Lucky SB

аналогичная ситуация. мелкорутер на атоме, стояла 7.2, начал сыпаться винт - переместил систему на другой диск, заодно проапгрейдил сорс-апдейтом 7->8->9.2 периодически ребутается машинка. ;( в логах пусто. иногда тормозит при обращениях к диску. думаю обновить до 9.3 и надо посмотреть диск там в AHCI или совместимом режиме в биос

это все навальный виноват.

Ага, а потом делают проверку и сайты из реестра открываются. Ну вот и началось. Сегодня позвонила приятная девушка из надзора. Говорит проверяем вас, а у вас кое-что открыто. Причем по тем, у которых адреса не совпадают с адресами из реестра претензий нет. В основном сайты у которых несколько адресов, один из которых в реестре, а к другим ip доступ свободный Ну и сайт в реестре eric1234.com, а проверяют доступность страницы по адресу http://www.eric1234.com Отписал ответ, почтовик rkn.gov.ru ответил вот так: relay=mx1.rkn.gov.ru[188.254.8.81]:25, delay=5.7, delays=0.01/0.05/0.34/5.3, dsn=5.7.1, status=bounced (host mx1.rkn.gov.ru[188.254.8.81] said: 550 5.7.1 Message rejected as spam by Content Filtering. (in reply to end of DATA command)) Пришлось в вордовский файл и аттачем прикреплять свое письмо. тогда прошло.

Ага, а потом делают проверку и сайты из реестра открываются. ну а ты инспектору письмо показываешь и говоришь - ну вы ж сами запретили. Собственно, когда-то они выкладывали методику блокировок по контенту. Так вот там фишка была в том, что бы заворачивать на проверку запрещенных url не весь исходящий трафик, а только тот, что идет на ip-адреса из реестра.

navalny.zta.lk CNAME kremlin.ru Спасибо навальному за наше счастливое настоящее. т-т-т по дереву, чтобы не спугнуть. Сегодня пришло письмо от местного надзора, о том, что "отдельные операторы связи самостоятельно отслеживают замену сетевых адресов и, как следствие, блокируются не включенные в Реестр ресурсы." И такие операторы могут случайно заблокировать официальные сайты госорганов. И в итоге: "уведомляем вас о неукоснительном блокировании только тех IP-адресов, которые включены в реестр" PS: это не первоапрельская шутка.

Конечно рисует, если при создании выбрать протокол v2 и график 64-бита... не надо считать людей глупее себя. заменил штатный bsmnpd на netsnmpd - все стало рисоваться.

Конечно же нет. тот же какти с коммутаторов по полгигабита загрузки спокойно рисует на интерфейсах Сегодня в середине дня опять случился жорик. Не помогло новое железо. ;( Причем жорик длился около часа и прошел сам собой. ;( будем переползать на 9.2

Followup FreeBSD 7.2 em ng_nat Core2Duo В среднем 10000 pps, пики в 20000 pps. Не очень много.... Процессор на 20-30% максимум загружен. Но вот сегодня случился матч по хоккею Россия-Норвегия. И видимо много абонентов одновременно захотели его посмотреть. Сервер впал в кому: одно ядро 100% ng_queue0, второе простаивает пинг до сервера 1000ms, ssh с трудом протискивается на коммутаторах нагрузка интерфейса минимальная.... На сервере крутиться ng_nat и шейпер через dummynet 03000 netgraph tablearg ip from any to table(6) in recv vlan0 10000 pipe tablearg ip from table(100) to any in 10005 deny ip from table(109) to any 10010 netgraph tablearg ip from table(5) to any out xmit vlan0 10100 pipe tablearg ip from any to table(101) out Вот что нашлось в интернете: http://lists.freebsd.org/pipermail/freebsd-net/2010-January/024357.html Вкратце - на FreeBSD7.2 у человека как только количество пакетов в ng_ipfw превышает порог и узел перестает успевать обрабатывать пакеты наступает попа. одно ядро занято ng_queueX, остальные простаивают. ng_ipfw один, не параллелится. моя нагрузка. netstat -w1 -I em0 input (em0) output packets errs bytes packets errs bytes colls 9033 0 7058753 8767 0 7037515 0 10096 0 7769096 9803 0 7757513 0 9882 0 7798929 9635 0 7787372 0 10365 0 7842143 9998 0 7702506 0 11305 0 8400510 11066 0 8442332 0 12084 0 9238992 11750 0 9167847 0 14929 0 11745265 14722 0 11777404 0 12287 0 9132906 12031 0 9180145 0 11 root 1 171 ki31 0K 8K CPU1 1 124:22 100.00% idle: cpu1 12 root 1 171 ki31 0K 8K RUN 0 127:00 90.58% idle: cpu0 27 root 1 -68 - 0K 8K WAIT 0 19:07 9.67% irq256: em0 2 root 1 -68 - 0K 8K sleep 1 28:03 0.29% ng_queue0 3 root 1 -68 - 0K 8K sleep 1 6:49 0.20% ng_queue1 48 root 1 -68 - 0K 8K - 0 9:13 0.00% dummynet 14 root 1 -32 - 0K 8K WAIT 0 1:42 0.00% swi4: clock 28 root 1 -68 - 0K 8K WAIT 1 1:00 0.00% irq257: em0 26 root 1 -68 - 0K 8K - 0 0:40 0.00% em0 taskq У меня 7.2, работало без проблем, а у топик стартера 9.0 - и такие же сипмтомы. неужели не починили....

Судя по выводу РКНовского скрипта (выше было), имхуется мне, что проверяют они как раз таки доступность URL (полчуили "200 OK" - значит доступно). Потому мой способ кажется мне наиболее верным для такого типа проверок. В ноябре надзор мне уже давал отчет по проверке, в январском отчете добавились поля, так что скриптик их дорабатывается ... Судя по .xls с результатами работы скрипта мне видится следующий алгоритм: 1. Дергаем страницу по url - если код не 2xx - значит заблочили. Проверяем следующую запись. (это следует из того, что расхождение ip из реестра и фактического в отчете указывается только для незаблокированных записей ) 2. Иначе проверяем в какой адрес ресолвиться домен из поля domain !!! Это четко видно, что в url: http://www.vipreagent.com/итп, а в domain vipreagent.com, и ресолвят они адрес хоста vipreagent.com и пишут в отчете, что адрес из поля ip не совпадает с фактическим адресом хоста из поля domain Если знать их DNS. Ну используют они DNS своего провайдера, или вообще свой собственный named В связи с участившиейся практикой dos-атак query-запросы снаружи (от вас) эти сервера не принимают. И чем вам это поможет ?

А глупых вопросов не надо задавать... Если немного подумать, то становиться очевидным, что злобному инспектору нет необходимости обходить блокировки через анонимайзеры или заниматься прочей фигней. Он просто напишет представление, а доказывать свою невиновность ты в суд пойдешь самостоятельно.

Линк не подскажете ?

Тут суть в том, что они требуют блокировать доступ к неким текстам, озаглавленным следующими словами: "Евгений Дюринг «Еврейский вопрос как вопрос о расовом характере и его вредоносном влиянии на существование народов, на нравы и культуру»" а в решении суда фигурирует не сайт, не страница и даже не текстовый файл, а бумажная книга, изданная в москве, в 2003 году. Исходя из логики прокуратуры я должен провести экспертизу и установить, что на таком-то сайте размещен текст, идентичный тексту бумажной книги в решении суда, и далее каждый день проверять - не изменился ли этот текст. Так как если там исчезнуть признаки экстремизма я опять нарушу закон, незаконно блокируя доступ в интернет своим абонентам.

Статистика со СКАТ DPI : список РКН + список Минюста url/lock=2026610679/112923 https/lock=9068166876/156 первое число - всего HTTP запросов, второе - сколько заблокировано, т.е. блокируется каких-то 0.005% запросов Вывод: если блокировать не по IP, то пользователи этой блокировки даже не заметят А могет ваш СКАТ блокировать книги ? Которые есть в списке минюста ?

Местная прокуратура прислала "Представление об устранении нарушения законодательства о противодействии экстремисткой деятельности" Они проводили "проверку операторов связи, обеспечивающих свободный доступ пользователей сети Интернет к информационным материалам, внесенным в федеральный список экстремистских материалов" Сначала один лист вольных цитат из законов... Вот например: Т.е. все фильмы о второй мировой, в которых есть изображение свастики попадают в экстремистские. Бедный Штирлиц.... Вот интересное уточнение, внесенное в закон году в 2006.... Вот еще прекрасный образец словоблудия: Сначала цитата близко к тексту: А теперь страшилки: Может кто просветит, чем это меня пугают ? В общем они провели осмотр ресурсов e-lib.info и magister.msk.ru и выявили, что на них размещена книга Е.Дюринга (запись номер 979 в списке минюста) (Это немецкий философ, умер в 1921 году) В списке минюста запрещена КНИГА, с указанием издательства и года издания. Не сайт, не страница, даже не комментарии пользователя, а бумажная книга. В общем требуют меня дисциплинарно наказать за неисполнение должностных инструкций. В моих ДИ нету обязанностей по поиску эсктремистской литературы в интернете.

Конечно, в этом же его прелесть. Выделите один влан под мультикаст с тегом 100 Включите ВЕЗДЕ в нем igmp snooping, create vlan iptv tag 100 enable igmp_snooping config igmp_snooping vlan_name iptv state enable fast_leave disable а на доступе поднимите мультикаст-влан с тем же тегом 100 и подмешивайте его в клиентские порты. enable igmp_snooping enable igmp_snooping multicast_vlan create igmp_snooping multicast_vlan iptv 100 config igmp_snooping multicast_vlan iptv state enable config igmp_snooping multicast_vlan iptv replace_source_ip 10.250.0.100 config igmp_snooping multicast_vlan iptv add member_port 1-24 config igmp_snooping multicast_vlan iptv add tag_member_port 25-27 config igmp_snooping multicast_vlan iptv add source_port 28 конфиги для длинков, обрати внимание на создание мультикаст влана, просто влан с тегом 100 создавать не надо при включенном igmp_snooping в сети будет только тот трафик, который заказал юзер. мультикаст влан читерски подмешивает мультикаст в порт юзера без тегов и так же читерски ловит IGMP join/leave от юзера и отправляет в source порт