Tamahome
Пользователи-
Публикации
73 -
Зарегистрирован
-
Посещение
Все публикации пользователя Tamahome
-
Блокировка сайтов провайдерами
тему ответил в a-zazell пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
P12FromGostCSP стоит копейки, работает, проверено. -
проблема с сервром Centos c carbone reductor
тему ответил в Антоха Р. пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
С разбитием диска у них беда, raid вообще очень странно создаётся... [root@Carbon1_ktk ~]# cat /proc/mdstat Personalities : [raid1] md3 : active raid1 sdb8[0] sdb9[1] 9390080 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md4 : active raid1 sdb7[1] sdb6[0] 4093952 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md2 : active raid1 sdc1[0] sdd3[1] 42244096 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md1 : active raid1 sdd5[0] sdb2[1] 15350784 blocks super 1.1 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk md6 : active raid1 sda1[1] sdb1[0] 93925376 blocks super 1.1 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk md5 : active raid1 sdb5[1] sdb3[0] 46962688 blocks super 1.1 [2/2] [UU] bitmap: 0/1 pages [0KB], 65536KB chunk md7 : active raid1 sdb10[0] sdb11[1] 2042880 blocks super 1.1 [2/2] [UU] md0 : active raid1 sdd2[1] sdd1[0] 10239872 blocks super 1.0 [2/2] [UU] bitmap: 1/1 pages [4KB], 65536KB chunk unused devices: <none> # df -h Filesystem Size Used Avail Use% Mounted on /dev/md0 9,5G 3,4G 5,7G 37% / tmpfs 7,8G 0 7,8G 0% /dev/shm /dev/md1 15G 4,3G 9,4G 32% /app /dev/md3 8,7G 558M 7,7G 7% /mnt/backup /dev/md2 40G 48M 38G 1% /mnt/db /dev/md4 3,8G 43M 3,6G 2% /mnt/etc /dev/md5 44G 235M 42G 1% /mnt/log /dev/md6 89G 2,6G 82G 3% /mnt/var tmpfs 7,8G 0 7,8G 0% /app/base/dev/shm tmpfs 7,8G 0 7,8G 0% /app/auth/dev/shm tmpfs 7,8G 0 7,8G 0% /app/blockpage/dev/shm tmpfs 7,8G 0 7,8G 0% /app/reductor/dev/shm tmpfs 7,8G 0 7,8G 0% /app/https_proxy/dev/shm tmpfs 7,8G 0 7,8G 0% /app/bgp_blackhole/dev/shm -
низкая скорость gpon
тему ответил в qwert_ty пользователя Tamahome в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Когда сеть работает нормально, спидтест показатель, просто надо проверить на 10ке разных серверов... На скоростях до 1ГБ все нормально показывает даже средний ноут (linux) -
Блокировка сайтов провайдерами
тему ответил в a-zazell пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Ревизор начал "штрафовать" за гугл... -
Тарификация трафика по IP адресам
тему ответил в ssyusupov пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
ssyusupov, в lanbilling точно было такое -
Защита conntrack от переполнения
тему ответил в disappointed пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
70к это нет нагрузки, оно спокойно и при 4М живет... -
Защита conntrack от переполнения
тему ответил в disappointed пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Какое кол-во записей в conntrack было? Рекомендации, увеличить и согласовать с объемом памяти, добавив память при необходимости. если conntrack не нужен, то отключить его для тех направлений, которые не нужны. Выставить таймауты, если только для редиректа нужно, то по минимуму. Если он нужен только для редиректа при блокировке, то в RAW добавляем -j CT --notrack на все, что не требуется отслеживать. К примеру такой конфиг давно работает стабильно: (не претендует на истину, но работает стабильно) ppsabove - служит для логирования флудеров и передачу на обработку группе мониторинга, как правило это участники ботнетов. # iptables-save # Generated by iptables-save v1.4.21 on *nat :PREROUTING ACCEPT [249412:20623343] :INPUT ACCEPT [272:64779] :OUTPUT ACCEPT [926998:472205904] :POSTROUTING ACCEPT [2228038:547820795] :nat_auth_redir - [0:0] :nat_blk_redir - [0:0] -A PREROUTING -m mark --mark 0x8 -j nat_blk_redir -A PREROUTING -m mark --mark 0x7 -j nat_auth_redir -A nat_auth_redir -m set --match-set services dst,dst -j ACCEPT -A nat_auth_redir -p tcp -m tcp --dport 80 -j DNAT --to-destination #REDIRECTOR_IP#:81 -A nat_auth_redir -p tcp -m tcp --dport 443 -j DNAT --to-destination #REDIRECTOR_IP#:82 -A nat_blk_redir -p tcp -m tcp --dport 80 -j DNAT --to-destination #REDIRECTOR_IP#:88 -A nat_blk_redir -p tcp -m tcp --dport 443 -j DNAT --to-destination #REDIRECTOR_IP#:89 COMMIT # Completed on # Generated by iptables-save v1.4.21 *raw :PREROUTING ACCEPT [2452265:294154280] :OUTPUT ACCEPT [11767797:15383899167] :authorized - [0:0] :authorized_blk - [0:0] :authorized_chk - [0:0] :backtraffic - [0:0] :bblk - [0:0] :ppsabove - [0:0] :telephony - [0:0] -A PREROUTING ! -p tcp -j CT --notrack -A PREROUTING -i eth0 -j backtraffic -A PREROUTING -m hashlimit --hashlimit-above 10000/sec --hashlimit-burst 500 --hashlimit-mode srcip --hashlimit-name ppslimit -j ppsabove -A PREROUTING -j authorized_chk -A PREROUTING -j MARK --set-xmark 0x3/0xffffffff -A PREROUTING -p tcp -m multiport --dports 80,443 -j MARK --set-xmark 0x7/0xffffffff -A authorized -j MARK --set-xmark 0x1/0xffffffff -A authorized -m set --match-set bblocked src -j bblk -A authorized -j CT --notrack -A authorized -j ACCEPT -A authorized_chk -m set --match-set auth_172 src,src -j authorized -A authorized_chk -m set --match-set auth_89 src,src -j authorized -A authorized_chk -m set --match-set auth_95 src,src -j authorized -A authorized_chk -m set --match-set auth_78 src,src -j authorized -A authorized_chk -m set --match-set auth_185 src,src -j authorized -A authorized_chk -m set --match-set auth_100 src,src -j authorized -A authorized_chk -m set --match-set auth_192 src,src -j authorized -A authorized_chk -m set --match-set auth_98 src,src -j telephony -A backtraffic ! -s #REDIRECTOR_IP#/32 -j CT --notrack -A backtraffic -j ACCEPT -A bblk -j MARK --set-xmark 0x4/0xffffffff -A bblk -p tcp -m multiport --dports 80,443 -j MARK --set-xmark 0x8/0xffffffff -A bblk -m set --match-set exceptions dst,dst -j MARK --set-xmark 0x2/0xffffffff -A bblk -m set --match-set voip dst -j MARK --set-xmark 0x2/0xffffffff -A bblk -j ACCEPT -A ppsabove -m limit --limit 1/sec -j LOG --log-prefix "PPSABOVE: " -A ppsabove -j DROP -A telephony -m set ! --match-set voip dst -j DROP -A telephony -j MARK --set-xmark 0x5/0xffffffff -A telephony -j CT --notrack -A telephony -j ACCEPT COMMIT # Completed on Wed Dec 14 11:17:46 2016 # Generated by iptables-save v1.4.21 on Wed Dec 14 11:17:46 2016 *mangle :PREROUTING ACCEPT [11150691435:11339532477748] :INPUT ACCEPT [2558368:344200303] :FORWARD ACCEPT [11146894520:11339108854065] :OUTPUT ACCEPT [11768210:15383978649] :POSTROUTING ACCEPT [11158036355:11354446685686] COMMIT # Completed on Wed Dec 14 11:17:46 2016 # Generated by iptables-save v1.4.21 on Wed Dec 14 11:17:46 2016 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [11767819:15383904123] :mgmt_check - [0:0] :netflow - [0:0] :outchk - [0:0] :wtf - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -j mgmt_check -A FORWARD -o mgmt -j DROP -A FORWARD -i eth0 -j outchk -A FORWARD -m mark --mark 0x1 -j netflow -A FORWARD -m mark --mark 0x2 -j netflow -A FORWARD -m mark --mark 0x7 -j netflow -A FORWARD -m mark --mark 0x8 -j netflow -A FORWARD -m mark --mark 0x5 -j netflow -A FORWARD -m mark --mark 0x3 -j wtf -A FORWARD -m mark --mark 0x4 -j DROP -A FORWARD -j DROP -A mgmt_check -p icmp -j ACCEPT -A mgmt_check -m set --match-set mgmt src -j ACCEPT -A mgmt_check -m state --state RELATED,ESTABLISHED -j ACCEPT -A mgmt_check -j DROP -A netflow -j NETFLOW -A netflow -j ACCEPT -A outchk -m set --match-set backauth dst -j netflow -A outchk -m set --match-set services src,src -j netflow -A outchk -m set --match-set exceptions src,src -j netflow -A outchk -m set --match-set voip src -j netflow -A outchk -j DROP -A wtf ! -s 100.99.0.0/16 -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name nlograd -j NFLOG --nflog-group 1 -A wtf -m set --match-set services dst,dst -j netflow -A wtf ! -s 100.99.0.0/16 -p tcp -j REJECT --reject-with tcp-reset -A wtf ! -s 100.99.0.0/16 -p icmp -j REJECT --reject-with icmp-net-prohibited -A wtf ! -s 100.99.0.0/16 -j DROP -A wtf -j REJECT --reject-with icmp-net-prohibited COMMIT # Completed on ## conntrack net.netfilter.nf_conntrack_acct = 0 net.netfilter.nf_conntrack_expect_max = 256 net.netfilter.nf_conntrack_generic_timeout = 60 net.netfilter.nf_conntrack_helper = 0 net.netfilter.nf_conntrack_icmp_timeout = 2 net.netfilter.nf_conntrack_max = 65536 net.netfilter.nf_conntrack_tcp_max_retrans = 3 net.netfilter.nf_conntrack_tcp_timeout_close = 5 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_last_ack = 10 net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 10 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 15 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 10 net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 3 net.netfilter.nf_conntrack_udp_timeout = 1 net.netfilter.nf_conntrack_udp_timeout_stream = 2 -
Блокировка сайтов провайдерами
тему ответил в a-zazell пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Там результат скудный. 1. Не понятно в какое время была проблема. 2. Не понятно, реально сайт был открыт, или ревизор не осилил заглушку.. 3. Нет возможности запросить повторную проверку всех сайтов... Поэтому приходится изобретать свои скрипты для проверки, которые не дают точно-такой же картины как у ревизора... -
Как правильно настраивать провайдерский DNS
тему ответил в Iskatel_S пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Поставьте PowerDNS Recursor. Особо настраивать нечего (за исключением базовой настройки и настройки сетевого стека ос,ну и iptables ) Использую его уже не у одного провайдера, по 50.000 абонентов на ширпотребном железе, работает годами и не давится. -
Вещание FM радио в icecast
тему ответил в fox_m пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Договариваться с местными станциями, возможно в обмен на услуги связи. Ну или закупить пачку usb fm, и смириться с теплым ламповым шумом. -
Полный мониторинг сети.
тему ответил в mlevel пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Втыкаем модем в сервер с zabbix, настраиваем smsd, настраиваем скрипт отправки смс, настраиваем действия в zabbix. -
Клиенты ботнетов у себя, как ловить автоматично ?
тему ответил в YuryD пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Бесполезно бороться, у большой части абонентов наружу что только не торчит. Всему виной производители, которые по умолчанию делают пароли... и UPnP который пробрасывает наружу целые системы видео-наблюдения предприятий.. Часть проблем поможет побороть SCE/DPI, но и оно зачастую бессильно и требует грамотной настройки правил. Поэтому, как вариант, делать лимит пак/сек на клиента. (ну и производить индивидуальную работу с превысившими лимит клиентами, но как правило большая часть клиентов скажет что им пофиг, и лишь часть юрлиц испугаются слов "вирусы","аттака").. к примеру так логируем -A PREROUTING -m hashlimit --hashlimit-above 7000/sec --hashlimit-burst 500 --hashlimit-mode srcip --hashlimit-name ppslimit -j ppslimit (кол-во пакетов выбирается в зависимости от скоростей клиентов,в данном случае выбран лимит, исходя из того, что есть клиенты со скоростями более 100 мегабит) -A ppslimit -m limit --limit 1/sec -j LOG --log-prefix "PPSLIMIT: " //чтоб сислог не офигел -A ppslimit -j DROP -
Билинг и wi-fi
тему ответил в Maxx13 пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Облако не взлетит, Вам придется трафик еще через себя пропускать, так как требуют СОРМить трафик до ната (на лан интерфейсах точки.) Кроме трафика, нужно чтоб ходили радиус пакеты, в которых будет ip, мак, номер_мобилы,id/координаты точки Сложного для провайдера ничего нет, пойдёт любые более-менее нормальные точки с openwrt.. Так как у меня паническая ненависть к радиусу и протоколам на udp использовал модифицированную версию wifidog. Радиус пакеты генерятся только для СОРМа, на стороне сервера авторизации. Смс шлются с usb модема (smstools) на сервере авторизации, для того, чтобы не слать лишние смс, в куках у клиента запоминаем номер-смс_код, на сервере еще и мак клиента Система из говна и палок (сервер из старого дэсктопного железа), точки доступа от dir-300a1 до свежих тплинков с AC.... весь этот зоопарк обслуживает 2173 уникальных /4639 всего соединений в неделю. Не запаривайтесь, купите услугу у провайдера, если вы не провайдер, легально не сделаете. -
Точка доступа для клиентов Сбербанка
тему ответил в Tem пользователя Tamahome в Беспроводные сети Wi-Fi, 3G/LTE/5G, LoRa...
Saab95, Сбербанк наоборот не желает как-то даже юридически нести ответственности за точку/трафик (Это в техзадании написано) Tem, поговорите со сбером, там техзадания видимо по всей стране похожие но разные прислали. У нас им надо 1 SSID для всех, стандартный хотспот провайдера(смс/итд авторизация), только с редиректом в http://sberbank.ru/ru/promo/mobile_app при входе. 2й SSID для сотрудников (планшеты в офисе, через которые ходят в сберонлайн), приоритет над первым ssid, нет разрыва сессий, список маков пердоставляют, wpa2. -
Debian nfdump
тему ответил в unfraget пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Для себя давно уже собрал nfdump: Version: NSEL-NEL1.6.12 отдельно. Была подобная проблема с временем. А то были постоянные траблы то nfdump то с ipt_NETFLOW -
Принудительный заворот трафика
тему ответил в Night_Snake пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
80/443й редиректить на что-то, что отдаст "303 See Other" Большинство браузеров реагирует адекватно. До авторизации абонент не абонент, следовательно ему не надо интернета. При блокировке, если нет возможности сделать обещанный платеж, то делать список разрешённых ip(и следить за ним, ога какже.). -
Nat на отдельном сервере.
тему ответил в zlolotus пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Только из желания пропустить 10G трафика, сквозь железо которое пора списать, хотя зачем, оно еще послужит. Вот к примеру на среднем ширпотребе супермикро с X3440 натится годами, льёт netflow... Падения исключительно по питанию, поэтому рекомендую 2 блока питания таки. Также отдельный тазик который заточен под нат, очень легко зарезервировать, причем так, что у юзеров даже соединения не порвутся при отключении одного тазика. При ддосе до 2х Mpps чувствует себя хорошо, свыше no dma валят уже... на 4х Mpps упал аплинк (хотя к ним похоже куда больше летело, это просто от них не пролетало больше) -
Организовать платный хотспот.
тему ответил в stas_k пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Платный WiFi где хоть как-то работает 3g не нужен. Добиться окупаемости очень сомнительно,получать доход - утопия. Монетизации wifi возможна когда все очень плохо с 3g, а место популярно.. Имхо единственная монетизация wifi, это WiFi FREE зоны, с рекламой, дополнительно можно продавать повышенную скорость/квоту трафика оплатой картой/смс/яндексденьги Реализация такого на openwrt и недорогих, обкатанных железках. -
СОРМ. IP-IP tunel
тему ответил в Dimas42ru пользователя Tamahome в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Тоже есть проблема с ip-ip, недавно жаловались из отдела к... Трафик в СОРМ улетает 100%, так как сами сливаем его. А вот там, похоже есть проблема с разбором ip-ip. (так как жаловались именно на тот трафик который внутри ip туннелей) Сошлись на том, что они сами будут пинать мфисофт. -
linux tc что-то поменяли?
тему ответил в Tamahome пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Работало стабильно, зачем трогать? Раздавало гигабиты интернетов молча.. Теперь уже собираю новый образ и допиливаю софт. Собственно, не багу же фиксить) -
linux tc что-то поменяли?
тему ответил в Tamahome пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
sch_netem: support of 64bit rates Add a new attribute to support 64bit rates so thattc can use them to break the 32bit limit. https://bugzilla.ker...ug.cgi?id=84661 https://bugzilla.altlinux.org/show_bug.cgi?id=30305 Как я понимаю, пришло время уходить на x86_64 -
linux tc что-то поменяли?
тему ответил в Tamahome пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
# tc -d filter show dev eth1.100 filter parent 119: protocol ip pref 1 u32 filter parent 119: protocol ip pref 1 u32 fh 103: ht divisor 256 Как-то не видно разницы. Версия tc то не менялась. [sys-apps/iproute2-3.8.0 (/sbin/tc)] На 3.16.0-34-generic #45-Ubuntu точно также повторяется(фильтров не видно) Но понять где я лыжи потерял по могу. -
На ядрах до 3.12 включительно проблем не было Пример на 3.12.21-gentoo-r1: А на 3.14.37-gentoo / 3.18.11: Кто-нить сталкивался? или может кто-то в курсе что поменяли?
-
Cisco SCE
тему ответил в bokovich пользователя Tamahome в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Судя по всему не умеет оно. Там четко написано HTTP браузинг. Для редиректа HTTPS этож надо DNAT, да и браузеры ругаться станут. -
Посоветуйте железку для Softrouter-а 10Гбит
тему ответил в QWE пользователя Tamahome в Программное обеспечение, биллинг и *unix системы
Никакой магии, просто наверняка человек не насилует труп ядра из центоси. А в свежих ядрах со свежим ixgbe и ipt_NETFLOW нормально 7G жует на всякого рода остатках типа Xeon® CPU X3440 @ 2.53GHz трафик обычный, тоесть юзеры с широкополосным интернетам и естественно торрентами. Ну а по теме netflow, то да, его на натах собирать для выполнения запросов всячиских органов и судов. А для тарификации на "БРАСе".