dee

у меня в отчете вообще не существующие ресурсы (как в днс (типа домены свободные) , так и их нет в списках блокировки (совсем ополоумили черти)

ааааа , ещё нет 0.97 версии :)

в блоке вижу только http://moneta116.ru/ru/albomy-papki-listy/1463-albom-dlya-3-monet-chm-po-futbolu.html?frommarket=http%3A/market.yandex.ru/partner&ymclid=077212802956728283200004 и он блочится , все остальные с более длинными именами или // открываются , но самое интересное , зачем блокировать нумезматов ?!?! пс. как увидеть какая версия фильтра работает ?

я почему это спросил , мы даём условно мелким провайдерам канал связи и для выполнения ими закона фильтруем их трафф , а их абоненты видят нашу страницу (с нашей рекламой и всё такое) , видимо напрягаются . не фильтровать не получится т.к у них тоже стоят ревизоры .

а в последней версии ветки exp , буду работать опции : ; notify_enabled = false ; Формат файла ip/mask @group_id, где group_id группа оповещения. Например: ; 192.168.0.0/24 @0 ; 10.0.0.0/24 @0 ; 10.20.0.0/24 @1 ; notify_acl_file = /usr/local/etc/extfilter/notify_acl ; Группа оповещения 0 ;[notify 0] ;http_code = 302 Found ;redirect_url = http://announce.example.com/? ;rst_to_server = false ; через какое время делать редирект (секунды) ;period = 1800 ; количество редиректов, если 0 - не ограничено ;repeat = 0 ; notify_enabled = false ; Формат файла ip/mask @group_id, где group_id группа оповещения. Например: ; 192.168.0.0/24 @0 ; 10.0.0.0/24 @0 ; 10.20.0.0/24 @1 ; notify_acl_file = /usr/local/etc/extfilter/notify_acl ; Группа оповещения 0 ;[notify 0] ;http_code = 302 Found ;redirect_url = http://announce.example.com/? ;rst_to_server = false ; через какое время делать редирект (секунды) ;period = 1800 ; количество редиректов, если 0 - не ограничено ;repeat = 0

я сделал проще , у меня есть один влан с 30 маской после роутера уже , из которых 1 ip на брасе , 1 на управлении фильтра и в том же влане ещё сетёвка шлёт ответы на мак сетёвки на брасе в этом же влане . Всё работает нормуль , один минус - ещё один порт на фильтре в dpdk , но у меня на машине порядка 12 сетёвок и по этому не жалко , к томуже можно для этих целей гонять сетёку e1000e

ничего себе кода наисправлено из-за этой штуки (которая у меня хоть не блочится , но не открывается :)

шайтан однако , блочит , но в списках не вижу так же

попытался очередной раз запустить extFilter из ветки exp , и опять что то не то (вот пара выводов) /usr/src/TEST-100/extfilter/src/extFilter -f /usr/src/TEST-100/extfilter/etc/extfilter.ini EAL: Detected 16 lcore(s) EAL: Probing VFIO support... EAL: PCI device 0000:06:00.0 on NUMA socket 0 EAL: probe driver: 8086:10fb net_ixgbe EAL: PCI device 0000:06:00.1 on NUMA socket 0 EAL: probe driver: 8086:10fb net_ixgbe EAL: PCI device 0000:09:00.0 on NUMA socket 0 EAL: probe driver: 8086:1521 net_e1000_igb EAL: PCI device 0000:09:00.1 on NUMA socket 0 EAL: probe driver: 8086:1521 net_e1000_igb EAL: PCI device 0000:09:00.2 on NUMA socket 0 EAL: probe driver: 8086:1521 net_e1000_igb EAL: PCI device 0000:09:00.3 on NUMA socket 0 EAL: probe driver: 8086:1521 net_e1000_igb EAL: PCI device 0000:83:00.0 on NUMA socket 1 EAL: probe driver: 8086:10c9 net_e1000_igb EAL: PCI device 0000:83:00.1 on NUMA socket 1 EAL: probe driver: 8086:10c9 net_e1000_igb EAL: PCI device 0000:85:00.0 on NUMA socket 1 EAL: probe driver: 8086:10c9 net_e1000_igb EAL: PCI device 0000:85:00.1 on NUMA socket 1 EAL: probe driver: 8086:10c9 net_e1000_igb EAL: PCI device 0000:89:00.0 on NUMA socket 1 EAL: probe driver: 8086:10fb net_ixgbe EAL: PCI device 0000:89:00.1 on NUMA socket 1 EAL: probe driver: 8086:10fb net_ixgbe acl context <extFilter-ipv4-acl0-0>@0x7f7b512d8000 socket_id=0 alg=2 max_rules=100000 rule_size=96 num_rules=46 num_categories=1 num_tries=1 RING: Cannot reserve memory tes: 251754319, traffic throughtput: 66.38 K pps 2018-04-27 13:46:29.344 [3282] Information Application - All worker IPv4 fragments: 5389, IPv6 fragments: 0, IPv4 short packets: 0 2018-04-27 13:46:29.344 [3282] Information Application - All worker threads matched by ip/port: 0, matched by ssl: 0, matched by ssl/ip: 0, matched by domain: 1, matched by url: 0 2018-04-27 13:46:29.344 [3282] Information Application - All worker threads redirected domains: 1, redirected urls: 0, rst sended: 0 2018-04-27 13:46:29.344 [3282] Information Application - All worker threads active flows: 25604 (IPv4 flows: 25604, IPv6 flows: 0), deletet flows: 2577 2018-04-27 13:51:47.046 [3403] Information ACL - Preparing 46 rules for IPv4 ACL 2018-04-27 13:51:47.060 [3403] Information TriesControl - Loaded 60270 lines from the domains file '/usr/local/etc/extfilter/DUMP/domains' 2018-04-27 13:51:47.074 [3403] Information TriesControl - Loaded 50402 lines from the urls file '/usr/local/etc/extfilter/DUMP/urls' 2018-04-27 13:51:47.077 [3403] Information TriesControl - Masked domains: #keys 3746, #nodes 5176 2018-04-27 13:51:47.174 [3403] Information TriesControl - URLS: #keys 110618, #nodes 157281 2018-04-27 13:51:47.174 [3403] Information TriesControl - Set active trie in the slot 0 2018-04-27 13:51:47.185 [3403] Information TriesControl - Loaded 64274 lines from the domains file '/usr/local/etc/extfilter/DUMP/ssl_host' 2018-04-27 13:51:47.187 [3403] Information TriesControl - Masked domains: #keys 3297, #nodes 4551 2018-04-27 13:51:47.233 [3403] Information TriesControl - URLS: #keys 64263, #nodes 90777 2018-04-27 13:51:47.233 [3403] Information TriesControl - Set active trie in the slot 0 2018-04-27 13:51:47.233 [3403] Information Application - Setting mbuf size to 16384 2018-04-27 13:51:47.243 [3403] Information Application - Allocated mbuf pool (16384 entries) on socket 0 2018-04-27 13:51:47.245 [3403] Information Application - Allocated memory pool (16384 entries) for packet info on sockets 0 2018-04-27 13:51:47.245 [3403] Information Application - Port 0 creating queues: rx queue=3, tx queue=3 2018-04-27 13:51:47.245 [3403] Information Application - port=0 rx_queueid=0 nb_rxd=256 core=4 2018-04-27 13:51:47.245 [3403] Information Application - port=0 tx_queueid=0 nb_txd=512 core=4 2018-04-27 13:51:47.246 [3403] Information Application - port=0 rx_queueid=1 nb_rxd=256 core=5 2018-04-27 13:51:47.246 [3403] Information Application - port=0 tx_queueid=1 nb_txd=512 core=5 2018-04-27 13:51:47.246 [3403] Information Application - port=0 rx_queueid=2 nb_rxd=256 core=6 2018-04-27 13:51:47.246 [3403] Information Application - port=0 tx_queueid=2 nb_txd=512 core=6 2018-04-27 13:51:50.819 [3403] Information Application - Port 0 MAC: 00:1e:67:38:c6:31 2018-04-27 13:51:50.820 [3403] Information Application - sender port=1 rx_queueid=0 nb_rxd=256 2018-04-27 13:51:50.820 [3403] Information Application - sender port=1 tx_queueid=0 tb_rxd=512 2018-04-27 13:51:50.820 [3403] Information Application - sender port=1 tx_queueid=1 tb_rxd=512 2018-04-27 13:51:50.820 [3403] Information Application - sender port=1 tx_queueid=2 tb_rxd=512 2018-04-27 13:51:50.820 [3403] Information Application - Port 1 MAC: 00:1e:67:38:c6:32 2018-04-27 13:51:52.604 [3403] Information Application - Create pool 'DPIHTTPPool' for the http dissector with number of entries: 250000, element size 960 size: 240000000 bytes 2018-04-27 13:51:52.633 [3403] Information Application - Allocating 3840000000 bytes (10000000 entries) for ipv4 flow pool 2018-04-27 13:51:52.839 [3403] Fatal Application - Not enough memory for ipv4 flows pool. Tried to allocate 3840000000 bytes on socket 0 2018-04-27 13:51:52.839 [3403] Error Application - Exception: Not enough memory for flows pool вопрос , чего ему ещё нужно , ветка мастер в то же время работает нормально ....

я все выходные промучился с жалобами , в итоге ревизор в песочнице , реестр блочится по ip на 14 число , ну как объяснить людям что не работает потому что мы закон исполняем , а в ответ слышать , что на билайне или теле2 или мтс всё работает и что мы м*даки .

https://packages.debian.org/search?keywords=libidn

я сети и ip отдельно вытаскиваю списком и их на брасе блокирую через блекхол .

зачем вообще iptables и ipset для блокировки задействовать если проще ip route blackhole

как в конфиге понять какая из сетёвок числится под Port 0 , 1 , 2 и т.д (по очереди добавления ?)

возможно мы говорим о разном , сейчас у меня работает фильтр из ветки master , имеется один dpdk порт для отмиррориного трафика , а так же имеет р2р интерфейс между главным роутером и интерфейсом на машине с фильтром , оно благополучно работает . Теперь получается нужно задействовать ещё один пор dpdk (получается сама сетёвка из системы пропадает а значит ip на ней не повесить) , и получается ответная часть должен быть какой то интерфейс роутера (как я себе представляю это любой интерфейс на роутере (тот же влан) , на мак которого будут прилетать пакеты от dpdk порта сендера , но я не понял интерфейс на который шлёт dpdk sender должен иметь какой то ip или просто достаточно отключить rp.filter и роутер сам поймёт кому отослать пакет ?)