Hawk128

Otboi. Resheno.

Добрый день всем. Есть у кого-нибудь прошивка на девайс свежая?

Есть у меня основания полагать что этот адрес указан на самом Ревизоре.... Так что не заблочить его.

Это правильное поведение стандартного IPTABLES. В вашем случе нужно включить режим promisc на сетевой карте для получения всех пакетов игнорируя dst mac. И включить promisc в ipt-netflow модуле: https://github.com/aabc/ipt-netflow/blob/master/README.promisc

The command brctl addif <brname> <ifname> will make the interface <ifname> a port of the bridge <brname>. This means that all frames received on <ifname> will be processed as if destined for the bridge. Also, when sending frames on <brname>, <ifname> will be considered as a potential output interface. The command brctl delif <brname> <ifname> will detach the interface <ifname> from the bridge <brname>. The command brctl show <brname> will show some information on the bridge and its attached ports.

Да. В логах: 2019-10-29 23:34:34.304 [35009] Information Application - Got HUP signal - reload data 2019-10-29 23:34:34.304 [35009] Information ReloadTask - Reloading data from files... 2019-10-29 23:34:34.304 [35009] Information ACL - Building ACL from file /usr/local/etc/extfilter/hosts 2019-10-29 23:34:37.567 [35009] Information ACL - Preparing 1238664 rules for IPv4 ACL 2019-10-29 23:34:37.614 [35009] Information ACL - Preparing 50 rules for IPv6 ACL А вот после restart: 2019-10-29 23:59:50.024 [30057] Information ACL - Building ACL from file /usr/local/etc/extfilter/hosts 2019-10-29 23:59:51.717 [30057] Information ACL - Preparing 1238664 rules for IPv4 ACL 2019-10-29 23:59:51.752 [30057] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-30 00:00:14.670 [30057] Information TriesControl - Loaded 116158 lines from the domains file '/usr/local/etc/extfilter/domains' 2019-10-30 00:00:14.683 [30057] Information TriesControl - Loaded 92880 lines from the urls file '/usr/local/etc/extfilter/urls' 2019-10-30 00:00:14.693 [30057] Information TriesControl - Masked domains: #keys 22250, #nodes 31122 2019-10-30 00:00:14.858 [30057] Information TriesControl - URLS: #keys 208982, #nodes 299200 2019-10-30 00:00:14.858 [30057] Information TriesControl - Set active trie in the slot 0 2019-10-30 00:00:14.869 [30057] Information TriesControl - Loaded 127465 lines from the domains file '/usr/local/etc/extfilter/ssl_host' 2019-10-30 00:00:14.879 [30057] Information TriesControl - Masked domains: #keys 22250, #nodes 31122 2019-10-30 00:00:14.947 [30057] Information TriesControl - URLS: #keys 124213, #nodes 175392 2019-10-30 00:00:14.947 [30057] Information TriesControl - Set active trie in the slot 0 Похоже domains и urls при HUP не подгружаются.

Добрый день. Есть подозрение что extfilter не обновляет списки по HUP. После полного restart списки подгружаются полностью. С чем может быть связанно?

Где-то явная ошибка в статье. 4748 руб за кВт немного перебор. 300 Вт/ч потребление фермой тоже странно.

У вас маршрут теряется до OpenVPN сервера.

Точно нет никакой возможности слать на два МАС адреса? Хотелось бы зарезервировать нормально, на два роутера слать ответы...

dpdk-stable-17.05.1/usertools/dpdk-devbind.py -s Network devices using DPDK-compatible driver ============================================ 0000:01:00.0 '82599ES 10-Gigabit SFI/SFP+ Network Connection 10fb' drv=igb_uio unused= 0000:01:00.1 '82599ES 10-Gigabit SFI/SFP+ Network Connection 10fb' drv=igb_uio unused= 0000:03:00.0 '82576 Gigabit Network Connection 10c9' drv=igb_uio unused= 0000:03:00.1 '82576 Gigabit Network Connection 10c9' drv=igb_uio unused= Network devices using kernel driver =================================== 0000:00:19.0 '82579LM Gigabit Network Connection (Lewisville) 1502' if=rename6 drv=e1000e unused=igb_uio 0000:06:00.0 '82574L Gigabit Network Connection 10d3' if=enp6s0 drv=e1000e unused=igb_uio *Active* Other Network devices ===================== <none> Crypto devices using DPDK-compatible driver =========================================== <none> Crypto devices using kernel driver ================================== <none> Other Crypto devices ==================== <none> Eventdev devices using DPDK-compatible driver ============================================= <none> Eventdev devices using kernel driver ==================================== <none> Other Eventdev devices ====================== <none> Mempool devices using DPDK-compatible driver ============================================ <none> Mempool devices using kernel driver =================================== <none> Other Mempool devices ===================== <none>

Неужели только у меня такой конфиг? У всех curl блочится нормально?

port 0 и port 1 - это порты принимающие трафик пользователей с двух разных свитчей. port 2 - порт отправки сообщений пользователям. cat /proc/cmdline BOOT_IMAGE=/boot/vmlinuz-4.15.0-48-lowlatency root=UUID=7e1ec8ed-dd50-4418-aa7d-da4c2fd5ed62 ro cmdline=isolcpus=1,2,3 default_hugepagesz=1G hugepagesz=1G hugepages=4 Но hugepagesу меня по 2МБ (на 6 ГБ). Проц не поддерживает 1ГБ таблицы. lscpu Архитектура: x86_64 CPU op-mode(s): 32-bit, 64-bit Порядок байт: Little Endian CPU(s): 4 On-line CPU(s) list: 0-3 Потоков на ядро: 1 Ядер на сокет: 4 Сокетов: 1 NUMA node(s): 1 ID прроизводителя: GenuineIntel Семейство ЦПУ: 6 Модель: 42 Имя модели: Intel(R) Xeon(R) CPU E31270 @ 3.40GHz Степпинг: 7 CPU МГц: 3521.268 CPU max MHz: 3800,0000 CPU min MHz: 1600,0000 BogoMIPS: 6784.32 Виртуализация: VT-x L1d cache: 32K L1i cache: 32K L2 cache: 256K L3 cache: 8192K NUMA node0 CPU(s): 0-3 Флаги: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt tsc_deadline_timer aes xsave avx lahf_lm pti ssbd ibrs ibpb stibp tpr_shadow vnmi flexpriority ept vpid xsaveopt dtherm ida arat pln pts flush_l1d Выключен. Попробую чуть позже.   Ни как не влияет.

C Windows 10 - блокирует. tcpdump -ni p262p2.2 -e host xxx.xxx.164.21 | grep 37.1.222.194 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on p262p2.2, link-type EN10MB (Ethernet), capture size 262144 bytes 02:29:32.866722 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 60: xxx.xxx.164.21.52993 > 37.1.222.194.80: Flags [F.], seq 1708007007, ack 3149046515, win 1023, length 0 02:29:36.670411 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 66: xxx.xxx.164.21.53005 > 37.1.222.194.80: Flags [S], seq 1041593426, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 02:29:36.712298 90:e2:ba:33:18:d9 > b8:69:f4:e6:3e:ef, ethertype IPv4 (0x0800), length 66: 37.1.222.194.80 > xxx.xxx.164.21.53005: Flags [S.], seq 4086993654, ack 1041593427, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 02:29:36.713638 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 60: xxx.xxx.164.21.53005 > 37.1.222.194.80: Flags [.], ack 1, win 1024, length 0 02:29:36.714150 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 451: xxx.xxx.164.21.53005 > 37.1.222.194.80: Flags [P.], seq 1:398, ack 1, win 1024, length 397: HTTP: GET /torrent/687679/ HTTP/1.1 02:29:36.714161 90:e2:ba:50:44:95 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.53005: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:29:36.714169 90:e2:ba:33:18:d9 > b8:69:f4:e6:3e:ef, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.53005: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:29:36.714170 90:e2:ba:50:44:95 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 60: xxx.xxx.164.21.80 > 37.1.222.194.53005: Flags [R], seq 1041593824, win 0, length 0 02:29:36.714171 90:e2:ba:50:44:95 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.53005: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:29:36.714175 90:e2:ba:33:18:d9 > b8:69:f4:e6:3e:ef, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.53005: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:29:36.714177 90:e2:ba:50:44:95 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.53005: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:29:36.714180 90:e2:ba:33:18:d9 > b8:69:f4:e6:3e:ef, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.53005: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:29:36.716601 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 66: xxx.xxx.164.21.53005 > 37.1.222.194.80: Flags [.], ack 105, win 1023, options [nop,nop,sack 1 {1:105}], length 0 02:29:36.716648 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 66: xxx.xxx.164.21.53005 > 37.1.222.194.80: Flags [.], ack 105, win 1023, options [nop,nop,sack 1 {1:105}], length 0 02:29:36.719435 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 60: xxx.xxx.164.21.53005 > 37.1.222.194.80: Flags [F.], seq 398, ack 105, win 1023, length 0 02:29:37.018873 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 60: xxx.xxx.164.21.53005 > 37.1.222.194.80: Flags [F.], seq 398, ack 105, win 1023, length 0 02:29:37.619812 92:04:39:ba:08:6f > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 60: xxx.xxx.164.21.53005 > 37.1.222.194.80: Flags [F.], seq 398, ack 105, win 1023, length 0 ^C190 packets captured 381 packets received by filter 59 packets dropped by kernel С Ubuntu через curl - нет. tcpdump -ni p262p2.2 -e host xxx.xxx.164.15 | grep 37.1.222.194 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on p262p2.2, link-type EN10MB (Ethernet), capture size 262144 bytes 02:31:12.095127 5a:48:c2:1d:07:f1 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 74: xxx.xxx.164.15.37648 > 37.1.222.194.80: Flags [S], seq 2556383305, win 29200, options [mss 1460,sackOK,TS val 2424188363 ecr 0,nop,wscale 7], length 0 02:31:12.134928 90:e2:ba:33:18:d9 > 5a:48:c2:1d:07:f1, ethertype IPv4 (0x0800), length 74: 37.1.222.194.80 > xxx.xxx.164.15.37648: Flags [S.], seq 2481242476, ack 2556383306, win 28960, options [mss 1460,sackOK,TS val 3075527526 ecr 2424188363,nop,wscale 7], length 0 02:31:12.135025 5a:48:c2:1d:07:f1 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 66: xxx.xxx.164.15.37648 > 37.1.222.194.80: Flags [.], ack 1, win 229, options [nop,nop,TS val 2424188403 ecr 3075527526], length 0 02:31:12.135159 5a:48:c2:1d:07:f1 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 158: xxx.xxx.164.15.37648 > 37.1.222.194.80: Flags [P.], seq 1:93, ack 1, win 229, options [nop,nop,TS val 2424188403 ecr 3075527526], length 92: HTTP: HEAD /torrent/687679/ HTTP/1.1 02:31:12.174827 90:e2:ba:33:18:d9 > 5a:48:c2:1d:07:f1, ethertype IPv4 (0x0800), length 66: 37.1.222.194.80 > xxx.xxx.164.15.37648: Flags [.], ack 93, win 227, options [nop,nop,TS val 3075527566 ecr 2424188403], length 0 02:31:12.214764 90:e2:ba:33:18:d9 > 5a:48:c2:1d:07:f1, ethertype IPv4 (0x0800), length 307: 37.1.222.194.80 > xxx.xxx.164.15.37648: Flags [P.], seq 1:242, ack 93, win 227, options [nop,nop,TS val 3075527606 ecr 2424188403], length 241: HTTP: HTTP/1.1 200 OK 02:31:12.214840 5a:48:c2:1d:07:f1 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 66: xxx.xxx.164.15.37648 > 37.1.222.194.80: Flags [.], ack 242, win 237, options [nop,nop,TS val 2424188483 ecr 3075527606], length 0 02:31:12.215117 5a:48:c2:1d:07:f1 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 66: xxx.xxx.164.15.37648 > 37.1.222.194.80: Flags [F.], seq 93, ack 242, win 237, options [nop,nop,TS val 2424188483 ecr 3075527606], length 0 02:31:12.254745 90:e2:ba:33:18:d9 > 5a:48:c2:1d:07:f1, ethertype IPv4 (0x0800), length 66: 37.1.222.194.80 > xxx.xxx.164.15.37648: Flags [F.], seq 242, ack 94, win 227, options [nop,nop,TS val 3075527646 ecr 2424188483], length 0 02:31:12.254810 5a:48:c2:1d:07:f1 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 66: xxx.xxx.164.15.37648 > 37.1.222.194.80: Flags [.], ack 243, win 237, options [nop,nop,TS val 2424188523 ecr 3075527646], length 0 ^C62296 packets captured 62568 packets received by filter 110 packets dropped by kernel Та же подсеть, те же интерфейсы, тот же ресурс. До обновления работало. Но тогда отправлялось через обычный интерфейс, не DPDK sender. Что можно подкрутить? Текущие настройки: cat /usr/local/etc/extfilter.ini ; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения. ;lower_host = false domainlist = /usr/local/etc/extfilter/domains urllist = /usr/local/etc/extfilter/urls ssllist = /usr/local/etc/extfilter/ssl_host ; файл с ip:port для блокировки hostlist = /usr/local/etc/extfilter/hosts ; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true. sslips = /usr/local/etc/extfilter/ssl_ips ; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false http_redirect = true # если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://... redirect_url = http://xxx.xxx.164.17 ; посылать tcp rst в сторону сервера от имени клиента. Default: false rst_to_server = true ; Default: 0 - disable statistic_interval = 300 ; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false block_ssl_no_sni = false ; Какие ядра использовать. Default: все ядра, кроме management. core_mask = 7 ; файл статистики (для extfilter-cacti) statisticsfile = /var/run/extFilter_stat ; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500 out_mtu = 1500 ; CLI для управления или сбора статистики extfilter cli_port = 9999 cli_address = 127.0.0.1 ; Количество каналов памяти (для DPDK) memory_channels = 2 ; Количество повторных пакетов в сторону клиента (от 1 до 3) answer_duplication = 2 ; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline) operation_mode = mirror ; Использовать jumbo frames jumbo_frames = true ; Максимальная длина ethernet фрейма при включенном jumbo_frames max_pkt_len = 9600 ; здесь задаются порты, с которых необходимо снимать трафик ; формат: ; [port n] ; queues = a,b; a1,b1... ; n - номер порта dpdk ; a - номер очереди ; b - ядро, обрабатывающее очередь a ; Пример: ;[port 0] ;queues = 0,1; 1,2 [port 0] queues = 0,1 [port 1] queues = 0,2 ; Порт для отправки уведомлений через dpdk [port 2] type = sender ; На какой mac адрес отправлять пакеты ; mac = 90:e2:ba:50:46:cc ; mac = 90:e2:ba:4d:7f:88 mac = 90:e2:ba:33:18:d9 ;[port 3] ;type = sender ; На какой mac адрес отправлять пакеты ; mac = 90:e2:ba:50:46:cc ;mac = 90:e2:ba:4d:7f:88 [dpi] ; Масштабирование количества обрабатываемых потоков 1..10 scale = 3 ; Собирать и анализировать фрагментированные пакеты ; fragmentation_ipv6_state = true fragmentation_ipv4_state = true fragmentation_ipv4_table_size = 512 ; fragmentation_ipv6_table_size = 512 ; Собирать и анализировать tcp потоки с неправильными порядком tcp_reordering = true [logging] loggers.root.level = information ; loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/extFilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.purgeCount = 4 channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local

Еще заметил что ответ серверу возможно выполняется с неправильными портами: 02:12:11.588503 90:e2:ba:50:44:95 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.52855: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:12:11.588509 90:e2:ba:50:44:95 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.52855: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:12:11.588512 90:e2:ba:50:44:95 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 158: 37.1.222.194.80 > xxx.xxx.164.21.52855: Flags [P.], seq 1:105, ack 398, win 1024, length 104: HTTP: HTTP/1.1 302 Moved Temporarily 02:12:11.588516 90:e2:ba:50:44:95 > 90:e2:ba:33:18:d9, ethertype IPv4 (0x0800), length 60: xxx.xxx.164.21.80 > 37.1.222.194.52855: Flags [R], seq 2729616527, win 0, length 0 Сейчас обновил сервер и пытаюсь настроить отправку по МАС. но работает как-то странно, часть фильтрует, часть нет. Причем деление по тому кто запрос послал. Порты зеркалирования одни и те же, порт на бордер, те.е весь трафик должен проходить. Не могу понять почему.