PPPoE и static route маразм....

[PPPoE и static route маразм....]

нашли вчем дело, убил бы

[PPPoE и static route маразм....]

Коллеги кейс...

Клиентская точка(Nanostation) настраивается в режиме PPPoE, для управления из сети оператора на WLAN указывается IP адрес, в static route прописывается маршрут к серверу управления и мониторинга через сеть управления.

По логике маршрутизации пакет должен идти через сеть управления на шлюз... НО почему то уходит в PPPoE интерфейс!!!

Тестировалось и на 5 и 6 ветке

[Блокировка сайтов провайдерами]

Увидел обновление, поставил...

[Блокировка сайтов провайдерами]

Коллеги проверьте скрипт zapret.pl

Сыпет в логи:

2018-12-21 14:57:34 | ERROR | main  | Error occured while working with registry: Can't call method "ip" on an undefined value at /opt/zapret/zapret.pl line 1561.
2018-12-21 14:59:34 | ERROR | main  | Can't connect to the SMTP server: Connection timed out
2018-12-21 15:01:34 | ERROR | main  | Can't connect to the SMTP server: Connection timed out
Чтобы это могло быть?

 

[Блокировка сайтов провайдерами]

Коллеги что делать то с http://kyzd0r.net/ ?

 

[Блокировка сайтов провайдерами]

2 часа назад, Antares сказал:

IPv4 only не блокирутся фильтром, их надо блокировать либо bgp либо iptables

у меня в бридже, так что блокируется.

Понятно надо значит найти где запрет поправить, чтобы релоад делать.

[Блокировка сайтов провайдерами]

Подскажите, в логах zapret.pl чем отличаются записи IPv4 ips:  и IPv4 only IPs: 

Когда добавляются IPv4 only IPs: то extfilter не релоадится...

[Блокировка сайтов провайдерами]

4 минуты назад, epollia сказал:

видимо тут

#define MAX_ACL_RULE_NUM 100000

include/acl.h

Вот только нет надобности включать block_ssl_no_sni 

 

да уже пересобираю.

ок включать не буду.

 

[Блокировка сайтов провайдерами]

Подскажите плиз, как победить:

2018-10-22 09:01:17.727 [5280] Information ACL - Preparing 108293 rules for IPv4 ACL
2018-10-22 09:01:17.730 [5280] Error ACL - Add rules failed
2018-10-22 09:01:17.732 [5280] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
2018-10-22 09:01:17.748 [5280] Information TriesControl - Loaded 65184 lines from the domains file '/usr/local/etc/extfilter/domains'
2018-10-22 09:01:17.758 [5280] Information TriesControl - Loaded 42360 lines from the urls file '/usr/local/etc/extfilter/urls'

 

 

108293 Получается сложением hosts + ssl_ips судя по всему

 

отключил block_ssl_no_sni = false

 

в консоль выдало:

acl context <extFilter-ipv4-acl0-0>@0x7f52338d8000
  socket_id=0
  alg=2
  max_rules=100000
  rule_size=96
  num_rules=39680
  num_categories=1
  num_tries=1

 

тоесть в коде зашито ограничение в 100000, а если увеличить? )) 

 

[Блокировка сайтов провайдерами]

3 минуты назад, Morphus сказал:

Наконец удалось запустить срипт! (имхо perl это ужас, пока поставишь все зависимости...)

1) Не понятно что тут за сообщение (локаль русская стоит) и насколько это важно (на скриншоту)?

2) Потом фильтр всё равно начинает работать, но выдаёт много сообщений:

  Скрыть содержимое

DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'url_fixed' doesn't have a default value at zapret.pl line 750.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.
DBD::mysql::st execute failed: Field 'domain_fixed' doesn't have a default value at zapret.pl line 797.
DBD::mysql::st execute failed: Field 'domain' doesn't have a default value at zapret.pl line 872.

таблицы в которых эти поля встречаются не заполняются вовсе. А судя по всему должны. Нужно либо в скрипте править либо схему. Но что и где должно быть. Как исправить?

Точно настройки базы коректно выполнена?

 

3 минуты назад, Morphus сказал:

 

 

[Блокировка сайтов провайдерами]

В 12.10.2018 в 23:35, max1976 сказал:

Видимо мало оперативной памяти. 

выделил 8G HugePages

AnonHugePages:    100352 kB
HugePages_Total:    4096
HugePages_Free:        0
HugePages_Rsvd:        0
HugePages_Surp:        0
Hugepagesize:       2048 kB
 

До этого куча записей загрузки ACL 

2018-10-19 10:16:00.979 [1689] Debug ACL - IP 137.74.201.204 without port
2018-10-19 10:16:00.979 [1689] Debug ACL - IP 185.219.82.236 without port
2018-10-19 10:16:00.979 [1689] Debug ACL - IP 138.201.21.240 without port

 

это записи судя по всему из ssl_ips

 

 

Сколько ему оперативной памяти для их размещения необходимо? )

 

[Блокировка сайтов провайдерами]

хотя судя по htop используется как и положено 1 и 2 ядро

 

3 минуты назад, zhenya` сказал:

2 очереди на одном ядре.. про 3 ядро не слова..

 

да прошу прощения показалось, смотрю все ок.

 

Пытаюсь понять что хочет:

2018-10-12 10:38:57.312 [3120] Information ACL - Preparing 104533 rules for IPv4 ACL
2018-10-12 10:38:57.315 [3120] Error ACL - Add rules failed
2018-10-12 10:38:57.316 [3120] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
 

[Блокировка сайтов провайдерами]

3 минуты назад, max1976 сказал:

Для начала уберите ; в конце параметров queues. 

Большое спасибо))) запустилось буду проверять)

 

Вот как так с кавычками накосячил))

 

Странно только в дебаге почемуто пишет что все 4 ядра использует...

2018-10-12 10:38:57.489 [3120] Information Application - Port 0 creating queues: rx queue=1, tx queue=3
2018-10-12 10:38:57.489 [3120] Information Application - port=0 tx_queueid=0 nb_txd=512 core=0
2018-10-12 10:38:57.489 [3120] Information Application - port=0 rx_queueid=0 nb_rxd=256 core=1
2018-10-12 10:38:57.489 [3120] Information Application - port=0 tx_queueid=1 nb_txd=512 core=1
2018-10-12 10:38:57.489 [3120] Information Application - port=0 tx_queueid=2 nb_txd=512 core=2
2018-10-12 10:39:07.004 [3120] Warning Application - Link down on port 0
2018-10-12 10:39:07.004 [3120] Information Application - Port 0 MAC: 90:e2:ba:29:cb:26
2018-10-12 10:39:07.004 [3120] Information Application - Port 1 creating queues: rx queue=1, tx queue=3
2018-10-12 10:39:07.004 [3120] Information Application - port=1 tx_queueid=0 nb_txd=512 core=0
2018-10-12 10:39:07.004 [3120] Information Application - port=1 tx_queueid=1 nb_txd=512 core=1
2018-10-12 10:39:07.004 [3120] Information Application - port=1 rx_queueid=0 nb_rxd=256 core=2
2018-10-12 10:39:07.004 [3120] Information Application - port=1 tx_queueid=2 nb_txd=512 core=2

 

Хотя маска 7

 

 

И еще странная запись в логе:

2018-10-12 10:38:57.312 [3120] Information ACL - Preparing 104533 rules for IPv4 ACL
2018-10-12 10:38:57.315 [3120] Error ACL - Add rules failed
2018-10-12 10:38:57.316 [3120] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
 

[Блокировка сайтов провайдерами]

10 минут назад, epollia сказал:

Надо понять на каком этапе падает процесс.

Попробуй добавить вот что.

в файле /src/main.cpp найди вот такой кусок 

int ret = rte_eal_init(initDpdkArgc, (char**)initDpdkArgv);
	if (ret < 0)
		throw Poco::Exception("Can't initialize EAL - invalid EAL arguments");

Замени его на 

int ret = rte_eal_init(initDpdkArgc, (char**)initDpdkArgv);
	if (ret < 0)
        {
        logger().fatal("Can't initialize EAL - invalid EAL arguments");
		throw Poco::Exception("Can't initialize EAL - invalid EAL arguments");
		}

Пересобери фильтр и скинь лог после его запуска

Сделал make clean. Пересобрал)

 

В логах все тоже)))

2018-10-12 10:31:53.587 [2951] Debug Application - DPDK command line: extFilter
2018-10-12 10:31:53.587 [2951] Debug Application - DPDK command line: -n
2018-10-12 10:31:53.587 [2951] Debug Application - DPDK command line: 2
2018-10-12 10:31:53.587 [2951] Debug Application - DPDK command line: -c
2018-10-12 10:31:53.587 [2951] Debug Application - DPDK command line: 0x07
2018-10-12 10:31:53.587 [2951] Debug Application - DPDK command line: --master-lcore
2018-10-12 10:31:53.587 [2951] Debug Application - DPDK command line: 0
 

[Блокировка сайтов провайдерами]

8 минут назад, epollia сказал:

Давай по порядку.

Модель процессора

Модель сетевой

Конфиг фильтра

Конфиг tuned

Версию ОС

И лог запуска процесса

Включен ли selinux?

Можно попробовать для начала в режиме зеркала настроить

 

Процессор: Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz

Двухпортовая сетевая 01:00.0 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
01:00.1 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)

 

Конфиг(сейчас зеркало):

; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
;lower_host = false

domainlist = /usr/local/etc/extfilter/domains
urllist = /usr/local/etc/extfilter/urls
ssllist = /usr/local/etc/extfilter/ssl_host

; файл с ip:port для блокировки
hostlist = /usr/local/etc/extfilter/hosts

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /usr/local/etc/extfilter/ssl_ips

; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false
http_redirect = true

# если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://...
redirect_url = http://94.190.64.51

; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true

; Default: 0 - disable
statistic_interval = 300

; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
block_ssl_no_sni = true

; Какие ядра использовать. Default: все ядра, кроме management.
 core_mask = 7

; файл статистики (для extfilter-cacti)
;statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500
url_normalization = true

; CLI для управления или сбора статистики extfilter
; cli_port = 9999
; cli_address = 127.0.0.1
; Количество каналов памяти (для DPDK)
memory_channels = 2

; Количество повторных пакетов в сторону клиента (от 1 до 3)
 answer_duplication = 3

; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline)
 operation_mode = mirror

; Использовать jumbo frames
; jumbo_frames = false

; Максимальная длина ethernet фрейма при включенном jumbo_frames
; max_pkt_len = 9600

; здесь задаются порты, с которых необходимо снимать трафик
; формат:
; [port n]
; queues = a,b; a1,b1...
; n - номер порта dpdk
; a - номер очереди
; b - ядро, обрабатывающее очередь a
; Пример:
[port 0]
queues = 0,1;

;[port 0]
;queues = 0,1;
;type = subscriber
;mapto = 1
;[port 1]
;queues = 0,2;
;type = network
;mapto = 0

; Порт для отправки уведомлений через dpdk
[port 1]
type = sender
; На какой mac адрес отправлять пакеты
mac = 00:01:02:03:04:05

[dpi]
; Масштабирование количества обрабатываемых потоков 1..10
 scale = 1

; Собирать и анализировать фрагментированные пакеты
; fragmentation_ipv6_state = true
 fragmentation_ipv4_state = true
 fragmentation_ipv4_table_size = 512
; fragmentation_ipv6_table_size = 512

; Собирать и анализировать tcp потоки с неправильными порядком
 tcp_reordering = true

[logging]
;loggers.root.level = information
loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 4
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

 

Конфиг tunned

 

[main]
include=latency-performance

[bootloader]
cmdline=isolcpus=1,2,3 default_hugepagesz=1G hugepagesz=1G hugepages=4
 

Но hugepagesz не отрабатывает  видимо из за особенности CPU, поэтому создаю с помощью echo 2048 > /sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages

 

ОС Centos 7 

Linux localhost.localdomain 3.10.0-862.14.4.el7.x86_64 #1 SMP Wed Sep 26 15:12:11 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

 

Выключен SELINUX

 

Весь лог:

2018-10-12 09:49:58.486 [1642] Debug Application - DPDK command line: extFilter
2018-10-12 09:49:58.501 [1642] Debug Application - DPDK command line: -n
2018-10-12 09:49:58.501 [1642] Debug Application - DPDK command line: 2
2018-10-12 09:49:58.501 [1642] Debug Application - DPDK command line: -c
2018-10-12 09:49:58.501 [1642] Debug Application - DPDK command line: 0x07
2018-10-12 09:49:58.501 [1642] Debug Application - DPDK command line: --master-lcore
2018-10-12 09:49:58.501 [1642] Debug Application - DPDK command line: 0

 

[Блокировка сайтов провайдерами]

5 минут назад, epollia сказал:

а какой процессор?В логах точно ничего больше нет?

 

Да в логах ничего нового и сверхьестественного.  Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz

[Блокировка сайтов провайдерами]

17 минут назад, epollia сказал:

Я сам не до конца понял принцип параметра core_mask, попробуй выставить 15, хуже не будет)

Эта маска заматчит все ядра, но при этом из конфига процесс заберет только 1,2

 

 

Та же проблема(

[Блокировка сайтов провайдерами]

11 часов назад, max1976 сказал:

Весь конфиг фильтра покажите.

Конфигурация:

 

; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
;lower_host = false

domainlist = /usr/local/etc/extfilter/domains
urllist = /usr/local/etc/extfilter/urls
ssllist = /usr/local/etc/extfilter/ssl_host

; файл с ip:port для блокировки
hostlist = /usr/local/etc/extfilter/hosts

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /usr/local/etc/extfilter/ssl_ips

; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false
http_redirect = true

# если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://...
redirect_url = http://192.168.0.1

; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true

; Default: 0 - disable
statistic_interval = 300

; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
block_ssl_no_sni = true

; Какие ядра использовать. Default: все ядра, кроме management.
 core_mask = 7

; файл статистики (для extfilter-cacti)
;statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500
url_normalization = true

; CLI для управления или сбора статистики extfilter
; cli_port = 9999
; cli_address = 127.0.0.1

; Количество каналов памяти (для DPDK)
 memory_channels = 2

; Количество повторных пакетов в сторону клиента (от 1 до 3)
 answer_duplication = 3

; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline)
 operation_mode = inline

; Использовать jumbo frames
; jumbo_frames = false

; Максимальная длина ethernet фрейма при включенном jumbo_frames
; max_pkt_len = 9600

; здесь задаются порты, с которых необходимо снимать трафик
; формат:
; [port n]
; queues = a,b; a1,b1...
; n - номер порта dpdk
; a - номер очереди
; b - ядро, обрабатывающее очередь a
; Пример:
[port 0]
queues = 0,1;
type = subscriber
mapto = 1

[port 1]
queues = 0,2;
type = network
mapto = 0

; Порт для отправки уведомлений через dpdk
;[port 1]
;type = sender
; На какой mac адрес отправлять пакеты
;mac = 00:01:02:03:04:05

[dpi]
; Масштабирование количества обрабатываемых потоков 1..10

 scale = 1

; Собирать и анализировать фрагментированные пакеты
; fragmentation_ipv6_state = true
 fragmentation_ipv4_state = true
 fragmentation_ipv4_table_size = 512
; fragmentation_ipv6_table_size = 512

; Собирать и анализировать tcp потоки с неправильными порядком
 tcp_reordering = true

[logging]
;loggers.root.level = information
loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 4
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

 

[Блокировка сайтов провайдерами]

Проверил тестовое приложение DPDK 

 ./testpmd -c 0x07 -n 2 -- -i --portmask=0x1 --nb-cores=2
EAL: Detected 4 lcore(s)
EAL: Probing VFIO support...
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:10c9 net_e1000_igb
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:10c9 net_e1000_igb
Interactive-mode selected
previous number of forwarding ports 2 - changed to number of configured ports 1
Warning: NUMA should be configured manually by using --port-numa-config and --ring-numa-config parameters along with --numa.
USER1: create a new mbuf pool <mbuf_pool_socket_0>: n=163456, size=2176, socket=0

Warning! Cannot handle an odd number of ports with the current port topology. Configuration must be changed to have an even number of ports, or relaunch application with --port-topology=chained

Configuring Port 0 (socket 0)
Port 0: 90:E2:BA:29:CB:26
Configuring Port 1 (socket 0)
Port 1: 90:E2:BA:29:CB:27
Checking link statuses...
Done
 

Хм а extfilter не запускается.

[Блокировка сайтов провайдерами]

9 минут назад, Cramac сказал:

посмотрите в логе extfilter что там не так, может в конфиге не так прописали?

вооо

2018-10-11 12:15:09.815 [15768] Debug Application - DPDK command line: extFilter
2018-10-11 12:15:09.815 [15768] Debug Application - DPDK command line: -n
2018-10-11 12:15:09.815 [15768] Debug Application - DPDK command line: 2
2018-10-11 12:15:09.815 [15768] Debug Application - DPDK command line: -c
2018-10-11 12:15:09.815 [15768] Debug Application - DPDK command line: 0x07
2018-10-11 12:15:09.815 [15768] Debug Application - DPDK command line: --master-lcore
2018-10-11 12:15:09.815 [15768] Debug Application - DPDK command line: 0
2018-10-11 12:19:58.090 [16006] Debug Application - DPDK command line: extFilter
2018-10-11 12:19:58.090 [16006] Debug Application - DPDK command line: -n
2018-10-11 12:19:58.090 [16006] Debug Application - DPDK command line: 2
2018-10-11 12:19:58.090 [16006] Debug Application - DPDK command line: -c
2018-10-11 12:19:58.090 [16006] Debug Application - DPDK command line: 0x07
2018-10-11 12:19:58.090 [16006] Debug Application - DPDK command line: --master-lcore
2018-10-11 12:19:58.090 [16006] Debug Application - DPDK command line: 0
 

 

Настроено бриджом.

[port 0]
queues = 0,1;
type = subscriber
mapto = 1

[port 1]
queues = 0,2;
type = network
mapto = 0
 

[Блокировка сайтов провайдерами]

Подскажите, поставил тестовый комп i5 с 4 ядрами и 8G ОЗУ

tuned 

[main]
include=latency-performance

[bootloader]
cmdline=isolcpus=1,2,3 default_hugepagesz=1G hugepagesz=1G hugepages=4

 

core_mask=7

 

Выдает при запуске:

EAL: Detected 4 lcore(s)
EAL: Probing VFIO support...
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:10c9 net_e1000_igb
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:10c9 net_e1000_igb
Out of range
 

 

[root@localhost usertools]# ./dpdk-devbind.py --status

Network devices using DPDK-compatible driver
============================================
0000:01:00.0 '82576 Gigabit Network Connection 10c9' drv=igb_uio unused=
0000:01:00.1 '82576 Gigabit Network Connection 10c9' drv=igb_uio unused=


[root@localhost usertools]# ./cpu_layout.py
======================================================================
Core and Socket Information (as reported by '/sys/devices/system/cpu')
======================================================================

cores =  [0, 1, 2, 3]
sockets =  [0]

       Socket 0
       --------
Core 0 [0]
Core 1 [1]
Core 2 [2]
Core 3 [3]

 

 

[captive portal и потенциальная дыра?]

В 01.08.2018 в 11:11, shicoy сказал:

А почему доступ к сторонним dns должен ограничиваться?)

а так вы сами ответили либо dns в отдельный класс, либо ваш dns в отдельный класс (да хоть в cs0), а остальным блочить. Есть еще куча вариантов, все зависит от вашей структуры сети.

 

да так и сделали, отдельный класс, вопрос в другом, почему не сделать белый список DNS ))))

[captive portal и потенциальная дыра?]

тестирую captive portal:

Полиси captive.cfg

htb_root=rate 1mbit
htb_class0=rate 8bit ceil 1mbit
htb_class1=rate 8bit ceil 8bit
htb_class2=rate 8bit ceil 8bit
htb_class3=rate 8bit ceil 8bit
htb_class4=rate 8bit ceil 8bit
htb_class5=rate 8bit ceil 8bit
htb_class6=rate 8bit ceil 8bit
htb_class7=rate 8bit ceil 8bit
 

Разбиение трафика следующее:

Вариант 1

bittorrent cs7
default cs2
http cs0
mpeg cs1
dns cs1
icmp cs1
https cs1
 

Ничего не работает, в том числе и белые списки, captive тоже не открывается, что логично ибо DNS режется :-)

Вариант 2

bittorrent cs7
default cs2
http cs0
mpeg cs1
dns cs0
icmp cs1
http cs0

Все работает белые списки и captive.

При этом DNS доступ к сторонним серверам не ограничивается и потенциально дает возможность использовать DNS туннели.

Можно конечно DNS в отдельный класс и дать ему 8kbit :-)

 

[Точка точка на 1км без лицензии, возможно ли?]

Для администрации необходимо подключить камеры на удаленном объекте. Подключить их возможно только радиомостом. Можно ли как то в диапазоне 2.4 или 5 узким лучом, низкой мощностью или еще как то организовать мост, чтобы претензий у РЧЦ не было. Эфир не загажен.

[Клиенту хочется странного.. переадресация на два сотовых.]

Коллеги а подскажите sip шлюз(с минимумом функций IP АТС) чтобы поддерживал подключение от 4-8 подключений sip клиентов. В идеале аналог этого IP АТС SNR-VX20(жаль сняли с продажи)