<# «justify"> 1. getLastDumpDate - метод призначений для отримання тимчасової мітки останнього оновлення вивантаження з реєстру;
2. sendRequest - метод призначений для направлення запиту на отримання вивантаження з реєстру, приймає requestFile і signatureFile в base64Binary форматі - файл запиту та його підпису (з :/ request.xml і з :/ request.xml.sign). У відповідь надсилає result - результат обробки запиту у boolean форматі і якщо все вдало, то code - ідентифікатор запиту, рядок по якій необхідно отримати вивантаження з реєстру у форматі string, так само resultComment - коментар до результату обробки запиту у форматі string.
. getResult - метод призначений для отримання результату обробки запиту - вивантаження з реєстру, приймає code - ідентифікатор запиту, рядок по якій необхідно отримати вивантаження з реєстру у форматі string. У відповідь надсилає result - результат обробки запиту у boolean форматі і якщо все вдало, то registerZipArchive - файл zip-архів з вивантаженням з реєстру у форматі base64Binary, так само resultComment - коментар до результату обробки запиту у форматі string.
Алгоритм роботи: отримуємо тимчасову мітку останнього оновлення реєстру, якщо вона змінилася, то направляємо запит на отримання вивантаження з реєстру, якщо все вдало, то через 10 хвилин забираємо дамп реєстру.
Після отримання реєстру його необхідно розпакувати і розібрати. Для цього були написані відповідні функції і класи.
Далі необхідно було записати отриману інформацію в базу даних.
Наступний крок це створення правил для обладнання MikroTik. Спочатку ідея була проста: використовуючи регулярні вирази L7 фільтрувати вихідні пакети містять звернення до заборонених URL адресами. Зважаючи на те що L7 займається повним розбором пакетів, то його використання сильно навантажує обладнання. Щоб уникнути цього був створений список IP адрес перетворених допомогою DNS з доменних імен. Виділяючи дані пакети і застосувавши до них фільтр отримали бажаний результат. Приклад конфігурації:
Локальна мережа з якої забороняємо доступ до заборонених URL адресами - 192.168.0.0/24
Заборонений URL адресу: <# «justify"> / ip firewall layer7-protocol add name=chelaxe
regexp=^. * ( / summary /). * (chelaxe . ru). * $
/ ip firewall filter add action=drop chain=forward disabled=no dst-port=80
layer7-protocol=chelaxe protocol=tcp src-address=192.168.0.0/24 dst-= 91.201.52.97
Даний підхід просто знищує пакети запиту за URL адресою. У клієнта не відображається сторінка і для нього це виглядає незрозуміло. З цієї причини наступним кроком було створення сайту заглушки і перенаправлення забороненого трафіку до нього.
Очевидним рішенням було перенаправляти трафік виділений допомогою L7 використовуючи NAT. Приклад:
.168.0.200:80 - сайт заглушка.
/ ip firewall mangle add action=jump jump-target=registry chain=prerouting
dst-address=91.201.52.97 dst-port=80 protocol=tcp src-= 192.168.0.0/24
/ ip firewall layer7-protocol add name=chelaxe
regexp=^. * ( / summary /). * (chelaxe . ru). * $
