Tamahome

P12FromGostCSP стоит копейки, работает, проверено.

С разбитием диска у них беда, raid вообще очень странно создаётся... [root@Carbon1_ktk ~]# cat /proc/mdstat Personalities : [raid1] md3 : active raid1 sdb8[0] sdb9[1] 9390080 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md4 : active raid1 sdb7[1] sdb6[0] 4093952 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md2 : active raid1 sdc1[0] sdd3[1] 42244096 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md1 : active raid1 sdd5[0] sdb2[1] 15350784 blocks super 1.1 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk md6 : active raid1 sda1[1] sdb1[0] 93925376 blocks super 1.1 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk md5 : active raid1 sdb5[1] sdb3[0] 46962688 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md7 : active raid1 sdb10[0] sdb11[1] 2042880 blocks super 1.1 [2/2] [UU] md0 : active raid1 sdd2[1] sdd1[0] 10239872 blocks super 1.0 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk unused devices: <none> # df -h Filesystem Size Used Avail Use% Mounted on /dev/md0 9,5G 3,4G 5,7G 37% / tmpfs 7,8G 0 7,8G 0% /dev/shm /dev/md1 15G 4,3G 9,4G 32% /app /dev/md3 8,7G 558M 7,7G 7% /mnt/backup /dev/md2 40G 48M 38G 1% /mnt/db /dev/md4 3,8G 43M 3,6G 2% /mnt/etc /dev/md5 44G 235M 42G 1% /mnt/log /dev/md6 89G 2,6G 82G 3% /mnt/var tmpfs 7,8G 0 7,8G 0% /app/base/dev/shm tmpfs 7,8G 0 7,8G 0% /app/auth/dev/shm tmpfs 7,8G 0 7,8G 0% /app/blockpage/dev/shm tmpfs 7,8G 0 7,8G 0% /app/reductor/dev/shm tmpfs 7,8G 0 7,8G 0% /app/https_proxy/dev/shm tmpfs 7,8G 0 7,8G 0% /app/bgp_blackhole/dev/shm

Когда сеть работает нормально, спидтест показатель, просто надо проверить на 10ке разных серверов... На скоростях до 1ГБ все нормально показывает даже средний ноут (linux)

Ревизор начал "штрафовать" за гугл...

ssyusupov, в lanbilling точно было такое

70к это нет нагрузки, оно спокойно и при 4М живет...

Какое кол-во записей в conntrack было? Рекомендации, увеличить и согласовать с объемом памяти, добавив память при необходимости. если conntrack не нужен, то отключить его для тех направлений, которые не нужны. Выставить таймауты, если только для редиректа нужно, то по минимуму. Если он нужен только для редиректа при блокировке, то в RAW добавляем -j CT --notrack на все, что не требуется отслеживать. К примеру такой конфиг давно работает стабильно: (не претендует на истину, но работает стабильно) ppsabove - служит для логирования флудеров и передачу на обработку группе мониторинга, как правило это участники ботнетов. # iptables-save # Generated by iptables-save v1.4.21 on *nat :PREROUTING ACCEPT [249412:20623343] :INPUT ACCEPT [272:64779] :OUTPUT ACCEPT [926998:472205904] :POSTROUTING ACCEPT [2228038:547820795] :nat_auth_redir - [0:0] :nat_blk_redir - [0:0] -A PREROUTING -m mark --mark 0x8 -j nat_blk_redir -A PREROUTING -m mark --mark 0x7 -j nat_auth_redir -A nat_auth_redir -m set --match-set services dst,dst -j ACCEPT -A nat_auth_redir -p tcp -m tcp --dport 80 -j DNAT --to-destination #REDIRECTOR_IP#:81 -A nat_auth_redir -p tcp -m tcp --dport 443 -j DNAT --to-destination #REDIRECTOR_IP#:82 -A nat_blk_redir -p tcp -m tcp --dport 80 -j DNAT --to-destination #REDIRECTOR_IP#:88 -A nat_blk_redir -p tcp -m tcp --dport 443 -j DNAT --to-destination #REDIRECTOR_IP#:89 COMMIT # Completed on # Generated by iptables-save v1.4.21 *raw :PREROUTING ACCEPT [2452265:294154280] :OUTPUT ACCEPT [11767797:15383899167] :authorized - [0:0] :authorized_blk - [0:0] :authorized_chk - [0:0] :backtraffic - [0:0] :bblk - [0:0] :ppsabove - [0:0] :telephony - [0:0] -A PREROUTING ! -p tcp -j CT --notrack -A PREROUTING -i eth0 -j backtraffic -A PREROUTING -m hashlimit --hashlimit-above 10000/sec --hashlimit-burst 500 --hashlimit-mode srcip --hashlimit-name ppslimit -j ppsabove -A PREROUTING -j authorized_chk -A PREROUTING -j MARK --set-xmark 0x3/0xffffffff -A PREROUTING -p tcp -m multiport --dports 80,443 -j MARK --set-xmark 0x7/0xffffffff -A authorized -j MARK --set-xmark 0x1/0xffffffff -A authorized -m set --match-set bblocked src -j bblk -A authorized -j CT --notrack -A authorized -j ACCEPT -A authorized_chk -m set --match-set auth_172 src,src -j authorized -A authorized_chk -m set --match-set auth_89 src,src -j authorized -A authorized_chk -m set --match-set auth_95 src,src -j authorized -A authorized_chk -m set --match-set auth_78 src,src -j authorized -A authorized_chk -m set --match-set auth_185 src,src -j authorized -A authorized_chk -m set --match-set auth_100 src,src -j authorized -A authorized_chk -m set --match-set auth_192 src,src -j authorized -A authorized_chk -m set --match-set auth_98 src,src -j telephony -A backtraffic ! -s #REDIRECTOR_IP#/32 -j CT --notrack -A backtraffic -j ACCEPT -A bblk -j MARK --set-xmark 0x4/0xffffffff -A bblk -p tcp -m multiport --dports 80,443 -j MARK --set-xmark 0x8/0xffffffff -A bblk -m set --match-set exceptions dst,dst -j MARK --set-xmark 0x2/0xffffffff -A bblk -m set --match-set voip dst -j MARK --set-xmark 0x2/0xffffffff -A bblk -j ACCEPT -A ppsabove -m limit --limit 1/sec -j LOG --log-prefix "PPSABOVE: " -A ppsabove -j DROP -A telephony -m set ! --match-set voip dst -j DROP -A telephony -j MARK --set-xmark 0x5/0xffffffff -A telephony -j CT --notrack -A telephony -j ACCEPT COMMIT # Completed on Wed Dec 14 11:17:46 2016 # Generated by iptables-save v1.4.21 on Wed Dec 14 11:17:46 2016 *mangle :PREROUTING ACCEPT [11150691435:11339532477748] :INPUT ACCEPT [2558368:344200303] :FORWARD ACCEPT [11146894520:11339108854065] :OUTPUT ACCEPT [11768210:15383978649] :POSTROUTING ACCEPT [11158036355:11354446685686] COMMIT # Completed on Wed Dec 14 11:17:46 2016 # Generated by iptables-save v1.4.21 on Wed Dec 14 11:17:46 2016 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [11767819:15383904123] :mgmt_check - [0:0] :netflow - [0:0] :outchk - [0:0] :wtf - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -j mgmt_check -A FORWARD -o mgmt -j DROP -A FORWARD -i eth0 -j outchk -A FORWARD -m mark --mark 0x1 -j netflow -A FORWARD -m mark --mark 0x2 -j netflow -A FORWARD -m mark --mark 0x7 -j netflow -A FORWARD -m mark --mark 0x8 -j netflow -A FORWARD -m mark --mark 0x5 -j netflow -A FORWARD -m mark --mark 0x3 -j wtf -A FORWARD -m mark --mark 0x4 -j DROP -A FORWARD -j DROP -A mgmt_check -p icmp -j ACCEPT -A mgmt_check -m set --match-set mgmt src -j ACCEPT -A mgmt_check -m state --state RELATED,ESTABLISHED -j ACCEPT -A mgmt_check -j DROP -A netflow -j NETFLOW -A netflow -j ACCEPT -A outchk -m set --match-set backauth dst -j netflow -A outchk -m set --match-set services src,src -j netflow -A outchk -m set --match-set exceptions src,src -j netflow -A outchk -m set --match-set voip src -j netflow -A outchk -j DROP -A wtf ! -s 100.99.0.0/16 -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name nlograd -j NFLOG --nflog-group 1 -A wtf -m set --match-set services dst,dst -j netflow -A wtf ! -s 100.99.0.0/16 -p tcp -j REJECT --reject-with tcp-reset -A wtf ! -s 100.99.0.0/16 -p icmp -j REJECT --reject-with icmp-net-prohibited -A wtf ! -s 100.99.0.0/16 -j DROP -A wtf -j REJECT --reject-with icmp-net-prohibited COMMIT # Completed on ## conntrack net.netfilter.nf_conntrack_acct = 0 net.netfilter.nf_conntrack_expect_max = 256 net.netfilter.nf_conntrack_generic_timeout = 60 net.netfilter.nf_conntrack_helper = 0 net.netfilter.nf_conntrack_icmp_timeout = 2 net.netfilter.nf_conntrack_max = 65536 net.netfilter.nf_conntrack_tcp_max_retrans = 3 net.netfilter.nf_conntrack_tcp_timeout_close = 5 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_last_ack = 10 net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 10 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 15 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 3 net.netfilter.nf_conntrack_udp_timeout = 1 net.netfilter.nf_conntrack_udp_timeout_stream = 2

Там результат скудный. 1. Не понятно в какое время была проблема. 2. Не понятно, реально сайт был открыт, или ревизор не осилил заглушку.. 3. Нет возможности запросить повторную проверку всех сайтов... Поэтому приходится изобретать свои скрипты для проверки, которые не дают точно-такой же картины как у ревизора...

Поставьте PowerDNS Recursor. Особо настраивать нечего (за исключением базовой настройки и настройки сетевого стека ос,ну и iptables ) Использую его уже не у одного провайдера, по 50.000 абонентов на ширпотребном железе, работает годами и не давится.

Договариваться с местными станциями, возможно в обмен на услуги связи. Ну или закупить пачку usb fm, и смириться с теплым ламповым шумом.

Втыкаем модем в сервер с zabbix, настраиваем smsd, настраиваем скрипт отправки смс, настраиваем действия в zabbix.

Бесполезно бороться, у большой части абонентов наружу что только не торчит. Всему виной производители, которые по умолчанию делают пароли... и UPnP который пробрасывает наружу целые системы видео-наблюдения предприятий.. Часть проблем поможет побороть SCE/DPI, но и оно зачастую бессильно и требует грамотной настройки правил. Поэтому, как вариант, делать лимит пак/сек на клиента. (ну и производить индивидуальную работу с превысившими лимит клиентами, но как правило большая часть клиентов скажет что им пофиг, и лишь часть юрлиц испугаются слов "вирусы","аттака").. к примеру так логируем -A PREROUTING -m hashlimit --hashlimit-above 7000/sec --hashlimit-burst 500 --hashlimit-mode srcip --hashlimit-name ppslimit -j ppslimit (кол-во пакетов выбирается в зависимости от скоростей клиентов,в данном случае выбран лимит, исходя из того, что есть клиенты со скоростями более 100 мегабит) -A ppslimit -m limit --limit 1/sec -j LOG --log-prefix "PPSLIMIT: " //чтоб сислог не офигел -A ppslimit -j DROP

Облако не взлетит, Вам придется трафик еще через себя пропускать, так как требуют СОРМить трафик до ната (на лан интерфейсах точки.) Кроме трафика, нужно чтоб ходили радиус пакеты, в которых будет ip, мак, номер_мобилы,id/координаты точки Сложного для провайдера ничего нет, пойдёт любые более-менее нормальные точки с openwrt.. Так как у меня паническая ненависть к радиусу и протоколам на udp использовал модифицированную версию wifidog. Радиус пакеты генерятся только для СОРМа, на стороне сервера авторизации. Смс шлются с usb модема (smstools) на сервере авторизации, для того, чтобы не слать лишние смс, в куках у клиента запоминаем номер-смс_код, на сервере еще и мак клиента Система из говна и палок (сервер из старого дэсктопного железа), точки доступа от dir-300a1 до свежих тплинков с AC.... весь этот зоопарк обслуживает 2173 уникальных /4639 всего соединений в неделю. Не запаривайтесь, купите услугу у провайдера, если вы не провайдер, легально не сделаете.

Saab95, Сбербанк наоборот не желает как-то даже юридически нести ответственности за точку/трафик (Это в техзадании написано) Tem, поговорите со сбером, там техзадания видимо по всей стране похожие но разные прислали. У нас им надо 1 SSID для всех, стандартный хотспот провайдера(смс/итд авторизация), только с редиректом в http://sberbank.ru/ru/promo/mobile_app при входе. 2й SSID для сотрудников (планшеты в офисе, через которые ходят в сберонлайн), приоритет над первым ssid, нет разрыва сессий, список маков пердоставляют, wpa2.

Для себя давно уже собрал nfdump: Version: NSEL-NEL1.6.12 отдельно. Была подобная проблема с временем. А то были постоянные траблы то nfdump то с ipt_NETFLOW

80/443й редиректить на что-то, что отдаст "303 See Other" Большинство браузеров реагирует адекватно. До авторизации абонент не абонент, следовательно ему не надо интернета. При блокировке, если нет возможности сделать обещанный платеж, то делать список разрешённых ip(и следить за ним, ога какже.).

Только из желания пропустить 10G трафика, сквозь железо которое пора списать, хотя зачем, оно еще послужит. Вот к примеру на среднем ширпотребе супермикро с X3440 натится годами, льёт netflow... Падения исключительно по питанию, поэтому рекомендую 2 блока питания таки. Также отдельный тазик который заточен под нат, очень легко зарезервировать, причем так, что у юзеров даже соединения не порвутся при отключении одного тазика. При ддосе до 2х Mpps чувствует себя хорошо, свыше no dma валят уже... на 4х Mpps упал аплинк (хотя к ним похоже куда больше летело, это просто от них не пролетало больше)

Платный WiFi где хоть как-то работает 3g не нужен. Добиться окупаемости очень сомнительно,получать доход - утопия. Монетизации wifi возможна когда все очень плохо с 3g, а место популярно.. Имхо единственная монетизация wifi, это WiFi FREE зоны, с рекламой, дополнительно можно продавать повышенную скорость/квоту трафика оплатой картой/смс/яндексденьги Реализация такого на openwrt и недорогих, обкатанных железках.

Тоже есть проблема с ip-ip, недавно жаловались из отдела к... Трафик в СОРМ улетает 100%, так как сами сливаем его. А вот там, похоже есть проблема с разбором ip-ip. (так как жаловались именно на тот трафик который внутри ip туннелей) Сошлись на том, что они сами будут пинать мфисофт.

Работало стабильно, зачем трогать? Раздавало гигабиты интернетов молча.. Теперь уже собираю новый образ и допиливаю софт. Собственно, не багу же фиксить)

sch_netem: support of 64bit rates Add a new attribute to support 64bit rates so thattc can use them to break the 32bit limit. https://bugzilla.ker...ug.cgi?id=84661 https://bugzilla.altlinux.org/show_bug.cgi?id=30305 Как я понимаю, пришло время уходить на x86_64

# tc -d filter show dev eth1.100 filter parent 119: protocol ip pref 1 u32 filter parent 119: protocol ip pref 1 u32 fh 103: ht divisor 256 Как-то не видно разницы. Версия tc то не менялась. [sys-apps/iproute2-3.8.0 (/sbin/tc)] На 3.16.0-34-generic #45-Ubuntu точно также повторяется(фильтров не видно) Но понять где я лыжи потерял по могу.

На ядрах до 3.12 включительно проблем не было Пример на 3.12.21-gentoo-r1: А на 3.14.37-gentoo / 3.18.11: Кто-нить сталкивался? или может кто-то в курсе что поменяли?

Судя по всему не умеет оно. Там четко написано HTTP браузинг. Для редиректа HTTPS этож надо DNAT, да и браузеры ругаться станут.

Никакой магии, просто наверняка человек не насилует труп ядра из центоси. А в свежих ядрах со свежим ixgbe и ipt_NETFLOW нормально 7G жует на всякого рода остатках типа Xeon® CPU X3440 @ 2.53GHz трафик обычный, тоесть юзеры с широкополосным интернетам и естественно торрентами. Ну а по теме netflow, то да, его на натах собирать для выполнения запросов всячиских органов и судов. А для тарификации на "БРАСе".