marsellus

Да, постфактум у меня тоже блокируется. Я предполагаю, что в момент пропуска трафик не отзеркалировался в extfilter (может был microburst). Пытаюсь собрать инфу pdump-ом, но пока безуспешно. Не запускается.

Все в пределах одной железки. Нет никакой архитектуры. Два etherchannel с сумарным трафиком 500 Mbps зеркалируются в сервер с extfilter. В соседнем порту ревизор.

Например на 34.248.222.68. Я обнаружил это в дампе (один из примеров). Т.е. фильтр не среагировал в какое-то время. Сейчас если я сделаю тест curl -v http://34.248.222.68 - получаю RST.

Да, 0.99.4

Почему extfilter совсем не реагирует на некоторые запросы? Ни одного RST в ответ. Работает в режиме зеркала. Может ли это быть проблема в производительности сервера? Трафика 350 мегабит. Выделено под hugepages 24Gb. ЦПУ 1хE3-1230 v3 (4 ядра). Два ядра на входящие очереди, одно на исходящую. Уже не понимаю куда копать.

Я сделал так - в сервере 4 интерфейса. Два работают на DPI (в режиме зеркала), другие два - роутер. Анонсирую на бордер все заблокированные IP, но с агрегацией до /24. Получается 100К с копейкам маршрутов. Блокирую в ipset. А все, что не заблокировано форвардю далее на тот же бордер, на интерфейс с PBR и далее в инет.

Все на реальных IP. И ревизор и фильтр в одной железке. Может не хватает производительности сервера. Трафика очень мало. На входящем интерфейсе фильтра от 50-150 Mbps. Выделил по одному ядру на каждый порт фильтра. Надо попробовать помониторить tcpdump-ом.

Добрый день! Странная ситуация: extfilter в режиме зеркала, http ресурс блокируется (curl -v http://.... получает Moved Temporarily на залушку) и в то же время ревизор фиксирует отсутствие блокировки. Машинка, с которой провожу тесты подключена к той же железке где расположен ревизор и куда подключен extfilter. tshark показывает, что Moved Temporarily приходит раньше ответа от реального сервера. В чем может быть проблема? По отчетам ревизора получаем около 8 тысяч пропусков :(. extfilter.ini lower_host = true domainlist = /usr/local/etc/extfilter/domains urllist = /usr/local/etc/extfilter/urls ssllist = /usr/local/etc/extfilter/ssl_host hostlist = /usr/local/etc/extfilter/hosts sslips = /usr/local/etc/extfilter/ssl_ips http_redirect = true redirect_url = http://blocked.example.com rst_to_server = true statistic_interval = 30 block_ssl_no_sni = true core_mask = 7 statisticsfile = /var/run/extFilter_stat cli_port = 9999 cli_address = 127.0.0.1 operation_mode = mirror [port 0] queues = 0,1 [port 1] queues = 0,2 type = sender mac = 00:25:45:00:0f:00 [dpi] [logging] loggers.root.level = information loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/extFilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.purgeCount = 4 channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local Спасибо за помощь