dee

соглашусь с тем что по логике в свиче должен быть выход после каждого срабатывания , но так же есть сомнение что в данном случае i может иметь одновременно несколько значений (тогда это был бы как минимум массив) , да и дефолтного выхода так же не присутствует , по этому думается что если касаться именно этого вопроса то многократные иф тут лишнее (но я учту во время проверки)

собираю модуль на генту с ядром 6.1.28 и iptables 1.8.9 получаю : нашел выше патч (там одна строчка меняется (и патчил и ручками менял , без толку , получаю ): если игнорю ошибки , то сошка собирается , а вот кошка ни как ... не хочется ядро откатывать ... без этого блока собирается но скорости без них даже не добавляются :) (точнее одни нули) да простят меня гуру С++ , но я вышел из положения так (заменил свитч простым иф)

ну если фильтр в режиме миррора и зеркало сделал (зеркало в идеале нужно делать где то за шаг до выхода в мир) , когда видны только реальники (ну это моё мнение) , 2 порта (один вход для зеркала) , второй это выход для ответов - мак указывается интерфейса того роутера с которого инет уже выходит в мир (бгп роутер с отдельным вланом , который соединён с фиьтром ответ портом) . В фильтр конечно акцессом привести нужно , а в циску как угодно (главное что бы она была транзитным узлом для всего траффика и с неё будет идти уже ответ абоненту

ну если фильтр в режиме миррора и зеркало сделал (зеркало в идеале нужно делать где то за шаг до выхода в мир) , когда видны только реальники (ну это моё мнение) , 2 порта (один вход для зеркала) , второй это выход для ответов - мак указывается интерфейса того роутера с которого инет уже выходит в мир (бгп роутер с отдельным вланом , который соединён с фиьтром ответ портом) .

ну вроде если поставил , то самое сложное позади , скрипт геренеции файлов из dump.xml тоже подтянуть нужно и в путь

нет прошивок под эти девайсы ?

у меня какая то проблема с extFilter в лог много пишет записей в целом смотрю что всё работает (адреса не мои) что за буфер не пойму если что то в конфиге стоит : rst_to_server = false (но есть подозрение что что то пытается отправить всё равно) странно , поставил http_redirect = false (было true) и всё пропало ещё нашел проблему с роутингом пары сегментов (на них не было blackhole и при обращении несуществующих адресов была попяо в мирроре )

я так и не понял есть способ блокировки квика через extfilter ?

я хотел сказать как это реализовать в extfilter ? есть файлик protos , в нём кое какие зхаписи уже есть : сюда мож что то дописать можно ?

как по поводу exfilter`а будут новые версии ?

https://habr.com/ru/news/t/562970/ что по поводу этой новости ?

там всё жестко и не очевидно в некоторых случаях ,сам 2 дня с миру по нитке еле собрал себе под гост2012 ссл если кратко :

https://ru.aliexpress.com/item/32908013209.html?spm=a2g0o.productlist.0.0.42d94b4fssxXsq&algo_pvid=d7eb055e-4dda-44c4-b14e-fd6cc1385fdd&algo_expid=d7eb055e-4dda-44c4-b14e-fd6cc1385fdd-18&btsid=29e93949-3b1c-4fab-a7b8-4233acb2fed3&ws_ab_test=searchweb0_0,searchweb201602_7,searchweb201603_52 вот на этих сетёвках всё будет огонь (с запасом)

ну допустим если блокируется через реджект хост анричебл (этого достаточно ?) , по факту то это косяк ревизора что он залипает так долго

2019-10-30 10:37:25.868 [18145] Information TriesControl - Loaded 116878 lines from the domains file '/usr/local/etc/extfilter/DUMP/domains' 2019-10-30 10:37:25.909 [18145] Information TriesControl - Loaded 93363 lines from the urls file '/usr/local/etc/extfilter/DUMP/urls' 2019-10-30 10:37:27.180 [18145] Information TriesControl - Loaded 128294 lines from the domains file '/usr/local/etc/extfilter/DUMP/ssl_host' ./extFilter -v extFilter version 0.99.4 я у себя проверил всё гут

я писал про это чуть раньшге , там при создании таблицы нужен ключ укаать для наибольшего количества записей (переваривает со свистом , но не построчно а через restore)

может мак пропал нужный или сменился или влан пропал ?

беру полный список из реестра , сортирую , выбираю уникальные записи и их просто вношу , хотя возможно какие ip могут находиться уже в некоторых заблокированных сетях. Пока не парюсь

ну я не могу на это ответить , но как писал ранее если не сходить с ума и построчно вносить каждое правило одной строкой (типа ipset -A revizor 1.1.1.1 потом другая строка (в цикле например) ipset -A revizor 2.2.2.2 и т.д) , тогда будет ооочень долго , я сперва готовлю текстовый фаил в котором куча строк формата (add revizor 1.1.1.1 сл строка add revizor 2.2.2.2) и таких строк сотни тысяч (где слово revizor это имя ipset таблицы) и этот файл у меня генерируется примерно 3 - 5 сек , после чего запускается консольная команда ipset -F revizor && ipset restore < ./мой_файл_с_кучей_строк и где то в течении 3 - 5 сек он сразу заливается в таблицу. Важно что бы таблица была точно пустая перед заливанием и строки с ip адресами ни в коем случае не совпали хоть раз , каждая запись должна быть уникальная или ipset restore ругнётся и вывалится). так же я проверяю количество строк в таблице типа ipset -L blocked | wc -l 449044 - примерное количество строк (меньше 400 тыщ не должно быть точно)

кстати для тех у кого PC роутеры или микротик системы , я в своё время топил прям за ip route blackhole , но в какой то момент увидел как там появилось порядка 400 тыщ маршрутов (меня это расстроило , т.к штатными средствами заливать это приходилось даже не быстрой системе по 15 минут (это в случае очистки таблицы и залития новой (можно обойтись конечно сравнением массивов , но заморачиваться не стал т.к нашел метод на 10 сек) , тот же самый ipset с параметром ipset create revizor hash:net maxelem 999999999 , что бы убрать штатное ограничение в 65535 записей и сперва генерить текстовый фаил вида add revizor х.х.х.х (с кучей строк) , а потом делать ipset restore < ./my_file (заливается где то за 5 сек) . Удобно и всегда актуальный список (можно держать 2 списка для обнуления одного , а потом их менять местами что бы в эти 5 сек ни кто не проскочил). Так же гуглил в сторону ip route save/restore - тоже работет очень быстро , но там заморочка в генерации файла для заливки (бинарник) , нужно поднимать библиотеки и что то ваять (вроде на питоне было что то , но ipset спас ситуацию).

ну хз чем плох ip rule с отдельной таблицей блекхолов

/gost-ssl/bin/openssl ciphers | tr ":" "\n" | grep GOST (типа нужны версии 2012)

вообще другой сайт открывается на самом деле http://kyzd0r.net/