lexy

http://forum.nag.ru/forum/index.php?showtopic=123365&view=findpost&p=1388351

две страницы назад лежит архивчик. В нашей сети помогает.

Я тоже так думал, что умрет от такой кучи правил. Собирался что-то типа htb ваять по цепочкам /8, /16, /24, /32. А потом нашел, что это уже давно сделано (далее голосом Виктора Прокопенко с РЕН-ТВ) Об этом мало кто знает, но для iptables есть утилита ipset, которая умеет эффективно обрабатывать большие списки адресов или подсетей используя хэширование. (http://ipset.netfilter.org/) А обычный линуховый роутер (HP G5, 4 ядра, 10 гиг памяти) не помрет, если ему влить такой список ip-адресов для заворачивания в /dev/nul ? Трафика - до 300 мегабит в пиках

Ага. Т.е. шпиону "ревизору" в любом случае для всех заблокированных выдаётся DROP и "заглушку" он не увидит никогда. Так?

В кэш сливается последняя успешная загрузка списка после того, как список обновился. Конкретно у меня список берется отсюда: https://reestr.rublacklist.net/api/ips он больше того, что можно вытащить из выгрузки РКН. На рублэклист на сегодня 43538, в РКН - 26792. IP-фильтру без разницы на протокол. Редирект на заглушку "живет" в основной системе фильтрации. Чтобы стало яснее - внимательно посмотрите схему включения А откуда и чем конкретно заполняется blacklist.cache? IP адресами из списка РКН, которые имеют тип "блокировка по ip"? Решает ли "система" проблему с блокировкой https? Где "живёт" редирект на "заглушку"? Или всё это решает только проблему блокировки по IP?

Делюсь: RKNbox - это простой виртуальный роутер с IP-фильтром, предназначенный для улучшения качества блокировок запрещенных ресурсов согласно 149-ФЗ. Запускается на компьютере под Linux kernel >=3.x в изолированном сетевом стеке . Сам скрипт: Сам скрипт с небольшой справкой и схемой подключения приложен. Вот вывод rknbox status, обратите внимание на счетчики. Это примерно за сутки. /opt/rkn# ./rknbox status RKNbox status: Blacklisted IPs count: 42565 Firewall: Chain PREROUTING (policy ACCEPT 1377K packets, 83M bytes) pkts bytes target prot opt in out source destination 4707 301K DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:10.168.1.250:53 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 to:10.168.1.250:53 Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 172K 10M MASQUERADE all -- * 0ut 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 2798K packets, 639M bytes) pkts bytes target prot opt in out source destination 1210K 73M DROP all -- * 0ut 0.0.0.0/0 0.0.0.0/0 match-set FZ149_chunk0 dst 0 0 DROP all -- * 0ut 0.0.0.0/0 0.0.0.0/0 match-set FZ149_chunk1 dst 0 0 DROP all -- * 0ut 0.0.0.0/0 0.0.0.0/0 match-set FZ149_chunk2 dst 0 0 DROP all -- * 0ut 0.0.0.0/0 0.0.0.0/0 match-set FZ149_chunk3 dst DHCP status: PID TTY TIME CMD 5413 ? 00:00:00 dhcpd RKNbox dhcp daemon is running А так выглядит работа штатного блокировщика ресурсов в абонентской сети: без ревизора: с ревизором: со включенным rknbox'ом: Поделитесь! rknbox.tar.gz

У нас вроде получилось справится с этим TP-Link'ом по следующей схеме в такой конфигурации получается 0-1 пропусков в сутки, против 50-100 без нее. Реализация элементарная, если интересно - поделюсь

понятно, спасибо

что-нибудь выяснилось по этой проблеме? у меня аналогичные сообщения на 4550

все разрешилось... проблема была в выходном каскаде после скремблеров, на MUX-QAM

Не нашел раздел, где бы осуждалось вещание DVB-C, поэтому пишу сюда. При внедрении CAS DVCrypt столкнулись со следующей проблемой: Система: 3 скремблера 4x2ASI Remux.CAS управление по Ethernet, сервер DVCrypt ver. 2.4 May 20 2010, режим интеграции с биллинговой системой. Проблема заключается в следующем: если канал передается в закодированном виде и разрешен абоненту, то если он передается с одного скремблера - он раскодируется на приставке, при закрытии подписки - закрывается. Но закрытые каналы с двух других скремблеров не раскодируются. При этом в режиме работы с пакетами (не в режиме интеграции с биллингом) все каналы на всех скремблерах, добавленные в пакеты, работают как положено. Никто не сталкивался с подобной проблемой?