Перейти к содержимому
Калькуляторы

rootbmb

Пользователи
  • Публикации

    23
  • Зарегистрирован

  • Посещение

О rootbmb

  • Звание
    Абитуриент
  • День рождения 23.06.1986

Контакты

  • ICQ
    355166909
  • Skype
    cool-bmb

Информация

  • Пол
    Мужчина

Город

  • Город
    Дербент
  1. Добрый день коллеги nfqfilter.ini ; номер очереди queue = 0 ; файл с доменами для блокировки domainlist = /path/to/domains ; файл с url для блокировки urllist = /path/to/urls ; файл с ssl доменами для блокировки ssllist = /path/to/ssl_host ; файл с ip:port для блокировки hostlist = /path/to/hosts ; куда редиректить в случае наличия в списках redirect_url = http://intcom.su/? ; HTTP код ответа. default: 302 Moved Temporarily http_code = 302 Moved Temporarily ; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего url_additional_info=url ; дополнительные порты для протоколов (nDPI) protocols = /path/to/protos ; время вывода статистики по использованию памяти, минут statistic_interval = 10 ; если установлено в true, то сам nfqfilter отправляет tcp rst клиенту и серверу (тогда mark_value не используется) в случае фильтрации https и ip:port send_rst = true ; каким значением метить пакеты для iptables в случае наличия в списках ssl и hosts mark_value = 17 ; количество обрабатываемых пакетов (default: 1024) max_pending_packets = 100000 ; сохранять пакеты ошибками в /tmp save_bad_packets = false ; блокировать ssl client hello по первому пакету, если в ssl пакете нет server_name. Обязательно наличие файла sslips с ip адресами. ;block_undetected_ssl = true ; Путь к файлу с ip адресами для блокировки ssl по ip, если в ssl пакете нет server_name (block_undetected_ssl = true) sslips = /path/to/ssl_ips ; перевод host: в строчные символы ;lower_host = true ; host должен точно совпадать со списком, т.е. в списке есть example.com, в запросе www.example.com - не блокируем. match_host_exactly = false ; Если в url встречаются escape последовательности символов 0-9, a-z, A-Z, то переводить их в символы ; url_decode = false ; Количество потоков обработки пакетов num_threads = 6 [logging] ;loggers.root.level = information loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/nfqfilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local iptables iptables -t mangle -A PREROUTING -p tcp -m tcp -j NFQUEUE --queue-num 0 --queue-bypass iptables -A FORWARD -m mark --mark 17 -p tcp -j REJECT --reject-with tcp-reset root@accel-test:~# cat /proc/net/netfilter/nfnetlink_queue 0 26240 0 2 65535 0 0 0 1 log 2016-07-26 16:40:22.725 [26240] Information Application - nDPI memory per flow: 1.91 KB 2016-07-26 16:40:22.725 [26240] Information Application - nDPI current memory usage: 1.76 MB 2016-07-26 16:40:22.725 [26240] Information Application - nDPI maximum memory usage: 1.76 MB 2016-07-26 16:40:22.725 [26240] Debug Application - State of task NFQStatisticTask is 2 2016-07-26 16:40:22.725 [26240] Information Application - Total seen packets: 0, Total seen bytes: 0, Average packet size: 0 bytes, Traffic throughput: 0.00 pps 2016-07-26 16:40:22.725 [26240] Information Application - Total matched by ip/port: 0, Total matched by ssl: 0, Total matched by ssl/ip: 0 2016-07-26 16:40:22.725 [26240] Information Application - Total redirected domains 0, Total redirected urls: 0, Total marked ssl: 0, Total marked hosts: 0, Total rst sended: 0 2016-07-26 16:40:22.725 [26240] Debug Application - State of task nfqThread is 2 2016-07-26 16:40:22.725 [26240] Debug Application - State of task SenderTask is 2 2016-07-26 16:40:22.725 [26240] Debug Application - State of task ReloadTask is 2 2016-07-26 16:40:32.725 [26240] Information Application - nDPI memory (once): 104.60 KB 2016-07-26 16:40:32.725 [26240] Information Application - nDPI memory per flow: 1.91 KB 2016-07-26 16:40:32.725 [26240] Information Application - nDPI current memory usage: 1.76 MB 2016-07-26 16:40:32.725 [26240] Information Application - nDPI maximum memory usage: 1.76 MB 2016-07-26 16:40:32.725 [26240] Debug Application - State of task NFQStatisticTask is 2 2016-07-26 16:40:32.725 [26240] Information Application - Total seen packets: 0, Total seen bytes: 0, Average packet size: 0 bytes, Traffic throughput: 0.00 pps 2016-07-26 16:40:32.725 [26240] Information Application - Total matched by ip/port: 0, Total matched by ssl: 0, Total matched by ssl/ip: 0 2016-07-26 16:40:32.725 [26240] Information Application - Total redirected domains 0, Total redirected urls: 0, Total marked ssl: 0, Total marked hosts: 0, Total rst sended: 0 2016-07-26 16:40:32.726 [26240] Debug Application - State of task nfqThread is 2 2016-07-26 16:40:32.726 [26240] Debug Application - State of task SenderTask is 2 2016-07-26 16:40:32.726 [26240] Debug Application - State of task ReloadTask is 2 iptables -n -L -t mangle -v Chain PREROUTING (policy ACCEPT 188K packets, 147M bytes) pkts bytes target prot opt in out source destination 528K 455M NFQUEUE tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp NFQUEUE num 0 bypass Chain INPUT (policy ACCEPT 6798 packets, 1226K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 709K packets, 600M bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 4131 packets, 461K bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 713K packets, 600M bytes) pkts bytes target prot opt in out source destination не блокирует и что не так делаю ?
  2. Добрый день, не подскажете как сбросить пароль на orion alpha a10e? Привезли б.у. штук 10 и все запаролены. Пробовал из бут Format both DOS file systems не помогло и загрузку без конфига (S) тоже не помогло.
  3. не ужели ни кто не сталкивался с этой проблемой ???
  4. mtu меня не помогало
  5. Добрый день!! Помогите пожалуйста с решение такой проблемы. Схема такая vpn-server--mikrotik(ccr1036)--snr-s2990-(клиенты), потеря больших пакетов в pptp-тунели если маршрутизатором является микротик(ccr1036) как указанно в схеме. mikrotik cc1036 br-vlan10(vlan10sp1,vlan10e1)-192.168.41.128/26-br-vlan10 это бридж br-vpn(vpn1bond,vpn2bond)-10.0.0.8/24 - br-vpn это бридж vpn Chain FORWARD (policy ACCEPT) target prot opt source destination TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcpflags: 0x06/0x02 TCPMSS clamp to PMTU accel-ppp ppp917 Link encap:Point-to-Point Protocol inet addr:1.1.1.1 P-t-P:176.113.124.31 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1 RX packets:325177 errors:0 dropped:0 overruns:0 frame:0 TX packets:751564 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:30601081 (30.6 MB) TX bytes:1004083010 (1.0 GB) tcpdump 00:00:00.000014 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.965512 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1973, length 1376 00:00:00.000189 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035128 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1973, length 1376 00:00:00.000017 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.965657 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1974, length 1376 00:00:00.000004 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035258 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1974, length 1376 00:00:00.000014 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.966156 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1975, length 1376 00:00:00.000006 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035063 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1975, length 1376 00:00:00.000014 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.966271 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:01.004818 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1977, length 1376 00:00:00.000003 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035313 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1977, length 1376 00:00:00.000012 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.966458 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1978, length 1376 00:00:00.000007 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:01.007870 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:01.004964 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1980, length 1376 00:00:00.000003 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035124 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1980, length 1376 00:00:00.000008 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.966789 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1981, length 1376 00:00:00.000005 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035276 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1981, length 1376 00:00:00.000013 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.966255 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1982, length 1376 00:00:00.000226 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035386 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1982, length 1376 00:00:00.000013 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.965469 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:01.005661 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1984, length 1376 00:00:00.000004 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035013 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1984, length 1376 00:00:00.000013 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.965976 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1985, length 1376 00:00:00.000008 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035391 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1985, length 1376 00:00:00.000016 IP 93.158.134.3 > 176.113.124.31: icmp 00:00:00.965823 IP 176.113.124.31 > 93.158.134.3: ICMP echo request, id 3226, seq 1986, length 1376 00:00:00.000004 IP 176.113.124.31 > 93.158.134.3: icmp 00:00:00.035382 IP 93.158.134.3 > 176.113.124.31: ICMP echo reply, id 3226, seq 1986, length 1376 00:00:00.000008 IP 93.158.134.3 > 176.113.124.31: icmp Проверял без микротика потерь нет, а вот при использование микротика начинаются потери.
  6. Option 82 + Zyxel Es-2024a

    Ванька у меня дхцп сервер в 1 влане
  7. Option 82 + Zyxel Es-2024a

    400 влан это клиенский, а 1 это менеджмент просто сеть перестраивается тяжело отойти от первого влана так на конфиге и в правду входяший 25 порт в акцесе так это не проблема могу и в транк закинуть разницы не будет, но в влан400 25 порт в транке так что должно по сути работать ))) просто не могу понять почему он перехватывает запросы к дхцп, но в запросе приходит влан1 и 25 порт ((( хотя должен в запросе 6 порт и влан400
  8. Option 82 + Zyxel Es-2024a

    А че тут ни кто не сталкивался с этой проблемой ? Или es2024a ни кто не использует ?
  9. Option 82 + Zyxel Es-2024a

    V3.90(TX.3) это последняя то что было на оф. сайте
  10. Option 82 + Zyxel Es-2024a

    по ходу ни кто не использует es2024a((((
  11. Option 82 + Zyxel Es-2024a

    ни кто не сталкивался с такой проблемой ???
  12. Здравствуйте. Купил б.у. Zyxel ES-2024A и надо реализовать dhcp relay на нем test# show running-config Building configuration... Current configuration: vlan 1 name 1 normal "" fixed 25-26 forbidden 1-24 untagged 1-26 ip address default-management 172.16.4.200 255.255.0.0 exit vlan 400 normal 26 fixed 1-25 forbidden "" untagged 1-24 exit interface port-channel 1 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 2 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 3 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 4 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 5 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 6 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 7 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 8 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 9 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 10 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 11 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 12 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 13 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 14 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 15 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 16 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 17 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 18 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 19 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 20 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 21 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 22 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 23 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 24 pvid 400 bmstorm-limit 100 loopguard exit interface port-channel 25 name uplink diffserv exit hostname test time timezone 300 timesync server 172.16.0.1 timesync ntp loopguard snmp-server contact rootbmb@gmail.com location rus dhcp smart-relay dhcp smart-relay helper-address 172.16.0.2 dhcp smart-relay option dhcp smart-relay information syslog server 172.16.3.100 level 4 dhcpd.conf option ms-classless-static-routes code 249 = array of unsigned integer 8; option rfc3442-classless-static-routes code 121 = array of unsigned integer 8; ddns-update-style none; #ddns-update-style interim; #ignore client-updates; default-lease-time 300; max-lease-time 7200; authoritative; local-address 172.16.0.2; log-facility local7; option domain-name "intset.ru"; option domain-name-servers 10.0.0.11; log(info, "***"); if exists agent.circuit-id { log( info,concat("*Leased ",binary-to-ascii(10,8,".",leased-address)," (with opt82)") ); log( info,concat("*Remote-ID: ",binary-to-ascii(16,8,":",substring(option agent.remote-id,2,6))) ); log( info,concat("*Port: ",binary-to-ascii(10,8,"",suffix(option agent.circuit-id,1))) ); } else { log( info,concat("*Leased ",binary-to-ascii(10,8,".",leased-address)," (without opt82)") ); } log(info, "***"); shared-network "clients" { subnet 172.16.0.0 netmask 255.255.0.0 { } subnet 192.168.100.0 netmask 255.255.255.192 { option subnet-mask 255.255.255.192; option ms-classless-static-routes 8, 10, 192, 168, 100, 1, 16, 172, 16, 192, 168, 100, 1; option rfc3442-classless-static-routes 8, 10, 192, 168, 100, 1, 16, 172, 16, 192, 168, 100, 1; option routers 192.168.100.1; include "/etc/dhcp/switch/es2024a"; } } include "/etc/dhcp/switch/es2024a"; class "vlan400"{match if ( binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "400"); } pool {range 192.168.100.3 192.168.100.50; allow members of "vlan400"; } dhcpdump Ignored non IPv4 packet: 129 Ignored non IPv4 packet: 129 TIME: 2016-02-27 12:10:31.902 IP: 172.16.4.200 (0:13:49:ff:3b:e3) > 255.255.255.255 (ff:ff:ff:ff:ff:ff) OP: 2 (BOOTPREPLY) HTYPE: 1 (Ethernet) HLEN: 6 HOPS: 0 XID: 11d4388d SECS: 0 FLAGS: 7f80 CIADDR: 192.168.30.135 YIADDR: 192.168.30.135 SIADDR: 172.16.0.2 GIADDR: 0.0.0.0 CHADDR: 90:f6:52:5e:5e:d5:00:00:00:00:00:00:00:00:00:00 SNAME: . FNAME: . OPTION: 53 ( 1) DHCP message type 5 (DHCPACK) OPTION: 54 ( 4) Server identifier 172.16.0.2 OPTION: 51 ( 4) IP address leasetime 300 (5m) OPTION: 1 ( 4) Subnet mask 255.255.255.192 OPTION: 3 ( 4) Routers 192.168.30.129 OPTION: 6 ( 4) DNS server 10.0.0.11 OPTION: 15 ( 9) Domainname intset.ru OPTION: 121 ( 13) Classless Static Route 10ac10c0a81e8108 ........ 0ac0a81e81 ..... OPTION: 249 ( 13) MSFT - Classless route 10ac10c0a81e8108 ........ 0ac0a81e81 ..... --------------------------------------------------------------------------- TIME: 2016-02-27 12:10:36.542 IP: 172.16.4.200 (0:13:49:ff:3b:e3) > 172.16.0.2 (0:4:23:88:23:c9) OP: 1 (BOOTPREQUEST) HTYPE: 1 (Ethernet) HLEN: 6 HOPS: 1 XID: 363a0a8c SECS: 3506 FLAGS: 7f80 CIADDR: 0.0.0.0 YIADDR: 0.0.0.0 SIADDR: 0.0.0.0 GIADDR: 172.16.4.200 CHADDR: a8:f9:4b:7f:fc:00:00:00:00:00:00:00:00:00:00:00 SNAME: . FNAME: . OPTION: 53 ( 1) DHCP message type 1 (DHCPDISCOVER) OPTION: 61 ( 7) Client-identifier 01:a8:f9:4b:7f:fc:00 OPTION: 51 ( 4) IP address leasetime -1 () OPTION: 12 ( 0) Host name OPTION: 60 ( 7) Vendor class identifier MES2124 OPTION: 55 ( 11) Parameter Request List 1 (Subnet mask) 3 (Routers) 66 (TFTP server name) 67 (Bootfile name) 54 (Server identifier) 125 (???) 129 (???) 150 (???) 6 (DNS server) 15 (Domainname) 100 (Printer Name) OPTION: 82 ( 10) Relay Agent Information Circuit-ID 00:19:00:01:74:65:73:74 Из дампа видно что он в Circuit-ID прописал 25 порт и vlan1, а должен 6 порт и vlan400. Он перехватывает запросы на vlan1 и адреса получает не верные. Кто сталкивался и как решил эту проблему или может я что то не правильно делаю ??
  13. Alcatel ls 6224 option 82

    все заработало ))) оказывается он может только dhcp_local_rely, пришлось релей на ccr1036 использовать ))) тему можно закрыть )))все спасибо кто отозвался
  14. Alcatel ls 6224 option 82

    Короче толкового решения нету у вас коллеги)))) не уже ли ни кто не сталкивался с этими alcotel ls6224 и хотелось бы узнать почему не могу в режиме switchport general pvid vlan 1???
  15. Alcatel ls 6224 option 82

    клиент--e1(ls6224)g2--port1(dxs3326gsr)port24--s1l3(ccr1036)e10--dhcp-server ls6224(172.16.0.10)vlan1002-access(e1) vlan1-trunk(менеджм.) dxs3326(172.16.0.3)port1-vlan1002,vlan1(trunk), port24-vlan1002,vlan1(trunk) ccr1036(172.16.0.1)s1-(vlan1002s1,vlan1s1), e10(vlan1002e10,vlan1e10). bridg-vlan1002-(vlan1002s1,vlan1002e10)192.168.200.1, bridg-vlan1(vlan1s1,vlan1e10) Вот вся схема работы А пока я проверяю на тестовом dhcp server (клиент--e1(ls6224)g2-dhcp-server)