Jump to content
Калькуляторы

Tamahome

Пользователи
  • Content Count

    73
  • Joined

  • Last visited

About Tamahome

  • Rank
    Абитуриент
  • Birthday 03/31/1988

Информация

  • Пол
    Не определился

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. P12FromGostCSP стоит копейки, работает, проверено.
  2. С разбитием диска у них беда, raid вообще очень странно создаётся... [root@Carbon1_ktk ~]# cat /proc/mdstat Personalities : [raid1] md3 : active raid1 sdb8[0] sdb9[1] 9390080 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md4 : active raid1 sdb7[1] sdb6[0] 4093952 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md2 : active raid1 sdc1[0] sdd3[1] 42244096 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md1 : active raid1 sdd5[0] sdb2[1] 15350784 blocks super 1.1 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk md6 : active raid1 sda1[1] sdb1[0] 93925376 blocks super 1.1 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk md5 : active raid1 sdb5[1] sdb3[0] 46962688 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md7 : active raid1 sdb10[0] sdb11[1] 2042880 blocks super 1.1 [2/2] [UU] md0 : active raid1 sdd2[1] sdd1[0] 10239872 blocks super 1.0 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk unused devices: <none> # df -h Filesystem Size Used Avail Use% Mounted on /dev/md0 9,5G 3,4G 5,7G 37% / tmpfs 7,8G 0 7,8G 0% /dev/shm /dev/md1 15G 4,3G 9,4G 32% /app /dev/md3 8,7G 558M 7,7G 7% /mnt/backup /dev/md2 40G 48M 38G 1% /mnt/db /dev/md4 3,8G 43M 3,6G 2% /mnt/etc /dev/md5 44G 235M 42G 1% /mnt/log /dev/md6 89G 2,6G 82G 3% /mnt/var tmpfs 7,8G 0 7,8G 0% /app/base/dev/shm tmpfs 7,8G 0 7,8G 0% /app/auth/dev/shm tmpfs 7,8G 0 7,8G 0% /app/blockpage/dev/shm tmpfs 7,8G 0 7,8G 0% /app/reductor/dev/shm tmpfs 7,8G 0 7,8G 0% /app/https_proxy/dev/shm tmpfs 7,8G 0 7,8G 0% /app/bgp_blackhole/dev/shm
  3. Когда сеть работает нормально, спидтест показатель, просто надо проверить на 10ке разных серверов... На скоростях до 1ГБ все нормально показывает даже средний ноут (linux)
  4. 70к это нет нагрузки, оно спокойно и при 4М живет...
  5. Какое кол-во записей в conntrack было? Рекомендации, увеличить и согласовать с объемом памяти, добавив память при необходимости. если conntrack не нужен, то отключить его для тех направлений, которые не нужны. Выставить таймауты, если только для редиректа нужно, то по минимуму. Если он нужен только для редиректа при блокировке, то в RAW добавляем -j CT --notrack на все, что не требуется отслеживать. К примеру такой конфиг давно работает стабильно: (не претендует на истину, но работает стабильно) ppsabove - служит для логирования флудеров и передачу на обработку группе мониторинга, как правило это участники ботнетов. # iptables-save # Generated by iptables-save v1.4.21 on *nat :PREROUTING ACCEPT [249412:20623343] :INPUT ACCEPT [272:64779] :OUTPUT ACCEPT [926998:472205904] :POSTROUTING ACCEPT [2228038:547820795] :nat_auth_redir - [0:0] :nat_blk_redir - [0:0] -A PREROUTING -m mark --mark 0x8 -j nat_blk_redir -A PREROUTING -m mark --mark 0x7 -j nat_auth_redir -A nat_auth_redir -m set --match-set services dst,dst -j ACCEPT -A nat_auth_redir -p tcp -m tcp --dport 80 -j DNAT --to-destination #REDIRECTOR_IP#:81 -A nat_auth_redir -p tcp -m tcp --dport 443 -j DNAT --to-destination #REDIRECTOR_IP#:82 -A nat_blk_redir -p tcp -m tcp --dport 80 -j DNAT --to-destination #REDIRECTOR_IP#:88 -A nat_blk_redir -p tcp -m tcp --dport 443 -j DNAT --to-destination #REDIRECTOR_IP#:89 COMMIT # Completed on # Generated by iptables-save v1.4.21 *raw :PREROUTING ACCEPT [2452265:294154280] :OUTPUT ACCEPT [11767797:15383899167] :authorized - [0:0] :authorized_blk - [0:0] :authorized_chk - [0:0] :backtraffic - [0:0] :bblk - [0:0] :ppsabove - [0:0] :telephony - [0:0] -A PREROUTING ! -p tcp -j CT --notrack -A PREROUTING -i eth0 -j backtraffic -A PREROUTING -m hashlimit --hashlimit-above 10000/sec --hashlimit-burst 500 --hashlimit-mode srcip --hashlimit-name ppslimit -j ppsabove -A PREROUTING -j authorized_chk -A PREROUTING -j MARK --set-xmark 0x3/0xffffffff -A PREROUTING -p tcp -m multiport --dports 80,443 -j MARK --set-xmark 0x7/0xffffffff -A authorized -j MARK --set-xmark 0x1/0xffffffff -A authorized -m set --match-set bblocked src -j bblk -A authorized -j CT --notrack -A authorized -j ACCEPT -A authorized_chk -m set --match-set auth_172 src,src -j authorized -A authorized_chk -m set --match-set auth_89 src,src -j authorized -A authorized_chk -m set --match-set auth_95 src,src -j authorized -A authorized_chk -m set --match-set auth_78 src,src -j authorized -A authorized_chk -m set --match-set auth_185 src,src -j authorized -A authorized_chk -m set --match-set auth_100 src,src -j authorized -A authorized_chk -m set --match-set auth_192 src,src -j authorized -A authorized_chk -m set --match-set auth_98 src,src -j telephony -A backtraffic ! -s #REDIRECTOR_IP#/32 -j CT --notrack -A backtraffic -j ACCEPT -A bblk -j MARK --set-xmark 0x4/0xffffffff -A bblk -p tcp -m multiport --dports 80,443 -j MARK --set-xmark 0x8/0xffffffff -A bblk -m set --match-set exceptions dst,dst -j MARK --set-xmark 0x2/0xffffffff -A bblk -m set --match-set voip dst -j MARK --set-xmark 0x2/0xffffffff -A bblk -j ACCEPT -A ppsabove -m limit --limit 1/sec -j LOG --log-prefix "PPSABOVE: " -A ppsabove -j DROP -A telephony -m set ! --match-set voip dst -j DROP -A telephony -j MARK --set-xmark 0x5/0xffffffff -A telephony -j CT --notrack -A telephony -j ACCEPT COMMIT # Completed on Wed Dec 14 11:17:46 2016 # Generated by iptables-save v1.4.21 on Wed Dec 14 11:17:46 2016 *mangle :PREROUTING ACCEPT [11150691435:11339532477748] :INPUT ACCEPT [2558368:344200303] :FORWARD ACCEPT [11146894520:11339108854065] :OUTPUT ACCEPT [11768210:15383978649] :POSTROUTING ACCEPT [11158036355:11354446685686] COMMIT # Completed on Wed Dec 14 11:17:46 2016 # Generated by iptables-save v1.4.21 on Wed Dec 14 11:17:46 2016 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [11767819:15383904123] :mgmt_check - [0:0] :netflow - [0:0] :outchk - [0:0] :wtf - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -j mgmt_check -A FORWARD -o mgmt -j DROP -A FORWARD -i eth0 -j outchk -A FORWARD -m mark --mark 0x1 -j netflow -A FORWARD -m mark --mark 0x2 -j netflow -A FORWARD -m mark --mark 0x7 -j netflow -A FORWARD -m mark --mark 0x8 -j netflow -A FORWARD -m mark --mark 0x5 -j netflow -A FORWARD -m mark --mark 0x3 -j wtf -A FORWARD -m mark --mark 0x4 -j DROP -A FORWARD -j DROP -A mgmt_check -p icmp -j ACCEPT -A mgmt_check -m set --match-set mgmt src -j ACCEPT -A mgmt_check -m state --state RELATED,ESTABLISHED -j ACCEPT -A mgmt_check -j DROP -A netflow -j NETFLOW -A netflow -j ACCEPT -A outchk -m set --match-set backauth dst -j netflow -A outchk -m set --match-set services src,src -j netflow -A outchk -m set --match-set exceptions src,src -j netflow -A outchk -m set --match-set voip src -j netflow -A outchk -j DROP -A wtf ! -s 100.99.0.0/16 -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name nlograd -j NFLOG --nflog-group 1 -A wtf -m set --match-set services dst,dst -j netflow -A wtf ! -s 100.99.0.0/16 -p tcp -j REJECT --reject-with tcp-reset -A wtf ! -s 100.99.0.0/16 -p icmp -j REJECT --reject-with icmp-net-prohibited -A wtf ! -s 100.99.0.0/16 -j DROP -A wtf -j REJECT --reject-with icmp-net-prohibited COMMIT # Completed on ## conntrack net.netfilter.nf_conntrack_acct = 0 net.netfilter.nf_conntrack_expect_max = 256 net.netfilter.nf_conntrack_generic_timeout = 60 net.netfilter.nf_conntrack_helper = 0 net.netfilter.nf_conntrack_icmp_timeout = 2 net.netfilter.nf_conntrack_max = 65536 net.netfilter.nf_conntrack_tcp_max_retrans = 3 net.netfilter.nf_conntrack_tcp_timeout_close = 5 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_last_ack = 10 net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 10 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 15 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 3 net.netfilter.nf_conntrack_udp_timeout = 1 net.netfilter.nf_conntrack_udp_timeout_stream = 2
  6. Там результат скудный. 1. Не понятно в какое время была проблема. 2. Не понятно, реально сайт был открыт, или ревизор не осилил заглушку.. 3. Нет возможности запросить повторную проверку всех сайтов... Поэтому приходится изобретать свои скрипты для проверки, которые не дают точно-такой же картины как у ревизора...
  7. Поставьте PowerDNS Recursor. Особо настраивать нечего (за исключением базовой настройки и настройки сетевого стека ос,ну и iptables ) Использую его уже не у одного провайдера, по 50.000 абонентов на ширпотребном железе, работает годами и не давится.
  8. Договариваться с местными станциями, возможно в обмен на услуги связи. Ну или закупить пачку usb fm, и смириться с теплым ламповым шумом.
  9. Втыкаем модем в сервер с zabbix, настраиваем smsd, настраиваем скрипт отправки смс, настраиваем действия в zabbix.
  10. Бесполезно бороться, у большой части абонентов наружу что только не торчит. Всему виной производители, которые по умолчанию делают пароли... и UPnP который пробрасывает наружу целые системы видео-наблюдения предприятий.. Часть проблем поможет побороть SCE/DPI, но и оно зачастую бессильно и требует грамотной настройки правил. Поэтому, как вариант, делать лимит пак/сек на клиента. (ну и производить индивидуальную работу с превысившими лимит клиентами, но как правило большая часть клиентов скажет что им пофиг, и лишь часть юрлиц испугаются слов "вирусы","аттака").. к примеру так логируем -A PREROUTING -m hashlimit --hashlimit-above 7000/sec --hashlimit-burst 500 --hashlimit-mode srcip --hashlimit-name ppslimit -j ppslimit (кол-во пакетов выбирается в зависимости от скоростей клиентов,в данном случае выбран лимит, исходя из того, что есть клиенты со скоростями более 100 мегабит) -A ppslimit -m limit --limit 1/sec -j LOG --log-prefix "PPSLIMIT: " //чтоб сислог не офигел -A ppslimit -j DROP
  11. Облако не взлетит, Вам придется трафик еще через себя пропускать, так как требуют СОРМить трафик до ната (на лан интерфейсах точки.) Кроме трафика, нужно чтоб ходили радиус пакеты, в которых будет ip, мак, номер_мобилы,id/координаты точки Сложного для провайдера ничего нет, пойдёт любые более-менее нормальные точки с openwrt.. Так как у меня паническая ненависть к радиусу и протоколам на udp использовал модифицированную версию wifidog. Радиус пакеты генерятся только для СОРМа, на стороне сервера авторизации. Смс шлются с usb модема (smstools) на сервере авторизации, для того, чтобы не слать лишние смс, в куках у клиента запоминаем номер-смс_код, на сервере еще и мак клиента Система из говна и палок (сервер из старого дэсктопного железа), точки доступа от dir-300a1 до свежих тплинков с AC.... весь этот зоопарк обслуживает 2173 уникальных /4639 всего соединений в неделю. Не запаривайтесь, купите услугу у провайдера, если вы не провайдер, легально не сделаете.
  12. Saab95, Сбербанк наоборот не желает как-то даже юридически нести ответственности за точку/трафик (Это в техзадании написано) Tem, поговорите со сбером, там техзадания видимо по всей стране похожие но разные прислали. У нас им надо 1 SSID для всех, стандартный хотспот провайдера(смс/итд авторизация), только с редиректом в http://sberbank.ru/ru/promo/mobile_app при входе. 2й SSID для сотрудников (планшеты в офисе, через которые ходят в сберонлайн), приоритет над первым ssid, нет разрыва сессий, список маков пердоставляют, wpa2.
  13. Для себя давно уже собрал nfdump: Version: NSEL-NEL1.6.12 отдельно. Была подобная проблема с временем. А то были постоянные траблы то nfdump то с ipt_NETFLOW