1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 21:46

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
bestwarlock
 Заголовок сообщения: DFL-210: ALG 200108 invalid_server_http_header_received
СообщениеДобавлено: Пн фев 02, 2009 23:44 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
Здравствуйте.

Проблема в следующем: есть NAT правило, которое пускает весь HTTP-трафик из локальной сети наружу через сервис http-blacklist. Этот сервис использует алгоритм http-blacklist (HTTP ALG). В нем -- список blacklisted сайтов. Никакие другие опции не активированы.
Когда я захожу на price.ru, делаю поиск и потом нажимаю на просмотр отзывов о фирме, они загружаются с интервалом в 5-10 секунд. И в логах появляются следующие записи:
Цитата:
Category/ID=ALG/200108
Event=invalid_server_http_header_received
Action=closing_connecion
Info=algmod=http algname=http-blacklist algsesid=45231

Если в сервисе http-blacklist отключить алгоритм, то задержки исчезают.
Хочу обратить внимание, что, как с активированным алгоритмом, так и без него, на страницу загружается одна и та же информация. Т.е. получается, что алгоритм ничего не блокирует, а только вносит задержку.

Кроме исправления некорректного (?) поведения алгоритма я рекомендую реализовать следующие enhancements:
1. Log: добавить имя header'а, на котором произошла ошибка, вместе со значением.
2. HTTP ALG / Edit: добавить check box для включения/отключения валидации headers. Еще лучше: список имен headers, которые нужно игнорировать при валидации.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP
Вернуться наверх
 Профиль  
 
bestwarlock
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 03, 2009 22:02 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
up

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 04, 2009 06:53 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Какая у вас прошивка?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
bestwarlock
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 04, 2009 10:01 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
Firmware Version: 2.20.03.08-8260 Sep 26 2008

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 04, 2009 18:01 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Я проверю эту ситуацию. Одно могу сказать точно, устройство блокирует корректно если вы указали верный фильтр, так же на забывайте устройсву в System -> DNS указать нормальные DNS

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
bestwarlock
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 04, 2009 22:48 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
DNS прописаны так: первый -- внутренний (bind9), второй и третий -- провайдера. У bind9 в качестве forwarders прописаны те же самые сервера провайдера.

Блокировка работает, к ней претензий нет. А к "сайд-эффекту" -- есть.

А что значит "верный фильтр"?
Если имеются в виду URLы, то все они вида "begun.ru/*".

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 05, 2009 15:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Не все сайты возращают корректные http заголовки, именно из-за этого может устройство "ругаться"

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
bestwarlock
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 05, 2009 21:22 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
Я понимаю. Поэтому и написал следующее:
Цитата:
Кроме исправления некорректного (?) поведения алгоритма я рекомендую реализовать следующие enhancements:
1. Log: добавить имя header'а, на котором произошла ошибка, вместе со значением.
2. HTTP ALG / Edit: добавить check box для включения/отключения валидации headers. Еще лучше: список имен headers, которые нужно игнорировать при валидации.

Это существенно облегчит troubleshooting и снимет часть вопросов к тех. поддержке.

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP
Вернуться наверх
 Профиль  
 
bestwarlock
 Заголовок сообщения:
СообщениеДобавлено: Вс фев 08, 2009 16:27 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
Sergey Vasiliev,

Есть новости?

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Пн фев 09, 2009 17:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
введение подобного функционала не планируется.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
bestwarlock
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 10, 2009 08:52 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
Я имел в виду вот это:
Sergey Vasiliev писал(а):
Я проверю эту ситуацию.[skipped]

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 10, 2009 11:57 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Открывается без проблем через http alg

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
bestwarlock
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 10, 2009 21:14 
Не в сети

Зарегистрирован: Вт сен 02, 2008 23:43
Сообщений: 68
Откуда: Москва
Через пустой http alg? Или через http alg с настроенным "черным списком"?

_________________
DFL-210, DGS-1008D/GE, DWL-2100AP
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Ср фев 11, 2009 14:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Я для теста настраивал только черный список. Что у вас было закрыто? приведите эти данные и я попробую повторить вашу ситуацию.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 14 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 596

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB