aalexanderr

Порт для приёма есть, а для отправки нету ? Режим работы какой ? Версия extfilter ?

mac в порту приёмника мы указываете не браса/брасов, а asbr, к которому брасы подключены ? те фильтр отправляет rst пакеты на dst mac asbr'a ? а если допустим 2 вышестоящих оператора связи и соответственно 2 линка вверх, 2 разных мака и стоит rp check, то не будет ли asbr отбрасывать пакеты потому, что они прилетели не на тот интерфейс ? тот же вопрос, что выше написал.. А inline никто не использует ? только зеркало ?

По моему вопросу кто-нибудь подскажет ?

И такой глупый вопрос кто-нибудь использует 1 фильтр на 2 браса ? В текущий момент схема mirror, 1 брас, линк 10g, трафика 6 гигов. Хотелось бы разделить нагрузку по схеме mirror: 2 браса, 2 порта 10g, 1 порт sender. Я правильно понимаю, что extfilter в схеме mirror так будет работать с 2мя брасами и 2мя входящими портами ? И так же вопрос с 2мя брасами схема inline, настройка портов в таком случае будет выглядеть так ?: 0 ядро так же уходит в зрительный зал для работы основного процесса ? и допустим по 4 ядра на порт этого достаточно, чтобы прокачать 3-4 гига в схеме inline ? или лучше оставаться на зеркале ? [port 0] queues = 0,2;1,3;2,4;3,5 type = subscriber mapto = 1 [port 1] = queues = 0,6;1,7;2,8;3,9 type = network mapto = 0 [port 2] queues = 0,10;1,11;2,12;3,13 type = subscriber mapto = 3 [port 3] queues = 0,14;1,15;2,16;3,17 type = network mapto = 2

т.е. если допустим клиент будет использовать goodbyedpi, коряво фрагментировать пакеты и прочие ухищрения, то ndpi работать не будет ?

насколько ресурсоёмко ? и я правильно понимаю, что вы дополнительно используете extfilter для РКН ? а данный openDPI для блокировки L7 ?

я бы лучше мотивировал в сторону крипты - тот же btc или eth.

или в our_blacklist можно добавить таким образом ? *.instagram.com.* *.dninstagram.com.* https://*.instagram.com.* https://*.dninstagram.com.*

зачем, зачем вы это делаете ? подпишите на компе, подсуньте файл и отключите генерацию в скрипте и забудьте на год про эту проблему.

А проблему можно решить просто отключив ipv6 в zapret.pl ? zapret.pl убрать или закомментить и в базу они литься не будут больше: if(defined $content->{ipv6}{value}) { my @ipv6 = @{$content->{ipv6}{value}}; convertIPv6(\@ipv6); push(@ips, @ipv6); }

А как собственно говоря зависон этот выглядел ? старые хосты блочились, а новые нет ? И что это за опция добавлять все IP для блокировки в режиме моста ? Речь об этом: ? # выгружать в ssls_ips только ip адреса, указанные в реестре. only_original_ssl_ip = true Не могу найти эти адреса, они в хостах или же в ssl_ips ? Вообще если IPv6 не нужны по идее можно из файла: zapret.pl убрать или закомментить и в базу они литься не будут больше: if(defined $content->{ipv6}{value}) { my @ipv6 = @{$content->{ipv6}{value}}; convertIPv6(\@ipv6); push(@ips, @ipv6); }

Продам коммутаторы в комплекте: Quidway 5328C-EI-24S LS5D00E2XX00 Карта 2-Port 10GE XFP Питание по 2 блока DC Стэковая карта и кабели. 2 коммутатора в сборе за каждый 25к. Географически Москва. Отправка любой ТК. Связь в ЛС

Сабж, предложения в ЛС...

@swsn у меня позавчера, когда я убрал кваггу и перешёл на hosts тоже с 16 гигами падало при наличии 6 воркеров, scale = 5, выделено было 16 гигов оперативы на hugepages. Запускался нормально, но через 50 минут падал. Пришлось выделить 20. Сейчас живёт и не падает. Было бы неплохо если бы кто-нибудь объяснил как используется память и что влияет на её потребление - какие параметры.

я так понимаю, что чем больше рабочих, тем больше памяти необходимо. Каждый worker подгружает (вроде бы) независимо все acl на себя. Плюс scale отжирает в среднем по 1.2гига памяти. Scale = 1 - 1.2, 2 - 2.4 и т.д. Из описания видел, что на 1гбит/с трафика - scale = 1 и т.д. Определённо ещё виляет: fragmentation_ipv4_state = true fragmentation_ipv4_table_size = 512 fragmentation_ipv6_state = false fragmentation_ipv6_table_size = 512 Самому интересно было какие параметры на что влияют... Может быть Максим ответит на эти вопросы.

extfilter> show acl show acl ACL for ip:port blocking: /usr/local/rkn/extFilter/data/hosts ACL for SSL ip blocking: ACL for notification: ACL SSL ip blocking так и должно быть пустым ?

Да, увеличил до 20 гигов, всё работает без провалов. А если бы я уменьшил scale я так понимаю, что это так же бы помогло ?

После перехода на новую версию extfilter 0.99.2 в режиме миррора со включёнными правилами для блокировки ips/nets -> hosts extfilter после 2 часов работы вывалился с ошибкой нехватки памяти: ACL: allocation of 326726080 bytes on socket 0 for extFilter-ipv4-acl0-2 failed в целом в системе есть ещё свободные 10 гигов оперативы.. используется 6 ядер трафика 2 гига в среднем scale=5 hugepages=16 пропусков нет. что лучше сделать - scale опустить до 4 или hugepages увеличить до 20 ? не совсем понимаю какой памяти не хватает.

это замечательно, т.е. работать будет, а как быть с UDP и проверяет ли ревизор доступность по каких-то узлов по udp ?

Я правильно понимаю, что в случае extfilter может через hosts сам блокировать трафик, но только в том случае если работает в режиме моста/инлайн ? У тех у кого pc routers стоят вы что используете для ускорения подгрузки маршрутов: quagga+iproute save\restore на машине с extfilter ? quagga+подгрузку bgpd.conf сразу на машине с extfilter ? генерите файл со списком на машине с extfilter и передаёте его на pcrouter ? куда вливаете ipset + iptables forward drop ? генерите файл из базы на машине extfiler сразу на pcrouter'e ? куда вливаете ipset + iptables forward drop ?

Новые: Zyxel 3712F - 14 штук - 10к Zyxel 3712 - 7 штук - 10к Dlink DFL 860e - 10 штук - 15к Москва. Отправлю любой ТК.

Я имел ввиду, что при включении настройки block_ssl_no_sni=true - блокируются все сайты без разбора, даже если SNI указан. Пример привёл выше, несмотря на то, что SNI был указан всё равно происходила блокировка.

Речь о block_ssl_no_sni ? Установил в false, проблема ушла. Вопроса 2: 1-будут ли пропуски ? 2-фунционал sni не работает ?

Доброй ночи! Народ, подскажите, у вас https://r6.tracker.network/ (104.27.132.49) нормально открывается или падает в блокировку по ssl_ips ? В листах нашёл IP адрес на котором висит r6.tracker.network: <content id="1183537" includeTime="2018-11-08T20:27:03" entryType="1" blockType="domain" hash="8EA36F3FBA802EF1973442E308C723BA"> <decision date="2018-02-13" number="2-6-20/2018-02-12-1404-АИ" org="ФНС"/> <domain><![CDATA[www.cleopatracasino.com]]></domain> <ip>104.27.133.49</ip> <ip>104.27.132.49</ip> </content> <content id="1414143" includeTime="2019-03-18T10:53:57" entryType="1" blockType="domain" hash="E7D59EFA664611B0A293C1BD4485C55C"> <decision date="2019-03-14" number="2019-03-13-1452" org="МВД"/> <domain><![CDATA[nydra2web.net]]></domain> <ip>104.27.133.49</ip> <ip>104.27.132.49</ip> <ipv6>2606:4700:0030:0000:0000:0000:681b:8531</ipv6> <ipv6>2606:4700:0030:0000:0000:0000:681b:8431</ipv6> </content> В первом и втором случае тип блокировки domain, т.е. по идее должна происходить блокировка и http и https трафика (т.к. в конфиге extfilter-maker domains_ssl в true), при этом указаны IP адреса на которых висит домен, получается, что если в конфиге extFilter'a стоит block_ssl_no_sni=true и SNI не указан при обращении к сайту r6.tracker.network, то будет происходить блокировка ввиду того, что на IP адресе на котором висит r6.tracker.network висит так же и nydra2web.net и www.cleopatracasino.com ? При этом достаточно странно, т.к. при обращении к https://r6.tracker.network/ SNI указан, но всё равно улетаю в RST..

2 раза перезаливал базу получалась какая-то ерунда - адрес всплывал. В настройках zapret.conf был выключен архив, включил, удалил dump.zip, dump.xml из /tmp и ещё раз обновил базу, адрес пропал из базы. Мистика.