Jump to content
Калькуляторы

aalexanderr

Пользователи
  • Content Count

    34
  • Joined

  • Last visited

About aalexanderr

  • Rank
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. @swsn у меня позавчера, когда я убрал кваггу и перешёл на hosts тоже с 16 гигами падало при наличии 6 воркеров, scale = 5, выделено было 16 гигов оперативы на hugepages. Запускался нормально, но через 50 минут падал. Пришлось выделить 20. Сейчас живёт и не падает. Было бы неплохо если бы кто-нибудь объяснил как используется память и что влияет на её потребление - какие параметры.
  2. я так понимаю, что чем больше рабочих, тем больше памяти необходимо. Каждый worker подгружает (вроде бы) независимо все acl на себя. Плюс scale отжирает в среднем по 1.2гига памяти. Scale = 1 - 1.2, 2 - 2.4 и т.д. Из описания видел, что на 1гбит/с трафика - scale = 1 и т.д. Определённо ещё виляет: fragmentation_ipv4_state = true fragmentation_ipv4_table_size = 512 fragmentation_ipv6_state = false fragmentation_ipv6_table_size = 512 Самому интересно было какие параметры на что влияют... Может быть Максим ответит на эти вопросы.
  3. extfilter> show acl show acl ACL for ip:port blocking: /usr/local/rkn/extFilter/data/hosts ACL for SSL ip blocking: ACL for notification: ACL SSL ip blocking так и должно быть пустым ?
  4. Да, увеличил до 20 гигов, всё работает без провалов. А если бы я уменьшил scale я так понимаю, что это так же бы помогло ?
  5. После перехода на новую версию extfilter 0.99.2 в режиме миррора со включёнными правилами для блокировки ips/nets -> hosts extfilter после 2 часов работы вывалился с ошибкой нехватки памяти: ACL: allocation of 326726080 bytes on socket 0 for extFilter-ipv4-acl0-2 failed в целом в системе есть ещё свободные 10 гигов оперативы.. используется 6 ядер трафика 2 гига в среднем scale=5 hugepages=16 пропусков нет. что лучше сделать - scale опустить до 4 или hugepages увеличить до 20 ? не совсем понимаю какой памяти не хватает.
  6. это замечательно, т.е. работать будет, а как быть с UDP и проверяет ли ревизор доступность по каких-то узлов по udp ?
  7. Я правильно понимаю, что в случае extfilter может через hosts сам блокировать трафик, но только в том случае если работает в режиме моста/инлайн ? У тех у кого pc routers стоят вы что используете для ускорения подгрузки маршрутов: quagga+iproute save\restore на машине с extfilter ? quagga+подгрузку bgpd.conf сразу на машине с extfilter ? генерите файл со списком на машине с extfilter и передаёте его на pcrouter ? куда вливаете ipset + iptables forward drop ? генерите файл из базы на машине extfiler сразу на pcrouter'e ? куда вливаете ipset + iptables forward drop ?
  8. Новые: Zyxel 3712F - 14 штук - 10к Zyxel 3712 - 7 штук - 10к Dlink DFL 860e - 10 штук - 15к Москва. Отправлю любой ТК.
  9. Я имел ввиду, что при включении настройки block_ssl_no_sni=true - блокируются все сайты без разбора, даже если SNI указан. Пример привёл выше, несмотря на то, что SNI был указан всё равно происходила блокировка.
  10. Речь о block_ssl_no_sni ? Установил в false, проблема ушла. Вопроса 2: 1-будут ли пропуски ? 2-фунционал sni не работает ?
  11. Доброй ночи! Народ, подскажите, у вас https://r6.tracker.network/ (104.27.132.49) нормально открывается или падает в блокировку по ssl_ips ? В листах нашёл IP адрес на котором висит r6.tracker.network: <content id="1183537" includeTime="2018-11-08T20:27:03" entryType="1" blockType="domain" hash="8EA36F3FBA802EF1973442E308C723BA"> <decision date="2018-02-13" number="2-6-20/2018-02-12-1404-АИ" org="ФНС"/> <domain><![CDATA[www.cleopatracasino.com]]></domain> <ip>104.27.133.49</ip> <ip>104.27.132.49</ip> </content> <content id="1414143" includeTime="2019-03-18T10:53:57" entryType="1" blockType="domain" hash="E7D59EFA664611B0A293C1BD4485C55C"> <decision date="2019-03-14" number="2019-03-13-1452" org="МВД"/> <domain><![CDATA[nydra2web.net]]></domain> <ip>104.27.133.49</ip> <ip>104.27.132.49</ip> <ipv6>2606:4700:0030:0000:0000:0000:681b:8531</ipv6> <ipv6>2606:4700:0030:0000:0000:0000:681b:8431</ipv6> </content> В первом и втором случае тип блокировки domain, т.е. по идее должна происходить блокировка и http и https трафика (т.к. в конфиге extfilter-maker domains_ssl в true), при этом указаны IP адреса на которых висит домен, получается, что если в конфиге extFilter'a стоит block_ssl_no_sni=true и SNI не указан при обращении к сайту r6.tracker.network, то будет происходить блокировка ввиду того, что на IP адресе на котором висит r6.tracker.network висит так же и nydra2web.net и www.cleopatracasino.com ? При этом достаточно странно, т.к. при обращении к https://r6.tracker.network/ SNI указан, но всё равно улетаю в RST..
  12. 2 раза перезаливал базу получалась какая-то ерунда - адрес всплывал. В настройках zapret.conf был выключен архив, включил, удалил dump.zip, dump.xml из /tmp и ещё раз обновил базу, адрес пропал из базы. Мистика.
  13. В базу попадает 2 ip адреса: 185.129.100.242 185.129.100.247 Подскажите, в выгрузке их не могу найти, но они присутствуют в базе. Базу перезалил, результат тот же. select * from zap2_ips where (INET_NTOA(CONV(hex(ip),16,10))) like '185.129.100.242'; +--------+-----------+---------------------+------+----------+ | id | record_id | date_add | ip | resolved | +--------+-----------+---------------------+------+----------+ | 215239 | 88311 | 2018-12-14 22:01:24 | ▒▒d▒ | 0 | +--------+-----------+---------------------+------+----------+ select * from zap2_records where id='88311' +-------+---------------------+-------------+---------------+-----------------------+--------------------------------------------------+---------------------+------------+----------------------------------+ | id | date_add | decision_id | decision_date | decision_num | decision_org | include_time | entry_type | hash | +-------+---------------------+-------------+---------------+-----------------------+--------------------------------------------------+---------------------+------------+----------------------------------+ | 88311 | 2018-12-14 22:01:24 | 1112955 | 2018-09-18 | 2018-09-18-729-АЛК | Росалкогольрегулирование | 2018-10-03T15:43:23 | 1 | 5F1419E637D1341AF4D189759F6F8EC3 | +-------+---------------------+-------------+---------------+-----------------------+--------------------------------------------------+---------------------+------------+----------------------------------+ cat dump.xml | grep 5F1419E637D1341AF4D189759F6F8EC3 пусто. В zapret.conf: resolve = 0 ipv6_support = no keep_resolved = no
  14. Странный какой core_mask должен же быть 32705 - нет ? и лог побольше выложи, чтобы посмотреть всех воркеров и суммарку.
  15. Так выгрузка вроде и висит на этом адресе