aalexanderr

Порт для приёма есть, а для отправки нету ? Режим работы какой ? Версия extfilter ?

mac в порту приёмника мы указываете не браса/брасов, а asbr, к которому брасы подключены ? те фильтр отправляет rst пакеты на dst mac asbr'a ? а если допустим 2 вышестоящих оператора связи и соответственно 2 линка вверх, 2 разных мака и стоит rp check, то не будет ли asbr отбрасывать пакеты потому, что они прилетели не на тот интерфейс ? тот же вопрос, что выше написал.. А inline никто не использует ? только зеркало ?

По моему вопросу кто-нибудь подскажет ?

И такой глупый вопрос кто-нибудь использует 1 фильтр на 2 браса ? В текущий момент схема mirror, 1 брас, линк 10g, трафика 6 гигов. Хотелось бы разделить нагрузку по схеме mirror: 2 браса, 2 порта 10g, 1 порт sender. Я правильно понимаю, что extfilter в схеме mirror так будет работать с 2мя брасами и 2мя входящими портами ? И так же вопрос с 2мя брасами схема inline, настройка портов в таком случае будет выглядеть так ?: 0 ядро так же уходит в зрительный зал для работы основного процесса ? и допустим по 4 ядра на порт этого достаточно, чтобы прокачать 3-4 гига в схеме inline ? или лучше оставаться на зеркале ? [port 0] queues = 0,2;1,3;2,4;3,5 type = subscriber mapto = 1 [port 1] = queues = 0,6;1,7;2,8;3,9 type = network mapto = 0 [port 2] queues = 0,10;1,11;2,12;3,13 type = subscriber mapto = 3 [port 3] queues = 0,14;1,15;2,16;3,17 type = network mapto = 2

т.е. если допустим клиент будет использовать goodbyedpi, коряво фрагментировать пакеты и прочие ухищрения, то ndpi работать не будет ?

насколько ресурсоёмко ? и я правильно понимаю, что вы дополнительно используете extfilter для РКН ? а данный openDPI для блокировки L7 ?

я бы лучше мотивировал в сторону крипты - тот же btc или eth.

или в our_blacklist можно добавить таким образом ? *.instagram.com.* *.dninstagram.com.* https://*.instagram.com.* https://*.dninstagram.com.*

зачем, зачем вы это делаете ? подпишите на компе, подсуньте файл и отключите генерацию в скрипте и забудьте на год про эту проблему.

А проблему можно решить просто отключив ipv6 в zapret.pl ? zapret.pl убрать или закомментить и в базу они литься не будут больше: if(defined $content->{ipv6}{value}) { my @ipv6 = @{$content->{ipv6}{value}}; convertIPv6(\@ipv6); push(@ips, @ipv6); }

А как собственно говоря зависон этот выглядел ? старые хосты блочились, а новые нет ? И что это за опция добавлять все IP для блокировки в режиме моста ? Речь об этом: ? # выгружать в ssls_ips только ip адреса, указанные в реестре. only_original_ssl_ip = true Не могу найти эти адреса, они в хостах или же в ssl_ips ? Вообще если IPv6 не нужны по идее можно из файла: zapret.pl убрать или закомментить и в базу они литься не будут больше: if(defined $content->{ipv6}{value}) { my @ipv6 = @{$content->{ipv6}{value}}; convertIPv6(\@ipv6); push(@ips, @ipv6); }

Продам коммутаторы в комплекте: Quidway 5328C-EI-24S LS5D00E2XX00 Карта 2-Port 10GE XFP Питание по 2 блока DC Стэковая карта и кабели. 2 коммутатора в сборе за каждый 25к. Географически Москва. Отправка любой ТК. Связь в ЛС

Сабж, предложения в ЛС...

@swsn у меня позавчера, когда я убрал кваггу и перешёл на hosts тоже с 16 гигами падало при наличии 6 воркеров, scale = 5, выделено было 16 гигов оперативы на hugepages. Запускался нормально, но через 50 минут падал. Пришлось выделить 20. Сейчас живёт и не падает. Было бы неплохо если бы кто-нибудь объяснил как используется память и что влияет на её потребление - какие параметры.

я так понимаю, что чем больше рабочих, тем больше памяти необходимо. Каждый worker подгружает (вроде бы) независимо все acl на себя. Плюс scale отжирает в среднем по 1.2гига памяти. Scale = 1 - 1.2, 2 - 2.4 и т.д. Из описания видел, что на 1гбит/с трафика - scale = 1 и т.д. Определённо ещё виляет: fragmentation_ipv4_state = true fragmentation_ipv4_table_size = 512 fragmentation_ipv6_state = false fragmentation_ipv6_table_size = 512 Самому интересно было какие параметры на что влияют... Может быть Максим ответит на эти вопросы.