Jump to content
Калькуляторы

NeXuSs

Пользователи
  • Content Count

    55
  • Joined

  • Last visited

About NeXuSs

  • Rank
    Абитуриент

Информация

  • Пол
    Мужчина

Recent Profile Visitors

1124 profile views
  1. Вот тоже думаем в сторону СКАТа.
  2. Не так давно к нам приезжали товарищи из Роскомнадзора с проверкой. Эта самая проверка осуществлялась следующим образом: с флешки проверяльщиков запускалась специально для этого разработанная программа, в неё загружалась выгрузка путём указания абсолютного пути до файла, причём выгрузка была в формате xls, лежала на этой же флешке и была двухдневной старости. После запуска проверки эта программа пытается достучаться до сайтов и IP, находящихся в этом xls. В конце строится отчёт о том, сколько и чего было найдено, до чего удалось достучаться. Так вот, по причине смены IP было доступно некоторое количество сайтов, этот факт ими был полностью проигнорирован и далее шла процедура сбора, так сказать, пруфов того, что сайт был действительно обнаружен в открытом доступе и на него был осуществлён свободный вход. На наши протесты было заявлено, что мы должны блокировать эти сайты по-определению, чтобы они были абсолютно недоступны для абонентов, а как это мы будем делать, сие их не волнует совсем, а факт есть факт. Поэтому, чтобы перестраховаться, нами было принято решение в дополнение к IP из выгрузки, ещё и резолвить url во избежание подобных случаев, хотя, было замечено, что некоторые домены меняют IP со скоростью пулемётной стрельбы и это всё-равно не панацея. То есть, вот для чего мы занимаемся ещё и резолвом. Но, как уже стало ясно, одна лишь блокировка по IP - дело неблагодарное.
  3. Да, полностью с вами согласен. А как же блокировать https без подмены сертификата?
  4. Они используются. Бывает же, что на момент обновления таблицы фаервола, блокируемый сайт уже переехал на другой IP. Для этого и используется резолв. Роскомнадзодру наплевать, что сайт доступен по причине смены IP, в то время, как IP из их списка честно присутствуют в фаере.
  5. Ну, что смог своими силами сделать на том, что имею. А как лучше? Посоветуйте.
  6. Доброго времени суток! Коллеги, подскажите пожалуйста, можно ли где-то достать старые файлы выгрузок? Дело в том, что скрипт 25 Августа 2015г. в 00.18 последний раз сделал выгрузку и обновил информацию по блокировкам. Только 31 Августа я заметил, что выгрузка почему-то больше не происходит, когда стал разбираться, увидел, что ip адрес РКН 46.61.232.10 попал в фаервол, осюда недоступность ресурса http://vigruzki.rkn.gov.ru для скрипта и как следствие - выгрузка не делалась 6 дней. Теперь пришло письмо от РКН о том, что мы дебилы и вобще. Хочется посмотреть старые файлы выгрузок, чтобы было чем прикрыться. Полазив по Интернету, я почему-то не нашёл никакой информации об этом инциденте, такое ощущение, что это произошло только у меня.
  7. Всем спасибо огромное за помощь! Я перенес DHCP на отдельную машину, посчитал, что на этой и так много всего висит.
  8. Каждую минуту сыпятся сообщения Dec 30 08:24:58 border dhcpd: send_packet: No buffer space available Dec 30 08:24:58 border dhcpd: dhcp.c:3222: Failed to send 300 byte long packet over fallback interface. Дропы вижу только здесь: netstat -s tcp: 54388 connections closed (including 3301 drops) udp: 34375 dropped due to no socket ip: 40 fragments dropped after timeout 1970445 output packets dropped due to no bufs, etc. arp: 2605641 total packets dropped due to no ARP entry На самих сетевушках дропов пакетов нет. Каких ему буферов не хватает?! Походу надо выносить шлюз с dhcpd на отдельную машину. По поводу fallback interface, нашел цитату: The fallback interface lets the server send from a real IP address. The packet interface (LPF, BPF, and so on, depending on your operating system) sends from all-zeros.
  9. # swapinfo Device 1K-blocks Used Avail Capacity /dev/mirror/gm0p3 8196612 0 8196612 0% last pid: 3177; load averages: 1.67, 2.14, 2.21 up 0+09:39:47 20:44:12 61 processes: 1 running, 60 sleeping CPU: 0.2% user, 0.0% nice, 2.5% system, 16.7% interrupt, 80.6% idle Mem: 282M Active, 352M Inact, 837M Wired, 225M Buf, 6460M Free Swap: 8004M Total, 8004M Free
  10. Сетевой контроллер Intel E10G42BTDA Ethernet Converged Network Adapter X520-DA2, PCI-E, 10GB DUAL PORT Из dmesg.boot: ix0: <Intel(R) PRO/10GbE PCI-Express Network Driver, Version - 2.5.15> port 0xe880-0xe89f mem 0xf8e80000-0xf8efffff,0xf8e7c000-0xf8e7ffff irq 24 at device 0.0 on pci12 ix0: Using MSIX interrupts with 6 vectors ix0: Ethernet address: 90:e2:ba:7c:1c:40 ix0: PCI Express Bus: Speed 5.0GT/s Width x8 ix1: <Intel(R) PRO/10GbE PCI-Express Network Driver, Version - 2.5.15> port 0xec00-0xec1f mem 0xf8f80000-0xf8ffffff,0xf8f7c000-0xf8f7ffff irq 34 at device 0.1 on pci12 ix1: Using MSIX interrupts with 6 vectors ix1: Ethernet address: 90:e2:ba:7c:1c:41 ix1: PCI Express Bus: Speed 5.0GT/s Width x8 Дрова фряшные 2.5.15, последние от Intel 2.5.21 не ставил.
  11. Теперь в udp дропов по переполнению буферов нет: udp: 80382 datagrams received 0 with incomplete header 0 with bad data length field 0 with bad checksum 19 with no checksum 6430 dropped due to no socket 10368 broadcast/multicast datagrams undelivered 0 dropped due to full socket buffers 0 not for hashed pcb 63584 delivered 14207 datagrams output 0 times multicast source filter matched , но есть в ip разделе: ip: 908213429 total packets received 70 bad header checksums 0 with size smaller than minimum 0 with data size < data length 0 with ip length > max ip packet size 0 with header length < data size 0 with data length < header length 0 with bad options 0 with incorrect version number 0 fragments received 0 fragments dropped (dup or out of space) 0 fragments dropped after timeout 0 packets reassembled ok 251902 packets for this host 1634 packets for unknown/unsupported protocol 440094959 packets forwarded (347895558 packets fast forwarded) 1000280 packets not forwardable 0 packets received for unknown multicast group 0 redirects sent 1377334 packets sent from this host 0 packets sent with fabricated ip header ---> 418558 output packets dropped due to no bufs, etc. 997780 output packets discarded due to no route 0 output datagrams fragmented 0 fragments created 0 datagrams that can't be fragmented 0 tunneling packets that can't find gif 0 datagrams with bad address in header По ощущениям сообщения dhcpd: send_packet: No buffer space available dhcpd: dhcp.c:1305: Failed to send 300 byte long packet over fallback interface. появляются гораздо реже. # ngctl list | wc -l 2
  12. Некоторые значения переменных у меня бОльше тех, что указали вы, скажите пожалуйста, мне все-равно их изменить в соответствии с вашими указаниями? # sysctl kern.ipc.maxpipekva kern.ipc.maxpipekva: 133779456 # sysctl kern.ipc.soacceptqueue kern.ipc.soacceptqueue: 65535 root@border:/etc # sysctl kern.ipc.maxsockets kern.ipc.maxsockets: 261290 root@border:/etc # sysctl kern.ipc.maxsockets=262144 kern.ipc.maxsockets: 261290 sysctl: kern.ipc.maxsockets=262144: Invalid argument root@border:/etc # sysctl kern.ipc.maxsockbuf kern.ipc.maxsockbuf: 83886080 root@border:/etc # sysctl kern.ipc.nmbjumbop kern.ipc.nmbjumbop: 253773 root@border:/etc # sysctl kern.ipc.nmbjumbop=262144 kern.ipc.nmbjumbop: 253773 -> 262144 root@border:/etc # sysctl kern.ipc.nmbclusters kern.ipc.nmbclusters: 524288 root@border:/etc # sysctl kern.ipc.nmbjumbo9 kern.ipc.nmbjumbo9: 225576 root@border:/etc # sysctl kern.ipc.nmbjumbo9=262144 kern.ipc.nmbjumbo9: 225576 -> 786432 root@border:/etc # sysctl kern.ipc.nmbjumbo16 kern.ipc.nmbjumbo16: 169180 root@border:/etc # sysctl kern.ipc.nmbjumbo16=262144 kern.ipc.nmbjumbo16: 169180 -> 1048576 root@border:/etc # sysctl net.inet.udp.recvspace net.inet.udp.recvspace: 42080 root@border:/etc # sysctl net.inet.udp.recvspace=4194304 net.inet.udp.recvspace: 42080 -> 4194304 root@border:/etc # sysctl net.inet.raw.maxdgram net.inet.raw.maxdgram: 16384 root@border:/etc # sysctl net.inet.raw.maxdgram=4194304 net.inet.raw.maxdgram: 16384 -> 4194304 root@border:/etc # sysctl net.inet.raw.recvspace net.inet.raw.recvspace: 16384 root@border:/etc # sysctl net.inet.raw.recvspace=4194304 net.inet.raw.recvspace: 16384 -> 4194304 Еще обратил внимание на комментарий , а у меня стоит значение 83886080, его тоже лучше изменить на меньшее значение (брал из статьи dadv)?
  13. В связи с этим добавил в начало рулсета ipfw правило: allow udp from any to any dst-port 67,68 via vlan* Посмотрим что получится. UPD. Спустя полчаса, сообщений Dec 26 11:39:32 border dhcpd: send_packet: No buffer space available Dec 26 11:39:32 border dhcpd: dhcp.c:3222: Failed to send 300 byte long packet over fallback interface. я больше не вижу. Остались только kernel: sonewconn: pcb 0xfffff80042493188: Listen queue overflow: 16 already in queue awaiting acceptance (486 occurrences) netstat -naA | grep fffff80042 Active Internet connections (including servers) Tcpcb Proto Recv-Q Send-Q Local Address Foreign Address (state) fffff80042558c00 tcp6 0 0 *.179 *.* LISTEN Quagga слушает на 179 порту tcp6, мы не используем tcp6, почему тогда появляются такие сообщения?
  14. в dmesg.boot нашел только такие предупреждения: module_register_init: MOD_LOAD (vesa, 0xffffffff80b135c0, 0) error 19 acpi0: reservation of 0, a0000 (3) failed acpi0: reservation of 100000, bff00000 (3) failed pci0: <base peripheral, interrupt controller> at device 16.0 (no driver attached) pci0: <base peripheral, interrupt controller> at device 16.1 (no driver attached) pci0: <base peripheral, interrupt controller> at device 17.0 (no driver attached) pci0: <base peripheral, interrupt controller> at device 17.1 (no driver attached) pci0: <base peripheral, interrupt controller> at device 20.0 (no driver attached) pci0: <base peripheral, interrupt controller> at device 20.1 (no driver attached) pci0: <base peripheral, interrupt controller> at device 20.2 (no driver attached) pci0: <base peripheral, interrupt controller> at device 20.3 (no driver attached) Dhcpd слушает Vlan'ы на родительском интервейсе ix0 ix0: <Intel(R) PRO/10GbE PCI-Express Network Driver, Version - 2.5.15> port 0xe880-0xe89f mem 0xf8e80000-0xf8efffff,0xf8e7c000-0xf8e7ffff irq 24 at device 0.0 on pci12 ix0: Using MSIX interrupts with 6 vectors ix0: Ethernet address: 90:e2:ba:7c:1c:40 ix0: PCI Express Bus: Speed 5.0GT/s Width x8 До перехода на этот сервер, подобная конфигурация (dhcpd на вланах ix0) работала на другом сервере, на нем стояла FreeBSD 9.2 и версия isc-dhcp41-server-4.1.e_7,2, подобных проблем не было.
  15. Вот, пожалуйста: # netstat -Q Configuration: Setting Current Limit Thread count 1 1 Default queue limit 256 10240 Dispatch policy direct n/a Threads bound to CPUs disabled n/a Protocols: Name Proto QLimit Policy Dispatch Flags ip 1 256 flow default --- igmp 2 256 source default --- rtsock 3 256 source default --- arp 7 256 source default --- ether 9 256 source direct --- ip6 10 256 flow default --- Workstreams: WSID CPU Name Len WMark Disp'd HDisp'd QDrops Queued Handled 0 0 ip 0 10 2359699717 0 0 345210 2360044877 0 0 igmp 0 0 0 0 0 0 0 0 0 rtsock 0 39 0 0 0 46642628 46642628 0 0 arp 0 0 1450 0 0 0 1450 0 0 ether 0 0 3060555 0 0 0 3060555 0 0 ip6 0 0 0 0 0 0 0 # netstat -m 90824/13921/104745 mbufs in use (current/cache/total) 90675/7521/98196/524288 mbuf clusters in use (current/cache/total/max) 90675/7489 mbuf+clusters out of packet secondary zone in use (current/cache) 0/81/81/253759 4k (page size) jumbo clusters in use (current/cache/total/max) 0/0/0/75188 9k jumbo clusters in use (current/cache/total/max) 0/0/0/42293 16k jumbo clusters in use (current/cache/total/max) 204205K/18846K/223051K bytes allocated to network (current/cache/total) 0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters) 0/0/0 requests for mbufs delayed (mbufs/clusters/mbuf+clusters) 0/0/0 requests for jumbo clusters delayed (4k/9k/16k) 0/0/0 requests for jumbo clusters denied (4k/9k/16k) 0 requests for sfbufs denied 0 requests for sfbufs delayed 0 requests for I/O initiated by sendfile # netstat -s tcp: 9220210 packets sent 5238959 data packets (3862069377 bytes) 2485 data packets (1745367 bytes) retransmitted 460 data packets unnecessarily retransmitted 1 resend initiated by MTU discovery 3598386 ack-only packets (1760262 delayed) 0 URG only packets 0 window probe packets 2050 window update packets 378403 control packets 10854788 packets received 5688323 acks (for 3860716228 bytes) 195722 duplicate acks 24 acks for unsent data 6192845 packets (4227419474 bytes) received in-sequence 1236 completely duplicate packets (242366 bytes) 9 old duplicate packets 61 packets with some dup. data (27671 bytes duped) 2162 out-of-order packets (2707633 bytes) 409 packets (451503 bytes) of data after window 0 window probes 1663 window update packets 1672 packets received after close 69 discarded for bad checksums 0 discarded for bad header offset fields 0 discarded because packet too short 0 discarded due to memory problems 129263 connection requests 127502 connection accepts 6 bad connection attempts 258364 listen queue overflows 23388 ignored RSTs in the windows 255545 connections established (including accepts) 258482 connections closed (including 18886 drops) 16237 connections updated cached RTT on close 16428 connections updated cached RTT variance on close 2236 connections updated cached ssthresh on close 15 embryonic connections dropped 5589360 segments updated rtt (of 5511614 attempts) 9862 retransmit timeouts 462 connections dropped by rexmit timeout 0 persist timeouts 0 connections dropped by persist timeout 0 Connections (fin_wait_2) dropped because of timeout 764 keepalive timeouts 683 keepalive probes sent 81 connections dropped by keepalive 3317678 correct ACK header predictions 4360246 correct data packet header predictions 160848 syncache entries added 1489 retransmitted 4913 dupsyn 0 dropped 127502 completed 0 bucket overflow 0 cache overflow 705 reset 291 stale 258364 aborted 0 badack 0 unreach 0 zone failures 160848 cookies sent 226039 cookies received 236 hostcache entries added 0 bucket overflow 56 SACK recovery episodes 108 segment rexmits in SACK recovery episodes 143708 byte rexmits in SACK recovery episodes 2485 SACK options (SACK blocks) received 809 SACK options (SACK blocks) sent 0 SACK scoreboard overflow 0 packets with ECN CE bit set 0 packets with ECN ECT(0) bit set 0 packets with ECN ECT(1) bit set 0 successful ECN handshakes 0 times ECN reduced the congestion window 0 packets with valid tcp-md5 signature received 0 packets with invalid tcp-md5 signature received 0 packets with tcp-md5 signature mismatch 0 packets with unexpected tcp-md5 signature received 0 packets without expected tcp-md5 signature received udp: 965355 datagrams received 0 with incomplete header 0 with bad data length field 36 with bad checksum 550 with no checksum 85795 dropped due to no socket 201655 broadcast/multicast datagrams undelivered 109 dropped due to full socket buffers 0 not for hashed pcb 677760 delivered 537180 datagrams output 0 times multicast source filter matched sctp: 2 input packets 2 datagrams 0 packets that had data 0 input SACK chunks 0 input DATA chunks 0 duplicate DATA chunks 0 input HB chunks 0 HB-ACK chunks 0 input ECNE chunks 0 input AUTH chunks 0 chunks missing AUTH 0 invalid HMAC ids received 0 invalid secret ids received 0 auth failed 0 fast path receives all one chunk 0 fast path multi-part data 2 output packets 0 output SACKs 0 output DATA chunks 0 retransmitted DATA chunks 0 fast retransmitted DATA chunks 0 FR's that happened more than once to same chunk 0 output HB chunks 0 output ECNE chunks 0 output AUTH chunks 0 ip_output error counter Packet drop statistics: 0 from middle box 0 from end host 0 with data 0 non-data, non-endhost 0 non-endhost, bandwidth rep only 0 not enough for chunk header 0 not enough data to confirm 0 where process_chunk_drop said break 0 failed to find TSN 0 attempt reverse TSN lookup 0 e-host confirms zero-rwnd 0 midbox confirms no space 0 data did not match TSN 0 TSN's marked for Fast Retran Timeouts: 0 iterator timers fired 0 T3 data time outs 0 window probe (T3) timers fired 0 INIT timers fired 0 sack timers fired 0 shutdown timers fired 0 heartbeat timers fired 0 a cookie timeout fired 0 an endpoint changed its cookiesecret 0 PMTU timers fired 0 shutdown ack timers fired 0 shutdown guard timers fired 0 stream reset timers fired 0 early FR timers fired 0 an asconf timer fired 0 auto close timer fired 0 asoc free timers expired 0 inp free timers expired 0 packet shorter than header 0 checksum error 2 no endpoint for port 0 bad v-tag 0 bad SID 0 no memory 0 number of multiple FR in a RTT window 0 RFC813 allowed sending 0 RFC813 does not allow sending 0 times max burst prohibited sending 0 look ahead tells us no memory in interface 0 numbers of window probes sent 0 times an output error to clamp down on next user send 0 times sctp_senderrors were caused from a user 0 number of in data drops due to chunk limit reached 0 number of in data drops due to rwnd limit reached 0 times a ECN reduced the cwnd 0 used express lookup via vtag 0 collision in express lookup 0 times the sender ran dry of user data on primary 0 same for above 0 sacks the slow way 0 window update only sacks sent 0 sends with sinfo_flags !=0 0 unordered sends 0 sends with EOF flag set 0 sends with ABORT flag set 0 times protocol drain called 0 times we did a protocol drain 0 times recv was called with peek 0 cached chunks used 0 cached stream oq's used 0 unread messages abandonded by close 0 send burst avoidance, already max burst inflight to net 0 send cwnd full avoidance, already max burst inflight to net 0 number of map array over-runs via fwd-tsn's ip: 21741936762 total packets received 1090 bad header checksums 0 with size smaller than minimum 38 with data size < data length 0 with ip length > max ip packet size 0 with header length < data size 0 with data length < header length 0 with bad options 0 with incorrect version number 451 fragments received 0 fragments dropped (dup or out of space) 451 fragments dropped after timeout 0 packets reassembled ok 12149095 packets for this host 22641 packets for unknown/unsupported protocol 10937287602 packets forwarded (8579422172 packets fast forwarded) 10453281 packets not forwardable 0 packets received for unknown multicast group 0 redirects sent 23952740 packets sent from this host 3 packets sent with fabricated ip header 8416199 output packets dropped due to no bufs, etc. 10412786 output packets discarded due to no route 0 output datagrams fragmented 0 fragments created 0 datagrams that can't be fragmented 0 tunneling packets that can't find gif 0 datagrams with bad address in header icmp: 13662825 calls to icmp_error 1771 errors not generated in response to an icmp message Output histogram: echo reply: 230477 destination unreachable: 13511547 time exceeded: 148701 0 messages with bad code fields 0 messages less than the minimum length 17 messages with bad checksum 1 message with bad length 189 multicast echo requests ignored 0 multicast timestamp requests ignored Input histogram: echo reply: 989 destination unreachable: 21427 routing redirect: 569 echo: 305655 router solicitation: 72 time exceeded: 265 230477 message responses generated 4 invalid return addresses 11208 no return routes ICMP address mask responses are disabled igmp: 22347 messages received 0 messages received with too few bytes 0 messages received with wrong TTL 0 messages received with bad checksum 22347 V1/V2 membership queries received 0 V3 membership queries received 0 membership queries received with invalid field(s) 2668 general queries received 19679 group queries received 0 group-source queries received 0 group-source queries dropped 0 membership reports received 0 membership reports received with invalid field(s) 0 membership reports received for groups to which we belong 0 V3 reports received without Router Alert 0 membership reports sent arp: 5218366 ARP requests sent 3082655 ARP replies sent 3913034 ARP requests received 98998 ARP replies received 4012032 ARP packets received 10398285 total packets dropped due to no ARP entry 1108376 ARP entrys timed out 71 Duplicate IPs seen Поставил в 1