s вы перезапускали cron? У себя проверил, после удаления и перезапуска какие-либо записи от cron перестают появляться.

Скриншот с возникающими в процессе установки ошибками был бы полезен, чтобы понять, в чем у вас проблема. Вышла 1.5.2, попробуйте на неё обновиться онлайн, и сделайте скриншот окна консоли, если что-то пойдет не так. В заголовке темы я подправил команду для онлайн установки, там в самом конце по моей ошибке затесался лишний символ "