Уважаемые коллеги,

как я уже писал в http://www.dlink.ru/phorum/viewtopic.php?t=16855 , в некоторых реализациях firmware устройств Dlink присутствует принципиальная ошибка реализации блокировки сайтов (URL filtering), выражающаяся в том, что вместо того, чтобы честно блокировать указанные сайты (т.е. даже не делать попытки обращения к ним), устройтва Dlink просто портят HTTP-запрос и всё равно отправляют его заблокированному сайту. Ситуация усугубляется тем, что это, видимо, застарелая болезнь Dlink и многие хосты научились с ней бороться, поэтому заблокировать некоторые сайты таким способом не удаётся.

Поскольку Dlink выпускает очень широкую линейку устройств, то протестировать все эти устройства во всём многобразии их firmware вряд ли удастся даже в крупной тестовой лаборатории. По всей видимости, с этим не справляется даже сам Dlink

А так как всегда хочется выбрать и купить устройство, которое, по крайней мере, работало бы так, как заявлено в документации, то предлагаю провести общественное тестирование имеющихся у нас устройств Dlink на тему реализации URL filtering.

Что для этого потребуется:
1. включить URL filtering в вашем устройстве и внести в блокирующий список слово computerra (сайт www.computerra.ru настроен на выдачу в случае ошибки информации, включающей текст пришедшего HTTP-запроса)
2. обратиться из браузера к http://www.computerra.ru и дождаться ответа (может быть потребуется отключить прокси).

Если ошибка в реализации URL filtering присутствует, то хост вернёт примерно следующую информацию:

ERROR
The requested URL could not be retrieved

While trying to process the request:

XET / HTTP/1.1
X-st:www.computerra.ru
User-Agent: Mozilla/5.0 Gecko/20041220
Accept: text/xml,text/html,text/plain,image/png,*/*
Accept-Language: en-us,ru,en
X-cept-Encoding: gzip,deflate
Accept-Charset: KOI8-R,utf-8,*
Keep-Alive: 300
Connection: keep-alive

The following error was encountered:
* Invalid Request
...
Generated Sun, 06 Nov 2005 09:56:47 GMT by oracle.computerra.ru (squid/2.5.STABLE7)

Интересно здесь то, как портится HTTP-запрос (XET вместо GET, X-st вместо Host и X-cept-Encoding вместо Accept-Encoding).

Результаты предлагаю публиковать здесь в следующей форме:

Устройство: DFL-100
Версия прошивки: v3.20b1
Блокировка URL: ошибки нет - генерирует страницу "This page is blocked"

Устройство: DFL-900
Версия прошивки: Ver1.600 (DFL-900) #1: Fri Jul 30 18:43:10 CST 2004
Блокировка URL: ошибка - портит HTTP-запрос
XET / HTTP/1.1
X-st:www.computerra.ru
X-cept-Encoding: gzip,deflate

По окончании теста не забудьте удалить из блокирующего списка слово computerra

При тестировании будьте внимательны - некоторые версии Internet Explorer-а считают себя настолько умными, что позволяют себе подменять пришедший ответ своим стандартным сообщением "Страницу невозможно отобразить". Mozilla/FireFox в этом случае честнее.

Устройство: DI-624
Версия прошивки: v2.53
Блокировка URL: ошибка - страницу открывает (прокси отключен). После включения URL Blocking началась циклическая перезагрузка!

есть еще DI-604 и DI-808HV, по мере подключения пришлю

Стоп!!!

Не правильно!!!

Я хожу в интернет через VPN, а там слегка другие механизмы!!!

А как это решено? В http://www.dlink.ru/phorum/viewtopic.php?t=16733 Dlink утверждает, что его устройства этого просто не поддерживают.

Вообще-то мне за этот ответ техподдержка D-Link должна не мало денег!!!

Используется Static IP Address с соответствующими настройками.
Для выхода используется VPN через PPTP
Естественно, при таком подключении при поднятом VPN пропадает локалка, и это нормально. такие вещи многократно описывались в этом форуме но техподдержка не дала ни единого вразумительного ответа.

На самом деле все очень просто! При подключении VPN меняются настройки соединения.

Лечится это прописыванием маршрутов route. для этого был написан простейший батник:

route -p add 10.10.1.0 mask 255.255.255.0 192.168.0.2 #сеть провайдера в которую включен WAN порт - естественно поменять на свои
route -p add 10.100.0.0 mask 255.255.0.0 192.168.0.2 # в этой строчке и ниже прописаны маршруты в другие подсети в которые есть выход от провайдера. если используется сеть только провайдера - можно не вписывать
route -p add 10.101.0.0 mask 255.255.0.0 192.168.0.2
route -p add 10.102.0.0 mask 255.255.0.0 192.168.0.2
route -p add 10.103.0.0 mask 255.255.0.0 192.168.0.2
route -p add 10.104.0.0 mask 255.255.0.0 192.168.0.2
route -p add 10.105.0.0 mask 255.255.0.0 192.168.0.2
route -p add 80.73.0.0 mask 255.255.0.0 192.168.0.2
ROUTE -p ADD 192.168.5.0 MASK 255.255.255.0 192.168.0.2
ROUTE -p ADD 192.168.4.0 MASK 255.255.255.0 192.168.0.2
ROUTE -p ADD 192.168.3.0 MASK 255.255.255.0 192.168.0.2

где 192.168.0.2 - адрес роутера

Естественно, для удаления маршрутов используется ROUTE -p Delete

вот и все!!! Пользуйтесь на здоровье, пусть технической поддержке будет стыдно, что не могли ответить на столь простой вопрос!!!

В случае же описанном в ссылке скорее всего нужно прописать что-то вроде:

route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.2, единственное желательно исключить из роута свою подсеть 192.168.0.*, но думаю, что и так будет работать...

В DI-804HV/DI-808HV на сколько я понял эти маршруты можно прописать прямо в него, но не пробовал.

Сегодня проверил ещё одну прошивочку:

Устройство: DFL-100
Версия прошивки: v2.32b1
Блокировка URL: ошибки нет - генерирует страницу "This page is blocked"

Оп-п-паньки!

А вот это уже вопрос к службе поддержки:

АURL filtering работает только для направления LAN/WAN? А для DMZ/WAN игнорируется?

Я к тому, что попытка разместить прокси-сервер в DMZ привела к тому, что запросы пользователей, идущие из LAN через этот прокси, вообще не фильтруются средствами URL filtering устройства DFL-900. Мимо прокси - коряво, но фильтруются. А через прокси в DMZ - бери что хочешь, фильтр только средствами прокси.

Что-то я не нашёл описания этого процесса в документации. Это принципиально для всех устройств или ляп в DFL-900?

Уважаемый VicTor Smirnoff
1. хватит гнать волну! "тестируйте" устройства при последних прошивках. все работает.

2. в ДМЗ пропуск url blockin'га - это принципиальный вопрос касающийся ДМЗ!!!

_________________
Даешь связистов без брака!
AB4790-RIPE

Это как? "Мамой клянусь, да?" Так что ли? Зуб даёте?

Или вы являетесь счастливым обладателем DFL-900, используете последнюю прошивку (v2.008) и там URL filtering работает как положено - блокирует запросы вместо того, чтобы портить их и отсылать блокируемому сайту?

Я ещё раз внимательно перечитал Release Note к последней прошивке - там нет замечаний, что эта ошибка была обнаружена и исправлена. Ответа от специалистов центра поддержки тоже нет - хотя и обещали (срок только не указали ).

А я значит должен поверить "авторитетному" мнению крупного "специалиста" из непонятного города... Ну-ну...



А по-подробнее...

DFL-200, Firmware version: 1.32.00, ничего не блокирует, страничка нормально открывается без всяких ошибок. А вот скачка *.exe файлов блокируется как положенно (в тех же правилах)
Куда копать?

_________________
С уважением, Flying_Cat

Может быть имеет смысл попробовать обновить прошивку до 1.33, а потом уже копать копать и копать отседова

ps: если не работает или работает неправильно, то копать вобщем-то немного что можно
pss: еще можно покопать на предмет правильности написания правила в АЛГ, проверить применяются ли правила ну и всякая такая банальщина.

_________________
Дорога без конца, дорога без начала и конца...

Прошивку обновил до 1.33, правило написано так:

#
# Example for blocking all access to a whole site:
#
# example.com/*
# *.example.com/*
#
# Or, a shorter variant that runs the risk of blocking sites whose
# names end with the same text:
#
# *example.com/*
#

*.computerra.ru /*


Далее есть правило:
# Malicious executables can be downloaded by exploits
*.exe

Дык оно работает... Как еще можно проверить?

_________________
С уважением, Flying_Cat

Надо же, все заработало... А что слелал - не помню

_________________
С уважением, Flying_Cat

*.computerra.ru /*

может быть убрал пробел перед '/'?

_________________
Дорога без конца, дорога без начала и конца...

dfl-700, 1.33

блокирует.

_________________
Дорога без конца, дорога без начала и конца...