LKr

А никто не знает таких волшебных опций для V53/V56? В разделе Phone таких пунктов нет...

Точно настраивал через подобный интерфейс vlan'ы, нашел в помойке в серверной коммутатор с такой менюшкой. Написано CentreCOM 8216xl, оптический, здоровый. Лет 10 назад работал еще, сейчас, увы, уже не включается даже. Там в двух местах настраивать надо было, где-то в дебрях этих менюх была закопана настройка PVID.

Ох ты ж блин, клево я лоханулся, спасибо, так и есть!

Коллеги, а никто не сталкивался с зеркалированием через оптические сплиттеры? Стояли две машинки с nfqfilter'ом, на них отливалось зеркало через сплиттер + бридж. TX был заведен с одной из них, RX - разделен. Решили одну из них перевести на extfilter, но при bind'е сетевухи к dpdk на той, где только RX, линк гаснет и не поднимается...

Спасибо! Действительно оно. Смотрел же вчера на пост про sleep, но как-то на тегах переклинило.

Приветствую! Кто-нибудь возился с extfilter и VLAN'ами на mirror'е? Есть ощущение, что не отрабатывает strip_vlan на dpdk... Без dpdk tcpdump прекрасно видит тегированные пакеты mirror'а, а при запуске extfilter в логах нули. Трафика на входе на сетевуху около 150Мбит/с 03:00.0 Ethernet controller: Intel Corporation I210 Gigabit Network Connection (rev 03) 2017-03-21 00:21:07.663 [25883] Information Application - All worker threads seen packets: 176, IP packets: 0 (IPv4 packets: 0, IPv6 packets: 0), seen bytes: 0, traffic throughtput: 0.10 pps 2017-03-21 00:21:07.663 [25883] Information Application - All worker IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 2017-03-21 00:21:07.663 [25883] Information Application - All worker threads matched by ip/port: 0, matched by ssl: 0, matched by ssl/ip: 0, matched by domain: 0, matched by url: 0 2017-03-21 00:21:07.663 [25883] Information Application - All worker threads redirected domains: 0, redirected urls: 0, rst sended: 0 2017-03-21 00:21:07.663 [25883] Information Application - All worker threads active flows: 0(IPv4 flows: 0 IPv6 flows: 0), expired flows: 0 Сетевуха встроенная в сервак, завтра буду пытаться внешнюю запихать для пробы...

Вы блокируете ssl по ip (в конфиге block_undetected_ssl=true) ? Да, в конфиге так.

Хм. Тоже вчера ночью зачем-то решил обновиться... Получил вот такую картинку на загрузке проца. Откат nfqfilter назад на 94c56b761655c13b8c77f7e5fe7d4ad533a503a5 вернул загрузку на 20%

Примерно так: 1. Локальная сторона блокирующего сервера: поднимаем iBGP, анонсим маршруты серверам доступа (пограничный маршрутизатор в этом банкете не участвует!), трафик для проверки на блокировку заворачивается серверами доступа по полученным маршрутам на блокирующий сервер. 2. Внешняя сторона блокирующего сервера: тупо дефолт на пограничный маршрутизатор. Если есть NAT - не забыть сделать обвод серых ip мимо фильтров на пограничнике или организовать прямой роутинг серых адресов обратно на сервера доступа, например по тому же ibgp

Тогда надо в консерватории поправить. Ибо сейчас, если я пойду например на http://lj.rossia.org/users/xazzar/ , то nfqfilter меня не пустит. И судя по id строки блокировки отработает фильтр по lj.rossia.org, несмотря на то, что content.blockType=domain не выставлен

Коллеги, а кто что думает о вот такой схеме оптимизации списка? Как я понимаю, если в списке есть url, состоящий только из домена (http://lj.rossia.org), то будет заблокирована любая страница с этого домена. Получается, что на этапе разбора полученного реестра можно тупо выкинуть за ненадобностью все более детальные ссылки? Вот что есть по тому же http://lj.rossia.org: http://lj.rossia.org http://lj.rossia.org/users/oranta/157031.html http://lj.rossia.org/users/xazzar/723325.html http://lj.rossia.org/users/stomahin/108411.html Зачем нам тратить ресурсы на сравнение каждого пакета с последними тремя ссылками, если их закроет первая? Понятно, что наиболее короткая ссылка необязательно домен, это может быть http://lj.rossia.org/users например. На отсортированном по алфавиту списке блокируемых url'ов такая избыточная детализация будет четко видна.

Ай, спасибо, то, что нужно! Для передачи на заглушку одновременно урла+id накидал грязный патчик в аттаче, жаль что связь "номер строки в файле" - запись в базе все равно остается кривая... Нужно для того, чтобы по доп.запросу придирчивого юзера показывать куда он шел (url), по какому шаблону забанили (строка № id в файле) и по какой причине (решение суда и т.п. - есть в базе) В конфиге url_additional_info=both дает ?url=grani.ru/&id=5887 bothurlandidexp.patch.zip

2max1976: Спасибо, замечательная штуковина, для тех кто сумел пройти квест по установке всех зависимостей и правильно настроить сеть, начав с centos7-minimal.iso :) Мои впечатления: У кого тормозит - ставьте нормальную сетевуху с очередями и запускайте --queue-balance и много копий nfqfilter. Добавить бы в параметры запуска номер очереди (nfqfilter --queue=1) с игнором оного в конфиге - было бы клево, тогда будет один конфиг вместо восьми на 8 очередей В конфиге мелкая неточность - время вывода статистики в секундах, не в минутах. С зеркалированным трафиком работает прекрасно по мануалу от carbon reductor через бриджи, но в свежей версии документации они убрали строчку, которая жизненно необходима (теперь ее их конфигурялка сама прописывает). Без этой команды трафик бриджа не попадет в iptables: /usr/sbin/ebtables -t broute -A BROUTING -p ipv4 -j redirect --redirect-target DROP А можно сделать в конфиге nfqfilter параметру url_additional_info значение 'both'? Т.е. при редиректе передавать ?line=123&url=blocked.url/xxx

Делали подобную трассу. Самым простым решением оказалось нанять для подготовки тех же коммунальщиков, чья теплотрасса. Они сами проложили трубы плетьми по несколько метров (повороты отдельно сами же на трубогибе согнули как надо), при этом оставив зазоры между трубами по 15-20 см. И возле зазора одели обрезки диаметром побольше. По готовности наши монтажеры пропихнули кабель, используя эти зазоры, сдвинув обрезки на места зазора. После чего точечной сваркой прихватили обрезки к основным трубам. (Фото до этого момента сделано)

MIB'ов нету, попробуй 1.3.6.1.4.1.369.17.55.4.4.5.2.1.5.1.1

Я б еще порекомендовал обратить внимание на падение проца в C-State cat /proc/acpi/processor/CPU0/power Пару лет назад запретом C-State в биосе (можно параметром ядра) вылечили полку в 400.

system-max ip-cache 400000 system-max ip-filter-sys 16348 system-max ip-route 400000 cam-partition l2 5 l3 70 l4 25 По маршрутам уже все, оно проц задействовало, в час пик до 80% доезжает: CAM IP statistics: free entries total entries level1: 0 37682 level2: 0 4096 level3: 0 4095 ну и для оценки масштаба деятельности железки: Number of Neighbors Configured : 12 Number of Routes Installed : 1335603 Number of Routes Advertising to All Neighbors : 665745 Number of Attribute Entries Installed : 452238

4 full-view + msk-ix/spb-ix (только маршруты по iBGP от соседнего роутера, при прямом включении проц ушел в 100%) 12 bgp пиров, двум из них сливается full-view. 4 гига интернет-трафика суммарно (почти симметричного) - потолок, дальше начинает грузиться проц. Потолок случается по CAM'ам, в них памяти под все задействованные маршруты не хватает, несмотря на включенную агрегацию (привет торрентам). Итого - отличная железяка до момента роста средней загрузки проца с 1% до 5%, дальше потихоньку начинаются проблемы ========================================================================== SL 1: J-BxGMR4 JetCore Management Module, SYSIF 2 (Mini GBIC), M4, ACTIVE 4096 KB BRAM, JetCore ASIC IGC version 49, BIA version 8a 32768 KB PRAM and 2M-Bit*1 CAM for IGC 0, version 0449 32768 KB PRAM and 2M-Bit*1 CAM for IGC 1, version 0449 ========================================================================== Active management module: 466 MHz Power PC processor 750 (version 8/8302) 66 MHz bus 512 KB boot flash memory 16384 KB code flash memory 256 KB SRAM 512 MB DRAM

Главное правильно читать между строк их анкету.Например для выбора железки у нас просили "среднесуточную потребляемую полосу", которая конечно же должна быть пиковой суммарной, ну и т.д.

Жаль только пришлось соглашаться на внедрение ipv6, иначе holywar был бы до ночи, графики я люблю :)Курсы действительно отличные, не ожидал. Многое упорядочивают в башке.

У нас есть простенькая самописная приблуда под линух, по всем имеющимся (или одному указанному) интерфейсам шлет пакет, аналогичный dlink'овскому loopdetect, и ждет его обратно. Видит и различает кольца внутри и между вланами, рассказывает об этом в консоли. В автоматизацию не попала за ненадобностью - свичи научились с того времени сами петли ловить, а тащить все клиентские вланы на тестовую машину совсем неудобно.

Хм... что-то отдаленно знакомое. Года полтора назад наблюдали похожее на одном из серваков, долго пытались поймать что и где окосело после апгрейда железа, в итоге задолбались и тупо отключили hires timer.

Нас про эту фичу предупредили, мы как дураки ехали 60 и пристегнутые все, что не помешало служителям полосатой палки предъявить таксисту радар с цифрой 94.

Я после долгих переборов остановился на c7400-is-mz.123-5d.bin Более свежие из имеющихся ребутились регулярно, у меня правда pppoe...

Если Add/Drop двунаправленный, то ничего не упадет, но и ничего не заработает :) Сигнал с мультиплексора придет на Add/Drop и попадет на не задействованное вами направление, где и умрет.