Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем


Блокировка сайтов провайдерами маневры с DNS

Ответить

ixi   

ixi
Опубликовано · Жалоба

Добрый день!

Решил установить nfqfilter на физический сервер с Centos 7 и зеркалить трафик с коммутатора. Все настроил, пакеты бегут, но на nfqfilter не попадают, и в iptables, видимо, тоже, так как счетчики не растут. В чем может быть проблема?

 

4: enp13s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000

link/ether 90:e2:ba:02:a7:99 brd ff:ff:ff:ff:ff:ff

Настройте интерфейс, и должно заработать.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

evgen.v   

evgen.v
Опубликовано · Жалоба

Добрый день!

Решил установить nfqfilter на физический сервер с Centos 7 и зеркалить трафик с коммутатора. Все настроил, пакеты бегут, но на nfqfilter не попадают, и в iptables, видимо, тоже, так как счетчики не растут. В чем может быть проблема?

 

4: enp13s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000

link/ether 90:e2:ba:02:a7:99 brd ff:ff:ff:ff:ff:ff

Настройте интерфейс, и должно заработать.

 

Тестили какое-то время другие системы блокировки, коммерческие, так там только на исходящем интерфейсе настраивался IP адрес, на входящем не было адреса, и все работало. Неужели тут не так? Обязательно надо на входящем интерфейсе указывать адрес? Пакеты же видно что идут

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Wingman   

Wingman
Опубликовано · Жалоба

Оно рассчитано на перехват роутящегося трафика, а не на зеркалирование. Правила в iptables у вас что перехватывать-то будут, по вашему?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

evgen.v   

evgen.v
Опубликовано · Жалоба

Несколько раз в этой теме мне рекомендовали зеркалировать трафик - настроил зеркало. Теперь говорят, что не рассчитано на зеркалирование. Чему верить то?

 

Вот нашел мануал по настройке интерфейсов centos с редуктором для работы с зеркалированным трафиком, если настроить по нему - должен будет трафик попадать на iptables и дальше на nfqfilter?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Wingman   

Wingman
Опубликовано · Жалоба

Софт разный, для разного софта - разные советы. Редуктор, видимо, умеет работать с зеркалированным трафиком, если так написано в его мануалах, но причём тут nfqfilter?

 

Или Вы действительно искренне считаете, что ман одного софта должен подходить для совершенно другого софта? :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

yKpon   

yKpon
Опубликовано · Жалоба

парни, вопрос по nfqfilter_config, что-то не взлетает

Can't open '': Нет такого файла или каталога at ./make_files.pl line 362.

 

секция [bGP] в конфиге закрыта

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

evgen.v   

evgen.v
Опубликовано · Жалоба

Софт разный, для разного софта - разные советы. Редуктор, видимо, умеет работать с зеркалированным трафиком, если так написано в его мануалах, но причём тут nfqfilter?

 

Или Вы действительно искренне считаете, что ман одного софта должен подходить для совершенно другого софта? :)

 

Ну я искренне надеюсь, что совет делать зеркалку был дан не просто так, поэтому пришлось искать, как же все таки настроить интерфейсы на центосе, чтоб он принимал трафик. Но так и быть, раз уж с зеркалированием не вышло - буду ковыряться с маршрутизированием тэтого трафика...

 

Покажи таблицу маршрутизации ZAPRET

 

С маршрутами все в порядке, там только маршрут по умолчанию, отправляющий на бордер, и маршрут до сети, в которой находятся оба сервера.

 

# ip r
default via XXX.XXX.XXX.246 {IP бордера} dev vlan761  proto static  metric 400 
XXX.XXX.XXX.240/29 dev vlan761  proto kernel  scope link  src XXX.XXX.XXX.243  metric 400

 

Делай зеркалку

 

То есть надо зеркалить трафик на коммутаторе?

 

Да

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

max1976   

max1976
Опубликовано · Жалоба

парни, вопрос по nfqfilter_config, что-то не взлетает

Can't open '': Нет такого файла или каталога at ./make_files.pl line 362.

 

секция [bGP] в конфиге закрыта

 

Так делать нельзя. Секция BGP обязательна.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

yKpon   

yKpon
Опубликовано · Жалоба

парни, вопрос по nfqfilter_config, что-то не взлетает

Can't open '': Нет такого файла или каталога at ./make_files.pl line 362.

 

секция [bGP] в конфиге закрыта

 

Так делать нельзя. Секция BGP обязательна.

а как же быть если bgp+as подняты на микротике

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

max1976   

max1976
Опубликовано · Жалоба

а как же быть если у меня bgp+as подтяны на на микротике?

 

Пускай программа создает файлы, вы просто не запускайте bgpd.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

micol   

micol
Опубликовано · Жалоба 

m-work nfqfilter # make
Making all in src
make[1]: Вход в каталог `/srv/scripts/rzs/nfqfilter/src'
 CXX      main.o
 CXX      nfqstatistictask.o
nfqstatistictask.cpp: In member function ‘void NFQStatisticTask::OutStatistic()’:
nfqstatistictask.cpp:60:99: error: invalid application of ‘sizeof’ to incomplete type ‘ndpi_detection_module_struct’
 app.logger().information("nDPI memory (once): %s",formatBytes(sizeof(ndpi_detection_module_struct)));
                                                                                                  ^
make[1]: *** [nfqstatistictask.o] Ошибка 1
make[1]: Выход из каталога `/srv/scripts/rzs/nfqfilter/src'
make: *** [all-recursive] Ошибка 1

 

не собирается что-то...

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

yKpon   

yKpon
Опубликовано (изменено) · Жалоба

Пускай программа создает файлы, вы просто не запускайте bgpd.

./make_files.pl
Exiting: failed to connect to any daemons.
Could not open file '' Нет такого файла или каталога at ./make_files.pl line 92.

Изменено пользователем yKpon

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

max1976   

max1976
Опубликовано · Жалоба 

m-work nfqfilter # make
Making all in src
make[1]: Вход в каталог `/srv/scripts/rzs/nfqfilter/src'
 CXX      main.o
 CXX      nfqstatistictask.o
nfqstatistictask.cpp: In member function ‘void NFQStatisticTask::OutStatistic()’:
nfqstatistictask.cpp:60:99: error: invalid application of ‘sizeof’ to incomplete type ‘ndpi_detection_module_struct’
 app.logger().information("nDPI memory (once): %s",formatBytes(sizeof(ndpi_detection_module_struct)));
                                                                                                  ^
make[1]: *** [nfqstatistictask.o] Ошибка 1
make[1]: Выход из каталога `/srv/scripts/rzs/nfqfilter/src'
make: *** [all-recursive] Ошибка 1

 

не собирается что-то...

 

Какая ОС ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

micol   

micol
Опубликовано · Жалоба

 

а как же быть если bgp+as подняты на микротике

 

Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю...

 

Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет

 

 

Какая ОС ?

Linux m-work 3.16.0-38-generic #52~14.04.1-Ubuntu SMP Fri May 8 09:43:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

max1976   

max1976
Опубликовано · Жалоба

Пускай программа создает файлы, вы просто не запускайте bgpd.

./make_files.pl
Exiting: failed to connect to any daemons.
Could not open file '' Нет такого файла или каталога at ./make_files.pl line 92.

 

В APP.protocols не указан путь к файлу.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

yKpon   

yKpon
Опубликовано · Жалоба

Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю...

 

Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет

да я не хочу блокировать микротиком, он у меня пограничный и BGP, я хочу фильтровать на брасе с дебианом =)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

max1976   

max1976
Опубликовано · Жалоба

Linux m-work 3.16.0-38-generic #52~14.04.1-Ubuntu SMP Fri May 8 09:43:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

 

Какая версия nDPI установлена?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

micol   

micol
Опубликовано (изменено) · Жалоба

Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю...

 

Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет

да я не хочу блокировать микротиком, он у меня пограничный и BGP, я хочу фильтровать на брасе с дебианом =)

 

Так фильтруйте, если он там один и через него весь трафик идет... Вам квагу надо "выкосить" из генератора и в таблесы правило добавить

 

Какая версия nDPI установлена?

 

 

с репо? 1.4.0

 

А какую надо?

 

Все, нашел. Сам дурак... Ушел качать 1.7

Изменено пользователем micol

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

max1976   

max1976
Опубликовано · Жалоба

с репо? 1.4.0

 

А какую надо?

Из README:

 

Для сборки программы необходимы следующие библиотеки:

 

libnetfilter_queue

libnfnetlink

Poco >= 1.6

nDPI = 1.7

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

yKpon   

yKpon
Опубликовано (изменено) · Жалоба

max1976, большое спасибо за проделанный труд и помощь! =)

 

всё отрабатывает, но почему то плюётся много строк

Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.

попробую выпилить квагу их скрипта =)

Изменено пользователем yKpon

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

micol   

micol
Опубликовано · Жалоба

всё отрабатывает, но почему то плюётся много строк

 

 

это попытки добавить через vtysh ip адреса для анонса через BGP

а у вас кваги то нет), вот и ругает

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

yKpon   

yKpon
Опубликовано (изменено) · Жалоба

для 443 порта какие должны быть правила? как написано в мане чтото не блокирует

 

ещё когда делаю выгрузку часто ругается

./zapret.pl
Subroutine _call redefined at (eval 129) line 50.
Subroutine OperatorRequestService::want_som redefined at (eval 129) line 92.
Subroutine AUTOLOAD redefined at (eval 129) line 109.
Subroutine OperatorRequestService::sendRequest redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getLastDumpDateEx redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getLastDumpDate redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getResult redefined at (eval 129) line 107.

Изменено пользователем yKpon

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

max1976   

max1976
Опубликовано · Жалоба

 

ещё когда делаю выгрузку часто ругается

./zapret.pl
Subroutine _call redefined at (eval 129) line 50.
Subroutine OperatorRequestService::want_som redefined at (eval 129) line 92.
Subroutine AUTOLOAD redefined at (eval 129) line 109.
Subroutine OperatorRequestService::sendRequest redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getLastDumpDateEx redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getLastDumpDate redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getResult redefined at (eval 129) line 107.

 

Посмотрите здесь

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

hsvt   

hsvt
Опубликовано · Жалоба

max1976, большое спасибо за проделанный труд и помощь! =)

 

всё отрабатывает, но почему то плюётся много строк

Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.

попробую выпилить квагу их скрипта =)

 

Можете поделиться вариантом без кваги? Тоже хочу фильтровать на брасе с дебиан.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

yKpon   

yKpon
Опубликовано · Жалоба

max1976, коллеги помогли найти решение.

Внесение следующего дополнения в скрипт:

$XML::Simple::PREFERRED_PARSER = 'XML::Parser';

Решает проблему.

Протестирвоано на CentOS и Fedora 23.

куда именно вставили то, в перле я далеко не гуру

 

Можете поделиться вариантом без кваги? Тоже хочу фильтровать на брасе с дебиан.

да я просто квагу поставил, ничего не настраивал в ней, всё по дефолту как в примере конфига, ну по сути она просто так стоит =)

 

знал бы перл выпилил бы её и email

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Перейти к списку тем Программное обеспечение, биллинг и *unix системы