Jump to content
Калькуляторы

disappointed

VIP
  • Content Count

    1811
  • Joined

  • Last visited

1 Follower

About disappointed

  • Rank
    Доцент
  • Birthday 11/12/1981

Контакты

  • ICQ
    272684
  • Skype
    security_section

Информация

  • Пол
    Мужчина

Город

  • Город
    Тюмень

Recent Profile Visitors

5458 profile views
  1. Я лет наверное 10 как в этом пуле присутствую, последние год два ещё с ipv6. Нагрузка так себе, не заметно. Но пришлось конечно conntrack для этого порта отрубить. График приложил. Кстати вспомнил прикол с этим пулом. Кто-то давно написал инструкцию по настройке какого-то конфига на микроте, потом эту статью растащили по всему инету десятками сотнями копий. И в ней какого-то хрена в настройке нтп автор указал IPv4 айпишник моего NTP сервера для ntppool, но ошибся в последнем октете. В итоге, я наблюдаю годами (!!!) поток запросов на этот адрес. Админы! Думайте башкой когда копируете конфиги из инета. На втором скрине как раз видны такие долбоёжики.
  2. Саппорт ответил быстро. Но ответ надежду не вселяет.
  3. Всё понял. Я адреса и сети из тегов ip складываю в хеш массив, чтобы убрать дубли, где ключ - префикс/адрес, поэтому совсем забыл что в выгрузке, огромное кол-во дублей одних и тех же адресов в разных записях.
  4. Не могу сообразить откуда число 1 928 677, если у меня всего 1.3 млн и это вообще все v4 адреса и сети из выгрузки, без агрегации в более короткие префиксы. P/S А всё понял. А какая цель получения большего кол-ва префиксов?
  5. Странное число. После удаления дублей и приведения в нормальный вид ipset list forbidden_ips_all | wc -l 1 368 636 это IPv4
  6. Я это так и починил. Что делать с возможностью любого транзитного клиента, уложить в полку CPU свитча.
  7. Нашёл какой-то кошмарный баг архитектуры. Имеется CRS-317 с последней прошивкой (на старых тоже самое). Настроен в ROS бридж со всеми портами, включён vlan filtering, и используется как свитч с hw offload. Всё работает вроде как хорошо. Пока не потребовалось прогнать через него ТВ потоки. Схема простейшая, в один из портов приходит тегированный VLAN, с unicast-ом с DVB приёмников, в сумме 650Мбит. В этот влан добавлен второй порт, исходящий - из него уникаст улетает в сетевуху сервера, особенность в том, что сетевуха там ТОЛЬКО слушает, ни одного обратного пакета нет. Поэтому в микротике отсутствует мак адрес получателя unicast-а в таблице коммутации. Трафик проходит нормально НО, дополнительно весь(!) этот unicast падает на CPU. Его видно через Torch, так как будто в Switch создано правило Copy to CPU для входящего порта. Он пригружает одно ядро и в перспективе вообще вынесет CPU в полку. Стоит проявить с сервера в этом влане любую активность в сторону DVB приёмников, чтобы в таблицу влетел динамический мак - проблема моментально устраняется. Тоже самое соответственно если добавить мак адрес получателя статической записью в Switch - Hosts. Я дополнительно проверил эту ситуацию своим генератором сырых l2 пакетов на другой инсталяции CRS-317, пакетами на несуществующий в таблице мак - и всё ещё раз подтвердилось, unknown unicast полностью копируется в CPU и это ничем не отключается. Получаем такой результат, любой клиент в транзитном влане через данный коммутатор, может вдуть односторонний l2 трафик, и всё. Приехали. Я так понимаю писать в саппорт?
  8. В базе ценность связок: Мобильный - ФИО - Адрес. Плюс предпочтения Интернет либо Интернет+ТВ. За 3 года такое не устаривает.
  9. Вдвоём заработаете больше, чем при размельчении деятельности.
  10. Вчера ради интереса поменял дроп для IP блокировок на tcp reset. Отчёт за вчера доступен уже сегодня.
  11. Если злоумышленник известен, почему не решить этот вопрос с ним напрямую.
  12. Что будет, если в заглушке в самом начале поставить sleep(2). А для заблокированных адресов сделать эмуляцию открытия соединения (был такой таргет в аддоне к iptables).
  13. SFP OptiCin WDM 1550нм 10км в наличии 25шт., цена 250р./шт. SFP SNR 1550нм 20км в наличии 15шт., цена 250р./шт. SFP SNR 1550нм 3км в наличии 10шт., цена 200р./шт. Продаю партиями от 10 шт. Нал/Безнал. Остатки актуализированы 24.09.19 18:00 мск. 25.09.19 - Всё продано.
  14. Да я тоже попал тогда, и ещё ранее, когда пересекали 256 тысяч. Потому обвешал всё триггерами теперь, и на стороне где генерится, и на сторонах где исполняется. Просто когда адресов с blockType=ip было всего ничего, в голову не приходило ,что размер таблички в 256к окажется когда-либо мал. Тоже самое было в голове когда увеличивал её ещё в 2 раза. Ну уж полляма то точно хватит на всех. Хрен там. Теперь точно видно, если ничего не изменится - через 2 месяца будем в районе 2млн. Особо меня беспокоит то, что при парсинге dump.xml будет внезапная проблема, уже сейчас при его распаковке в массив, ОЗУ занимается на более чем гиг, да и процы жрёт прилично, усмирил через nice.
  15. А чего стоит 35 тысяч адресов ipv6 внутри одного /64 префикса. На минуточку - этот минимум на клиента, в 6-ке, но только в нём >18 квинтиллионов адресов.