Lucky SB

аналогичная ситуация. мелкорутер на атоме, стояла 7.2, начал сыпаться винт - переместил систему на другой диск, заодно проапгрейдил сорс-апдейтом 7->8->9.2 периодически ребутается машинка. ;( в логах пусто. иногда тормозит при обращениях к диску. думаю обновить до 9.3 и надо посмотреть диск там в AHCI или совместимом режиме в биос

это все навальный виноват.

Ага, а потом делают проверку и сайты из реестра открываются. Ну вот и началось. Сегодня позвонила приятная девушка из надзора. Говорит проверяем вас, а у вас кое-что открыто. Причем по тем, у которых адреса не совпадают с адресами из реестра претензий нет. В основном сайты у которых несколько адресов, один из которых в реестре, а к другим ip доступ свободный Ну и сайт в реестре eric1234.com, а проверяют доступность страницы по адресу http://www.eric1234.com Отписал ответ, почтовик rkn.gov.ru ответил вот так: relay=mx1.rkn.gov.ru[188.254.8.81]:25, delay=5.7, delays=0.01/0.05/0.34/5.3, dsn=5.7.1, status=bounced (host mx1.rkn.gov.ru[188.254.8.81] said: 550 5.7.1 Message rejected as spam by Content Filtering. (in reply to end of DATA command)) Пришлось в вордовский файл и аттачем прикреплять свое письмо. тогда прошло.

Ага, а потом делают проверку и сайты из реестра открываются. ну а ты инспектору письмо показываешь и говоришь - ну вы ж сами запретили. Собственно, когда-то они выкладывали методику блокировок по контенту. Так вот там фишка была в том, что бы заворачивать на проверку запрещенных url не весь исходящий трафик, а только тот, что идет на ip-адреса из реестра.

navalny.zta.lk CNAME kremlin.ru Спасибо навальному за наше счастливое настоящее. т-т-т по дереву, чтобы не спугнуть. Сегодня пришло письмо от местного надзора, о том, что "отдельные операторы связи самостоятельно отслеживают замену сетевых адресов и, как следствие, блокируются не включенные в Реестр ресурсы." И такие операторы могут случайно заблокировать официальные сайты госорганов. И в итоге: "уведомляем вас о неукоснительном блокировании только тех IP-адресов, которые включены в реестр" PS: это не первоапрельская шутка.

Конечно рисует, если при создании выбрать протокол v2 и график 64-бита... не надо считать людей глупее себя. заменил штатный bsmnpd на netsnmpd - все стало рисоваться.

Конечно же нет. тот же какти с коммутаторов по полгигабита загрузки спокойно рисует на интерфейсах Сегодня в середине дня опять случился жорик. Не помогло новое железо. ;( Причем жорик длился около часа и прошел сам собой. ;( будем переползать на 9.2

Followup FreeBSD 7.2 em ng_nat Core2Duo В среднем 10000 pps, пики в 20000 pps. Не очень много.... Процессор на 20-30% максимум загружен. Но вот сегодня случился матч по хоккею Россия-Норвегия. И видимо много абонентов одновременно захотели его посмотреть. Сервер впал в кому: одно ядро 100% ng_queue0, второе простаивает пинг до сервера 1000ms, ssh с трудом протискивается на коммутаторах нагрузка интерфейса минимальная.... На сервере крутиться ng_nat и шейпер через dummynet 03000 netgraph tablearg ip from any to table(6) in recv vlan0 10000 pipe tablearg ip from table(100) to any in 10005 deny ip from table(109) to any 10010 netgraph tablearg ip from table(5) to any out xmit vlan0 10100 pipe tablearg ip from any to table(101) out Вот что нашлось в интернете: http://lists.freebsd.org/pipermail/freebsd-net/2010-January/024357.html Вкратце - на FreeBSD7.2 у человека как только количество пакетов в ng_ipfw превышает порог и узел перестает успевать обрабатывать пакеты наступает попа. одно ядро занято ng_queueX, остальные простаивают. ng_ipfw один, не параллелится. моя нагрузка. netstat -w1 -I em0 input (em0) output packets errs bytes packets errs bytes colls 9033 0 7058753 8767 0 7037515 0 10096 0 7769096 9803 0 7757513 0 9882 0 7798929 9635 0 7787372 0 10365 0 7842143 9998 0 7702506 0 11305 0 8400510 11066 0 8442332 0 12084 0 9238992 11750 0 9167847 0 14929 0 11745265 14722 0 11777404 0 12287 0 9132906 12031 0 9180145 0 11 root 1 171 ki31 0K 8K CPU1 1 124:22 100.00% idle: cpu1 12 root 1 171 ki31 0K 8K RUN 0 127:00 90.58% idle: cpu0 27 root 1 -68 - 0K 8K WAIT 0 19:07 9.67% irq256: em0 2 root 1 -68 - 0K 8K sleep 1 28:03 0.29% ng_queue0 3 root 1 -68 - 0K 8K sleep 1 6:49 0.20% ng_queue1 48 root 1 -68 - 0K 8K - 0 9:13 0.00% dummynet 14 root 1 -32 - 0K 8K WAIT 0 1:42 0.00% swi4: clock 28 root 1 -68 - 0K 8K WAIT 1 1:00 0.00% irq257: em0 26 root 1 -68 - 0K 8K - 0 0:40 0.00% em0 taskq У меня 7.2, работало без проблем, а у топик стартера 9.0 - и такие же сипмтомы. неужели не починили....

Судя по выводу РКНовского скрипта (выше было), имхуется мне, что проверяют они как раз таки доступность URL (полчуили "200 OK" - значит доступно). Потому мой способ кажется мне наиболее верным для такого типа проверок. В ноябре надзор мне уже давал отчет по проверке, в январском отчете добавились поля, так что скриптик их дорабатывается ... Судя по .xls с результатами работы скрипта мне видится следующий алгоритм: 1. Дергаем страницу по url - если код не 2xx - значит заблочили. Проверяем следующую запись. (это следует из того, что расхождение ip из реестра и фактического в отчете указывается только для незаблокированных записей ) 2. Иначе проверяем в какой адрес ресолвиться домен из поля domain !!! Это четко видно, что в url: http://www.vipreagent.com/итп, а в domain vipreagent.com, и ресолвят они адрес хоста vipreagent.com и пишут в отчете, что адрес из поля ip не совпадает с фактическим адресом хоста из поля domain Если знать их DNS. Ну используют они DNS своего провайдера, или вообще свой собственный named В связи с участившиейся практикой dos-атак query-запросы снаружи (от вас) эти сервера не принимают. И чем вам это поможет ?

А глупых вопросов не надо задавать... Если немного подумать, то становиться очевидным, что злобному инспектору нет необходимости обходить блокировки через анонимайзеры или заниматься прочей фигней. Он просто напишет представление, а доказывать свою невиновность ты в суд пойдешь самостоятельно.

Линк не подскажете ?

Тут суть в том, что они требуют блокировать доступ к неким текстам, озаглавленным следующими словами: "Евгений Дюринг «Еврейский вопрос как вопрос о расовом характере и его вредоносном влиянии на существование народов, на нравы и культуру»" а в решении суда фигурирует не сайт, не страница и даже не текстовый файл, а бумажная книга, изданная в москве, в 2003 году. Исходя из логики прокуратуры я должен провести экспертизу и установить, что на таком-то сайте размещен текст, идентичный тексту бумажной книги в решении суда, и далее каждый день проверять - не изменился ли этот текст. Так как если там исчезнуть признаки экстремизма я опять нарушу закон, незаконно блокируя доступ в интернет своим абонентам.

Статистика со СКАТ DPI : список РКН + список Минюста url/lock=2026610679/112923 https/lock=9068166876/156 первое число - всего HTTP запросов, второе - сколько заблокировано, т.е. блокируется каких-то 0.005% запросов Вывод: если блокировать не по IP, то пользователи этой блокировки даже не заметят А могет ваш СКАТ блокировать книги ? Которые есть в списке минюста ?

Местная прокуратура прислала "Представление об устранении нарушения законодательства о противодействии экстремисткой деятельности" Они проводили "проверку операторов связи, обеспечивающих свободный доступ пользователей сети Интернет к информационным материалам, внесенным в федеральный список экстремистских материалов" Сначала один лист вольных цитат из законов... Вот например: Т.е. все фильмы о второй мировой, в которых есть изображение свастики попадают в экстремистские. Бедный Штирлиц.... Вот интересное уточнение, внесенное в закон году в 2006.... Вот еще прекрасный образец словоблудия: Сначала цитата близко к тексту: А теперь страшилки: Может кто просветит, чем это меня пугают ? В общем они провели осмотр ресурсов e-lib.info и magister.msk.ru и выявили, что на них размещена книга Е.Дюринга (запись номер 979 в списке минюста) (Это немецкий философ, умер в 1921 году) В списке минюста запрещена КНИГА, с указанием издательства и года издания. Не сайт, не страница, даже не комментарии пользователя, а бумажная книга. В общем требуют меня дисциплинарно наказать за неисполнение должностных инструкций. В моих ДИ нету обязанностей по поиску эсктремистской литературы в интернете.

Конечно, в этом же его прелесть. Выделите один влан под мультикаст с тегом 100 Включите ВЕЗДЕ в нем igmp snooping, create vlan iptv tag 100 enable igmp_snooping config igmp_snooping vlan_name iptv state enable fast_leave disable а на доступе поднимите мультикаст-влан с тем же тегом 100 и подмешивайте его в клиентские порты. enable igmp_snooping enable igmp_snooping multicast_vlan create igmp_snooping multicast_vlan iptv 100 config igmp_snooping multicast_vlan iptv state enable config igmp_snooping multicast_vlan iptv replace_source_ip 10.250.0.100 config igmp_snooping multicast_vlan iptv add member_port 1-24 config igmp_snooping multicast_vlan iptv add tag_member_port 25-27 config igmp_snooping multicast_vlan iptv add source_port 28 конфиги для длинков, обрати внимание на создание мультикаст влана, просто влан с тегом 100 создавать не надо при включенном igmp_snooping в сети будет только тот трафик, который заказал юзер. мультикаст влан читерски подмешивает мультикаст в порт юзера без тегов и так же читерски ловит IGMP join/leave от юзера и отправляет в source порт

Скоро год, хорошее время проверить срок действия ключа, которым подписан запрос ;) Я год назад подписал в крипто-про запрос, так его и отправлял, не меняя. А тут звонит надзор и материться, что мы уже два дня не забираем реестр. Эххх. попали под раздачу, теперь вот надзор требует, чтобы не только по ip адресу блочили, но и по названию сайта. Им наконец-то прислали утилиту, которая проверяет доступ. Там идет три проверки - доступ к адресу, доступ к сайту и доступ к конкретным страницам. Если хоть по одной странице возвращается код 200 - надзор тут же возбуждается. Так же в выводе этого скрипта есть поле Текст страницы - там первые 500 русских букв со страницы...

Извините, а вы из 2005 года пишите ? где же такие убогие скорости еще сохранились ?

10гбит на перспективу не надо. дорого и глупо. Тебе надо взять бочонок пива и сходить сисадмину одного из провайдеров к которому собрался подключаться.

ну а netstat -w1 что показывает в момент проблем ? может сетевые не справляются уже ?

Это не криво. это ошибочно. в принципе. если топик стартер подумает, то сможет догадаться, что на каждую скорость надо ДВЕ трубы, одну с dst-mask, вторую с src-mask ну и две таблицы естественно...

Солдаты-срочники с дипломами

А подумать ? на L3 на двух портах у тебя будут приходить вланы с тегом 2. чтобы их обработать на L3 также надо прописать наличие влана с тегом 2. дальше сам.

Спасибо. Давно так не смеялся. Диагностировать проблемы с коммутатором пингом до яндекса - это зачет. Пинговать надо было локальный адрес сервера, и других юзеров. Подключить еще один комп/бук в квартире и пинговать его, чтобы гарантированно не были порты нагружены. Проблемы с коммутаторами бывают из-за плохих блоков питания, а уж прокачать по 100 мегабит сквозь себя они могут без особых проблем. Так что твоя проблема в отсутствии знаний.

А охранник врет, что никуда не лазил, а все машины выключенны были ? ;) А если обратить внимение на то, что dst-порт не меняется - то можно сделать вывод, что это один и тот же поток данных.Просто аккаунтинг разбил на две записи.

мсье знает толк в извращении.А вот, просто ради хохмы, что будет, если слить все 100 конфигов в один файл, запретить mrtg демонизироваться и запускать ее раз в 5 минут их крона. 7.3 на дворе давно уже. Очень информативно.Вот для начала попробуй kern.maxusers=512 а потом гугль оплати и поищи про тюнинг ;)