NightElf

В дополнение к этому заметил следующее: если заходить напрямую на блокированную страничку - блокировка работает, однако если сначала зайти на сайт, а уже оттуда открыть ссылку на блокированную страницу - пропускает. Есть такое дело, но это не фильтр чудит, а броузер. Вангую, лиса стоит?? ctrl+F5 решает Да, Лиса на Ментосе) Спасибо за совет, попробую на других браузерах.

В дополнение к этому заметил следующее: если заходить напрямую на блокированную страничку - блокировка работает, однако если сначала зайти на сайт, а уже оттуда открыть ссылку на блокированную страницу - пропускает.

Добрый день. Настраиваю сейчас extfilter есть несколько вопросов: 1. Почему-то если поставить в конфиге http_redirect = false - пропускаются сайты из domainlist, а при включении редиректа - редиректит на заглушку. 2. Очень плохо отрабатывает urllist - 1 раз из 10-20 только редиректит, в остальных случаях открывает. Может формат файла неправильный? Я пока не настраивал получения файлов списков из БД, просто руками несколько url ввел по одному на строку в таком виде: www.xxx.ru/1.php www.yyy.ru/ao/bo/ опять же если здесь указан только сайт, без указания конкретной страницы - блокируется без проблем, а вот если указана страница - швах Варианта пропуска из-за того что несправляется сервер не рассматриваю, т.к. тестирую на 1 ПК, трафик которого зеркалится. 3. Дебаг как-то странно работает: для IP записи: Debug CSender - Trying to send packet to 192.168.255.127 port 39834 Debug WorkerThread 1 - Found record in ip:port list for the client 192.168.255.127:39835 and server 1.1.1.1:80 а для записей из domains только одна строка: Trying to send packet to 192.168.255.127 port 54977 это так и должно быть? в статистике вроде как отражаются все типы блокировок: Worker thread on core 3 statistics: 2017-03-28 07:06:54.158 [3850] Information Application - Thread seen packets: 60236, IP packets: 60193 (IPv4 packets: 60120, IPv6 packets: 73), seen bytes: 532193, Average packet size: 8 bytes, Traffic throughput: 200.79 pps 2017-03-28 07:06:54.158 [3850] Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 2017-03-28 07:06:54.158 [3850] Information Application - Thread matched by ip/port: 20, matched by ssl: 0, matched by ssl/ip: 0, matched by domain: 50, matched by url: 20 и последнее: типы логов есть другие кроме debug и information?

Собрал/установил extfilter, может кто-нибудь поделиться файликом блокировок в nfqfilter-формате?

Скомпилировал DPDK, однако немного не понятно - в quick start всё заканчивается на стадии компиляции + включается поддержка hugepages. В таком случае парамерты --with-dpdk_target=<target> --with-dpdk_home=<path_to_compiled_dpdk> указывают на разархивированный dpdk или всё же необходимо делать make install? И, если делать, то dpdk-home что получается? (т.к. если сделать make install каталог Build не создается). P.S. Может кто-нибудь для тестирования скинуть файлик в формате nfqfilter?

А не подскажете как этот патч применяется? С CentOS до этого не работал, только BSD.

Столкнулся с тем же - если я правильно понял - DPDK собирается только на машинах поддерживающих SSSE3?

Нашёл я в 6 утра косяк (вот правда говорят утро вечера мудренее). В named.conf было 2 view - как оказалось я инклюдил файл с описанием сайтов не в тот view. Поменял и всё заработало. Спасибо всем кто задумался над описанной проблемой)

Вот nslookup с сервера [root@mx ~]# nslookup nssukr.com Server: 172.30.0.2 Address: 172.30.0.2#53 Non-authoritative answer: Name: nssukr.com Address: 91.200.40.10 С клиента такой же C:\Users\Admin>nslookup nssukr.com ╤хЁтхЁ: UnKnown Address: 172.30.0.2 Не заслуживающий доверия ответ: ╚ь : nssukr.com Address: 91.200.40.10 172.30.0.2 - Адрес DNS-сервера

Уважаемые помогите пожалуйста с вопросом блокировки по DNS. Раньше bind был на FreeBSD - проблем не было блокировка осуществлялась подменой зоны. Сейчас стоит CentOS 6.4 Сделал как писали здесь: http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=908296 named.conf кусочек с опциями: options { listen-on port 53 { 127.0.0.1; 172.XX.YY.ZZ; 87.XX.YY.ZZ; }; listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; check-names master ignore; check-names slave ignore; recursive-clients 2000; allow-query { IPшники }; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; и подключения файла с блокировками include "/etc/named/named.blocked"; named.blocked zone "123.ru" {type master; file "/etc/named/db.null"; allow-query {any;};}; zone "ru.888.com" {type master; file "/etc/named/db.null"; allow-query {any;};}; db.null $TTL 36000 @ IN SOA мой-днс-сервер. hostmaster.example.com. ( 2014070802 3600 300 604800 3600) @ IN NS мой-днс-сервер. @ IN A IP-заглушки ; * IN A IP-заглушки ; После рестарта Bind'a ошибок нет, но странички, укзанные в named.blocked не блокируется. Пингуются и открываются. Пробовал сделать db.null пустым - только с TTL - named даёт ошибку при перезапуске что нет записей SOA и NS Подскажите в какую сторону копать Проверил checkzone - вроде видит [root@ns5~]# named-checkzone 123.ru /etc/named/db.null zone 123.ru/IN: loaded serial 2014070802 OK [root@ns5 ~]# named-checkzone ru.888.com /etc/named/db.null zone ru.888.com/IN: loaded serial 2014070802 OK Заметил странную штуку - заблокировал nssukr.com - пингую, а ответ приходит от h10.hvosting.ru [ root@mx ~]# ping nssukr.com PING nssukr.com (91.200.40.10) 56(84) bytes of data. 64 bytes from h10.hvosting.ua (91.200.40.10): icmp_seq=1 ttl=56 time=62.7 ms 64 bytes from h10.hvosting.ua (91.200.40.10): icmp_seq=2 ttl=56 time=69.9 ms

Из той же серии: из прокуратуры пришло судебное предписание заблокировать список сайтов продающих алкоголь, список из 104 адресов. При этом заблокировать указали только по IP. В итоге уже пострадали 3 сайта законопослушных: сайт по разведению собак, строительные материалы и какой-то еще. При этом половина алко-сайтов не то, что не в нашей области, а совсем даже на другой половине России)

Сейчас как раз оформляем продление, при заказе нового ключа через Личный Кабинет был выбор: экспортируемый/не экспортируемый. На всякий случай уточнил у консультанта:

В пятницу немного подъюстировали + поменяли местами RX/TX Frequency (На master поставили TX 24.2, на slave 24.1). С тех пор пока больше не отваливалось - 2,5 дня.

Поставили fiber'ы на линк примерно 8км. В нормальном режиме -65, 500Mbps. Периодически в основном ночью с 23 до 9 происходит отвал линка на 2-4 минуты. Линк через поле. Сегодня поймал момент отвала на ближней тарелке. Отвалился chain 1 сигнал, а remote chain 1 в -87 прыгнул. В ближайших планах подъюстировать и прошить новую 1.5. Но пока решил узнать, может было у кого подобное, как лечить?

У меня тот же скрипт от tawer'a вот как выглядит в кроне: (правда ubuntu 12.04) 00 */6 * * * root /usr/bin/perl /work/rzs/download.pl 0 15 */6 * * * root /usr/bin/perl /work/rzs/download.pl 1 Не иначе как просили заблочить президент.рф

Это понятно, пробовал уже на 2 скриптах. Что то он отсылает, но результат написан выше. Скрипт от tawer еще не ковырял, но попробую. каюсь, забыл цитату сделать, отвечал d-e-n-i-s'у.

Нужно просто взять любой скрипт для подписи и отправки и убрать оттуда часть про создание/подпись файла, сразу начав с отправки. По сути openssl нужно только для подписи файла из под Linux. Например для скрипта от tawer'a надо выпилить следующее: if ($lddn > $lddts) { mylog("got new LastDumpDate version $lddn, try send request"); open (XMLREQ, ">/gost-ssl/rzs/request.xml"); print XMLREQ "<?xml version=\"1.0\" encoding=\"windows-1251\"?>\n"; print XMLREQ "<request>\n\t<requestTime>$dt</requestTime>\n"; print XMLREQ "\t<operatorName> О Р Г А Н И З А Ц И Я </operatorName>\n"; print XMLREQ "\t<inn> И Н Н </inn>\n\t<ogrn> О Г Р Н </ogrn>\n"; print XMLREQ "\t<email> M A I L </email>\n</request>\n"; close XMLREQ; system ("/gost-ssl/bin/openssl smime -sign -in /gost-ssl/rzs/request.xml -out /gost-ssl/rzs/request.bin". " -signer /gost-ssl/rzs/provider.pem -outform DER -nodetach"); P.S. На ubuntu 12.04 в пятницу всё поднял за час, всё работает, никаких проблем.

Так в районе 30-50 страницы темы есть несколько вариантов парсера.

Добрый день. Поднял машину на Убунте, начинаю настраивать и сразу же первый вопрос: чтобы с рутокена слить ключ, в комментариях ранее используют p12fromcsp, однако проблема в том, что теперь эта утилитка платная (1200р), может кто поделится? upd. Нашел архив на слонике (вроде тут где-то даже была эта ссылка) Новичкам

Добрый день. Сразу прошу не кидаться помидорами) Вопрос такой - автоматизировал ли кто-то выгрузку реестра не на BSD/Linux, а на Windows? Как автоматизировать процесс создания файла и подписи еще несколько понятно (здесь почитал, хотя опять же необходимо дважды вводить пин-код на ключик), но вот как автоматизировать загрузку реестра (даже без обработки если) пока непонятно. В принципе ели решения не найдется, поставлю наверно debian (машина должна через недельку остановиться) и тогда уже по инструкциям с первых 30-50 страниц, но там я не нашел (может плохо искал?) как подключить сам HASP-ключ?

Спасибо всем за участие. Как выяснилось действительно админы забыли добавить в RIPE новую AS-ку. Добавили, через 3 дня созвонились с вышестоящим - обновили фильтры и все заработало.

а не подскажите где подобное посмотреть? upd. нашел в RIPE сегодня отправим update-инфу, провайдеру тоже позвоним - узнаем, хотя есть подозрение что дело только в RIPE

Да, вместе в качестве резерва друг друга (не хорошо это когда инет только от одного прова в город подается без резервирования). Самое непонятное что такой же конфиг (ну только с небольшими изменениями) замечательно работает в другом городе на FreeBSD+Quagga (разница в том, что там 3 провайдера)

сначала было настроено без next-hop'a, это уже была попытка настроить как на FreeBSD в моей компании Вешал 3 препенда - все равно через А идет ну минут 5-7 ждали, трассировка с локалки доходит до циски и стопается, как я уже говорил с самой циски все замечательно работает через Б. а стартов там и нету. Трансы и Юлком

Добрый день. Перечитал много статей по этому вопросу, но что-то так и не работает. Смысл вот в чем, сам я cisco особо не работал (больше с FreeBSD - там же настраивал BGP на нескольких провов вполне успешно), никак не получается настроить мне BGP на 7206 с 2 провайдерами. Описываю проблему: Была циска с одним провайдером А, сейчас подключили еще провайдера Б к этой же циске. Вроде примерно как на фре всё настроил, но не работает. Весь трафик идет через провайдера А. Если отключишь линк А, то инет в сети падает полностью, НО на самой циске трафик идет через провайдера Б. При включении линка А, некоторое время (пока не перестроится маршрут) весь инет со всей сети идет через провайдера Б, минуты через 3 весь трафик снова уходит в линк А. Наша сеть XX.XXX.228.0/22 Есть подозрение, что не срабатывает Next-hop, т.к. show ip bgp neighbors по обоим операторам выдает bg-is#show ip bgp neighbors ББ.ББ.69.254 advertised-routes BGP table version is 1705457, local router ID is XX.XXX.228.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> XX.XXX.228.0/22 0.0.0.0 0 32768 i Total number of prefixes 1 Конфиг циски (фейсы и BGP) GE0/0.1 - уход с циски в локалку, GE0/1 - приход провайдера Б, GE0/3 - приход провайдера А: interface Null0 no ip unreachables ! interface FastEthernet0/0 ip address 10.253.0.90 255.255.255.0 duplex full speed auto ! interface GigabitEthernet0/0 no ip address no ip redirects no ip proxy-arp duplex full speed 1000 media-type rj45 negotiation auto no snmp trap link-status no cdp enable no mop enabled hold-queue 150 in hold-queue 150 out ! interface GigabitEthernet0/0.1 description Main connection to NAT server (over 3560G port 16) encapsulation dot1Q 11 ip address XX.XXX.228.49 255.255.255.248 no cdp enable ! interface GigabitEthernet0/1 ip address ББ.ББ.69.9 255.255.255.0 no ip proxy-arp duplex full speed 1000 media-type rj45 negotiation auto no mop enabled hold-queue 150 in hold-queue 150 out ! interface GigabitEthernet0/3 ip address ААА.ААА.48.57 255.255.255.252 duplex full speed 1000 negotiation auto hold-queue 150 in hold-queue 150 out ! router bgp ZZZZ bgp router-id XX.XXX.228.1 bgp log-neighbor-changes neighbor ББ.ББ.69.254 remote-as БББББББ neighbor ББ.ББ.69.254 description Б neighbor АА.АА.48.58 remote-as АААААА neighbor АА.АА.48.58 description А ! address-family ipv4 neighbor ББ.ББ.69.254 activate neighbor ББ.ББ.69.254 next-hop-self neighbor ББ.ББ.69.254 prefix-list Б-IN in neighbor ББ.ББ.69.254 prefix-list Б-OUT out neighbor ББ.ББ.69.254 route-map BGP-SETPATH-Б out neighbor АА.АА.48.58 activate neighbor АА.АА.48.58 next-hop-self neighbor АА.АА.48.58 prefix-list А-IN in neighbor АА.АА.48.58 prefix-list А-OUT out neighbor АА.АА.48.58 route-map BGP-SETPATH-А out no auto-summary no synchronization network XX.XXX.228.0 mask 255.255.252.0 exit-address-family ! ip forward-protocol nd ip route 91.193.228.0 255.255.252.0 Null0 ! ip bgp-community new-format ! ip prefix-list Б-OUT seq 5 permit XX.XXX.228.0/22 ! ip prefix-list Б-IN seq 5 permit 0.0.0.0/0 le 32 ! ip prefix-list А-IN seq 5 permit 0.0.0.0/0 le 32 ! ip prefix-list А-OUT seq 5 permit XX.XXX.228.0/22 ! route-map BGP-SETPATH-Б permit 10 ! route-map BGP-SETPATH-А permit 10 ! Некоторые Sh run: bg-is#sh ip bgp BGP table version is 1705706, local router ID is ХХ.ХХХ.228.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 1.0.0.0/24 АА.АА.48.58 0 20485 15169 i * ББ.ББ.69.2 0 3.1689 42861 15169 i *> 1.0.4.0/24 АА.АА.48.58 0 20485 174 7545 56203 i * ББ.ББ.69.2 0 3.1689 42861 6939 7545 56203 i *> 1.0.4.0/22 АА.АА.48.58 0 20485 174 7545 56203 i * ББ.ББ.69.2 0 3.1689 42861 6939 7545 56203 i *> 1.0.5.0/24 АА.АА.48.58 0 20485 174 7545 56203 i * ББ.ББ.69.2 0 3.1689 42861 6939 7545 56203 i *> 1.0.6.0/24 АА.АА.48.58 0 20485 174 7545 56203 i bg-is#sh ip bgp rib-failure Network Next Hop RIB-failure RIB-NH Matches ББ.ББ.69.0/24 ББ.ББ.69.254 Higher admin distance n/a bg-is#sh ip bgp sum BGP router identifier ХХ.ХХХ.228.1, local AS number ZZZZZ BGP table version is 1706349, main routing table version 1706349 456499 network entries using 60257868 bytes of memory 908278 path entries using 47230456 bytes of memory 144830/72456 BGP path/bestpath attribute entries using 24331440 bytes of memory 129839 BGP AS-PATH entries using 5415028 bytes of memory 40 BGP community entries using 1160 bytes of memory 0 BGP route-map cache entries using 0 bytes of memory 0 BGP filter-list cache entries using 0 bytes of memory Bitfield cache entries: current 1 (at peak 2) using 32 bytes of memory BGP using 137235984 total bytes of memory BGP activity 460391/3700 prefixes, 1365531/457252 paths, scan interval 60 secs Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd ББ.ББ.69.254 4 3.1689 75741 37 1706346 0 0 00:34:24 454207 ААА.ААА.48.58 4 20485 152330 39 1706346 0 0 00:14:51 454070 bg-is#sh ip bgp 87.250.251.0 BGP routing table entry for 87.250.224.0/19, version 1483494 Paths: (2 available, best #1, table Default-IP-Routing-Table) Not advertised to any peer 20485 13238, (aggregated by 13238 87.250.234.7) ААА.ААА.48.58 from ААА.ААА.48.58 (10.77.0.17) Origin IGP, localpref 100, valid, external, atomic-aggregate, best 3.1689 42861 13238, (aggregated by 13238 87.250.234.7) ББ.ББ.69.2 from ББ.ББ.69.254 (ББ.ББ.69.254) Origin IGP, localpref 100, valid, external, atomic-aggregate Community: 42861:2300 42861:4210 42861:8000 bg-is# bg-is#sh ip bgp ХХ.ХХХ.228.0 BGP routing table entry for ХХ.ХХХ.228.0/22, version 131583 Paths: (1 available, best #1, table Default-IP-Routing-Table) Advertised to update-groups: 1 2 Local 0.0.0.0 from 0.0.0.0 (ХХ.ХХХ.228.1) Origin IGP, metric 0, localpref 100, weight 32768, valid, sourced, local, best