Перейти к содержимому
Калькуляторы

evgen.v

Пользователи
  • Публикации

    31
  • Зарегистрирован

  • Посещение

О evgen.v

  • Звание
    Абитуриент
  1. Забыл уточнить, используется extfilter, интересует именно в нем. Раньше стоял nfqfilter, там выкрутился через iptables, а вот как в extfilter такое провернуть - хз
  2. Подскажите, есть ли возможность сделать что-то типа whitelist, чтоб указать ip, для которых не нужно проводить фильтрацию трафика?
  3. У меня тоже 502 ошибка периодически выскакивает, и еще бывает такое: И такое почти через один запрос
  4. Да, зеркалится только исходящий трафик, с порта, уходящего на бордер
  5. Добрый день. Собрал extfilter по схеме с зеркалированием трафика, запрещенные ресурсы при открытии в браузере блокируются нормально, но в отчетах ркн пропусков очень дофига: extfilter.ini /usr/lib/tuned/dpdk-tune/tuned.conf /etc/rc.local /proc/cpuinfo /proc/meminfo lspci | grep Ether Раньше на этом же сервере работал nfqfilter, пропуски были, но в пределах ~70. Подскажите, как победить пропуски? Максимум проходящего через сервер трафика - около 800-900 Мб\с.
  6. Добрый день! Столкнулись с такой проблемой: иногда после перезапуска nfqfilter зависает, в логах показывает запуск программы, и дальше в логах тишина, хотя, как я понимаю, он должен писать туда статистику каждые 5 минут, сайты не блокирует, при этом процесс запущен Из-за чего может возникать эта проблема? Как устранить?
  7. Добрый день! Есть такой сайт tv.jw.org, nfqfilter успешно блокирует его, хотя в реестре запрещенных ресурсов этот сайт отсутствует, есть записи с информацией о блокировке сайта jw.org, и тип блокировки у записей не указан, значит, как я понимаю, должны блокироваться только URL с указанным доменом, а поддомены должны открываться: Подскажите, должен ли блокироваться поддомен tv.jw.org? И если не должен - то из-за чего он может блокироваться и как исправить?
  8. Наперлил тут скрипт для проверки блокировки сайтов из реестра, для собственного пользования, решил поделиться, может кому пригодится https://github.com/Joes-Madness/zapret_test
  9. Ну я искренне надеюсь, что совет делать зеркалку был дан не просто так, поэтому пришлось искать, как же все таки настроить интерфейсы на центосе, чтоб он принимал трафик. Но так и быть, раз уж с зеркалированием не вышло - буду ковыряться с маршрутизированием тэтого трафика... С маршрутами все в порядке, там только маршрут по умолчанию, отправляющий на бордер, и маршрут до сети, в которой находятся оба сервера. # ip r default via XXX.XXX.XXX.246 {IP бордера} dev vlan761 proto static metric 400 XXX.XXX.XXX.240/29 dev vlan761 proto kernel scope link src XXX.XXX.XXX.243 metric 400 То есть надо зеркалить трафик на коммутаторе? Да
  10. Несколько раз в этой теме мне рекомендовали зеркалировать трафик - настроил зеркало. Теперь говорят, что не рассчитано на зеркалирование. Чему верить то? Вот нашел мануал по настройке интерфейсов centos с редуктором для работы с зеркалированным трафиком, если настроить по нему - должен будет трафик попадать на iptables и дальше на nfqfilter?
  11. Настройте интерфейс, и должно заработать. Тестили какое-то время другие системы блокировки, коммерческие, так там только на исходящем интерфейсе настраивался IP адрес, на входящем не было адреса, и все работало. Неужели тут не так? Обязательно надо на входящем интерфейсе указывать адрес? Пакеты же видно что идут
  12. Добрый день! Решил установить nfqfilter на физический сервер с Centos 7 и зеркалить трафик с коммутатора. Все настроил, пакеты бегут, но на nfqfilter не попадают, и в iptables, видимо, тоже, так как счетчики не растут. В чем может быть проблема? cat /etc/sysctl.d/50-network.conf iptables -t mangle -S iptables -t mangle -L -n -v ip a Интерфейс enp13s0f1 входящий, трафик с маршрутизатора зеркалится на него. tcpdump -i enp13s0f1 -nnn 'host xxx.xxx.xxx.xxx and (host 104.27.156.204 or host 104.27.157.204)' {ip сайта forparty.net, в файле urls он есть} Помогите, пожалуйста, а то я сам уже замучался, то не работает, сё не работает. :(
  13. Странно, убрал маршрут '87.98.179.108 via XXX.XXX.XXX.243 dev eth1' - в tcpdump показывает пакеты и SYN, и ACK, и PUSH. Добавляю маршрут - идут только SYN пакеты. Надо ли на машине с nfqfilter настраивать что-нибудь, кроме файрвола? Машина с фильтром должна быть "маршрутизатором" для фильтруемых пакетов. Т.е. у данной машины должен быть входящий интерфейс, куда поступают пакеты от абонентов, и исходящий интерфейс, откуда пакеты от абонентов могут поступать в Интернет. Иначе работать не будет. То есть на машине с одним сетевым интерфейсом nfqfilter работать не будет? :(
  14. Странно, убрал маршрут '87.98.179.108 via XXX.XXX.XXX.243 dev eth1' - в tcpdump показывает пакеты и SYN, и ACK, и PUSH. Добавляю маршрут - идут только SYN пакеты. Надо ли на машине с nfqfilter настраивать что-нибудь, кроме файрвола?
  15. tcpdump'ом снять дамп, я правильно понимаю? То же самое показывает tcpdump на бордере.