Jump to content
Калькуляторы

LKr

Пользователи
  • Content Count

    78
  • Joined

  • Last visited

About LKr

  • Rank
    Абитуриент

Информация

  • Пол
    Не определился

Recent Profile Visitors

2815 profile views
  1. А никто не знает таких волшебных опций для V53/V56? В разделе Phone таких пунктов нет...
  2. Точно настраивал через подобный интерфейс vlan'ы, нашел в помойке в серверной коммутатор с такой менюшкой. Написано CentreCOM 8216xl, оптический, здоровый. Лет 10 назад работал еще, сейчас, увы, уже не включается даже. Там в двух местах настраивать надо было, где-то в дебрях этих менюх была закопана настройка PVID.
  3. Ох ты ж блин, клево я лоханулся, спасибо, так и есть!
  4. Коллеги, а никто не сталкивался с зеркалированием через оптические сплиттеры? Стояли две машинки с nfqfilter'ом, на них отливалось зеркало через сплиттер + бридж. TX был заведен с одной из них, RX - разделен. Решили одну из них перевести на extfilter, но при bind'е сетевухи к dpdk на той, где только RX, линк гаснет и не поднимается...
  5. Спасибо! Действительно оно. Смотрел же вчера на пост про sleep, но как-то на тегах переклинило.
  6. Приветствую! Кто-нибудь возился с extfilter и VLAN'ами на mirror'е? Есть ощущение, что не отрабатывает strip_vlan на dpdk... Без dpdk tcpdump прекрасно видит тегированные пакеты mirror'а, а при запуске extfilter в логах нули. Трафика на входе на сетевуху около 150Мбит/с 03:00.0 Ethernet controller: Intel Corporation I210 Gigabit Network Connection (rev 03) 2017-03-21 00:21:07.663 [25883] Information Application - All worker threads seen packets: 176, IP packets: 0 (IPv4 packets: 0, IPv6 packets: 0), seen bytes: 0, traffic throughtput: 0.10 pps 2017-03-21 00:21:07.663 [25883] Information Application - All worker IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 2017-03-21 00:21:07.663 [25883] Information Application - All worker threads matched by ip/port: 0, matched by ssl: 0, matched by ssl/ip: 0, matched by domain: 0, matched by url: 0 2017-03-21 00:21:07.663 [25883] Information Application - All worker threads redirected domains: 0, redirected urls: 0, rst sended: 0 2017-03-21 00:21:07.663 [25883] Information Application - All worker threads active flows: 0(IPv4 flows: 0 IPv6 flows: 0), expired flows: 0 Сетевуха встроенная в сервак, завтра буду пытаться внешнюю запихать для пробы...
  7. Вы блокируете ssl по ip (в конфиге block_undetected_ssl=true) ? Да, в конфиге так.
  8. Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца. Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%
  9. Примерно так: 1. Локальная сторона блокирующего сервера: поднимаем iBGP, анонсим маршруты серверам доступа (пограничный маршрутизатор в этом банкете не участвует!), трафик для проверки на блокировку заворачивается серверами доступа по полученным маршрутам на блокирующий сервер. 2. Внешняя сторона блокирующего сервера: тупо дефолт на пограничный маршрутизатор. Если есть NAT - не забыть сделать обвод серых ip мимо фильтров на пограничнике или организовать прямой роутинг серых адресов обратно на сервера доступа, например по тому же ibgp
  10. Тогда надо в консерватории поправить. Ибо сейчас, если я пойду например на http://lj.rossia.org/users/xazzar/ , то nfqfilter меня не пустит. И судя по id строки блокировки отработает фильтр по lj.rossia.org, несмотря на то, что content.blockType=domain не выставлен
  11. Коллеги, а кто что думает о вот такой схеме оптимизации списка? Как я понимаю, если в списке есть url, состоящий только из домена (http://lj.rossia.org), то будет заблокирована любая страница с этого домена. Получается, что на этапе разбора полученного реестра можно тупо выкинуть за ненадобностью все более детальные ссылки? Вот что есть по тому же http://lj.rossia.org: http://lj.rossia.org http://lj.rossia.org/users/oranta/157031.html http://lj.rossia.org/users/xazzar/723325.html http://lj.rossia.org/users/stomahin/108411.html Зачем нам тратить ресурсы на сравнение каждого пакета с последними тремя ссылками, если их закроет первая? Понятно, что наиболее короткая ссылка необязательно домен, это может быть http://lj.rossia.org/users например. На отсортированном по алфавиту списке блокируемых url'ов такая избыточная детализация будет четко видна.
  12. Ай, спасибо, то, что нужно! Для передачи на заглушку одновременно урла+id накидал грязный патчик в аттаче, жаль что связь "номер строки в файле" - запись в базе все равно остается кривая... Нужно для того, чтобы по доп.запросу придирчивого юзера показывать куда он шел (url), по какому шаблону забанили (строка № id в файле) и по какой причине (решение суда и т.п. - есть в базе) В конфиге url_additional_info=both дает ?url=grani.ru/&id=5887 bothurlandidexp.patch.zip
  13. 2max1976: Спасибо, замечательная штуковина, для тех кто сумел пройти квест по установке всех зависимостей и правильно настроить сеть, начав с centos7-minimal.iso :) Мои впечатления: У кого тормозит - ставьте нормальную сетевуху с очередями и запускайте --queue-balance и много копий nfqfilter. Добавить бы в параметры запуска номер очереди (nfqfilter --queue=1) с игнором оного в конфиге - было бы клево, тогда будет один конфиг вместо восьми на 8 очередей В конфиге мелкая неточность - время вывода статистики в секундах, не в минутах. С зеркалированным трафиком работает прекрасно по мануалу от carbon reductor через бриджи, но в свежей версии документации они убрали строчку, которая жизненно необходима (теперь ее их конфигурялка сама прописывает). Без этой команды трафик бриджа не попадет в iptables: /usr/sbin/ebtables -t broute -A BROUTING -p ipv4 -j redirect --redirect-target DROP А можно сделать в конфиге nfqfilter параметру url_additional_info значение 'both'? Т.е. при редиректе передавать ?line=123&url=blocked.url/xxx
  14. Делали подобную трассу. Самым простым решением оказалось нанять для подготовки тех же коммунальщиков, чья теплотрасса. Они сами проложили трубы плетьми по несколько метров (повороты отдельно сами же на трубогибе согнули как надо), при этом оставив зазоры между трубами по 15-20 см. И возле зазора одели обрезки диаметром побольше. По готовности наши монтажеры пропихнули кабель, используя эти зазоры, сдвинув обрезки на места зазора. После чего точечной сваркой прихватили обрезки к основным трубам. (Фото до этого момента сделано)
  15. MIB'ов нету, попробуй 1.3.6.1.4.1.369.17.55.4.4.5.2.1.5.1.1