Перейти к содержимому
Калькуляторы

epollia

Пользователи
  • Публикации

    117
  • Зарегистрирован

  • Посещение

О epollia

  • Звание
    Студент

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. От своих такого не слышал, а можно полностью дамп глянуть?
  2. Проверил от себя, блокируется
  3. можно остановить, вернуть его в систему и сделать дамп :)
  4. ну теперь смотрите дамп, попробуйте еще снять дамп на самом сервере extfilter.
  5. У менЯ выше указанная ссылка блокируется как https. Т.е. ПК получается rst пакет и разрывает соединение с сервером. Попробуйте проверить с помощью wget, Возможно все таки этот был кэш, потому что в таком дампе не видно содержимое пакета и не ясно был ли отправлен Client Hello. Если и с wget будут проблемы запишите полный дамп в файл и посмтрите тем же самым wiresharck. Там должен быть пакет, в котром в открытом виде передается домен. Если пакет есть, а страница сайта все равно отдается, тогда могу сделать предположение, что к вас с зеркалом проблемы.
  6. в дампе у вас пусто, там нет пакетов от extfilter. Проверьте в спиках-фильтрах есть указанный домен?
  7. почему порт изменился 11:04:50.131175 IP 104.18.40.52.58 > mysite.com.53100 был 80 стал 58.. Все же странная схема изначально, в итоге после вашего переключения ничего не поменялось (логическая схема осталась прежней). ExtFitler ничего не знает про то, за какими ip адресами натятся ваши сети, в него летит чистый абонентский трафик, а значит на те самы абонентские ip адреса он и будет отпралвять редиректы и rst пакеты. В вашем случае центральный маршрутизатор должен знать все маршруты до ваших внутренних сетей и маршрутизировать эти пакеты в обход nas в сторону абонентов. Если я правильно понял у Вас сети терминируются на NAS и на центральном маршрутизаторе и все сети еще разделены на разные vlan? Блин и если у Вас держателями сетей являются nas и маршрутизатор, тогда тут вариант только один. Зеркалить аплинк и sender подключить в маршрутизатор. Тогда на ExtFitler будет попадать весь тарфик но уже после nas. И отправлятьс обратно тем же путем что и обычный ответ от удаленного сервера. Правда не знаю на сколько стабильна будет такая реализация. Где-то на форму Максим рекомендовал всже ставить фильтр перед nat, но в вам случае стоит попробовать.
  8. у меня блокируются. Tcpdump-ом смотрел? Может ответ долго летит?
  9. если выставление этих параметров помогло, тогда желательно убедиться что весть исходящий трафик попадает на сервер, иначе могут быть утечки памяти и как следствие пропуски. Речь шла про tcp_reordering Я бы по экперементировал с разными комбинациями. У меня в силу конфигурации сети и зеркала стоит только fragmentation_ipv4_state = true fragmentation_ipv4_table_size = 512
  10. Для эксперемента попробуй выставить в true. А у тебя точно тарфик до проблемных серверов попадает на фильтр?, может у тебя пиринг какой хитрый сделан и этот трафик на фильтр не попадает?
  11. стоит ли у тебя в конфиге фильтра fragmentation_ipv4_state и tcp_reordering ?
  12. Я ни на что не намекаю, но точно твой фильтр их блокирует? Если точно он, тогда несколько вариантов: Фильтр не справляется Проблемы с зеркалом Трафик от фильтра приходит позже чем от боевого сервера. Вроде у ребят были проблемы еще с сетевыми Всегда не блокируются одни и те же URL? (тут лучше не браузерами проверять, потому что они могут сразу отдать из кеша страницу)
  13. я бы на твоем месте сделал по другому, порт sender воткнул тудаже, откуда у тебя идет mirror. Настроил бы либо отдельный vlan, либо в уже существующий ( все равно ip адресе не занимать). На счет mac адреса не совсем понятно. Судя из схемы у тебя разные vlan заведены на разные nas, а какие-то идут в обход них. Тут надо думать :(. Как мне кажется нужно NAT вытащить выше чем sender, либо mirror выше чем NAT