1. Для блокировка используем

[micol]

в zap2_domains - пусто.

 

Найти в zapret.pl строку с содержимым INSERT INTO zap2_domains и добавить там какой надо дебаг хотя бы обычным print-ом

 

либо после my $logger=Log::Log4perl->get_logger();

$logger->level('DEBUG');

либо в конфиге log4perl.category = DEBUG, Logfile

Изменено 16 ноября, 2016 пользователем micol

[micol]

А у всех блокирует https://antizapret.info/site.php?id=169778 ?

 

у extFilter в логах тишина

 

 

и как правильно это блокировать? http://37.139.28.143:8001/

без правки protos файла

[katydid]

в zap2_domains - пусто.

 

Найти в zapret.pl строку с содержимым INSERT INTO zap2_domains и добавить там какой надо дебаг хотя бы обычным print-ом

 

либо после my $logger=Log::Log4perl->get_logger();

$logger->level('DEBUG');

либо в конфиге log4perl.category = DEBUG, Logfile

 

 

Спасибо!

[arhead]

 

и как правильно это блокировать? http://37.139.28.143:8001/

без правки protos файла

 

Так вроде max1976 в последней версии убрал использование protos

[max1976]

А у всех блокирует https://antizapret.i...e.php?id=169778 ?

 

 

Баг в ndpi в разборе имени сертификата. Надо патч для ndpi делать.

 

и как правильно это блокировать? http://37.139.28.143:8001/

без правки protos файла

 

Блокируется без проблем. Уберите параметр protocols из конфига extfilter.

[max1976]

Баг в ndpi в разборе имени сертификата. Надо патч для ndpi делать.

 

Добавил патч на github.

[dragjj]

Подскажите, чего не хватает скрипту?

 

root@rknblock:/nfqfilter_config-master# ./make_files.pl
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
       LANGUAGE = (unset),
       LC_ALL = (unset),
       LANG = "en_US.UTF8"
   are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
Exiting: failed to connect to any daemons.
Could not open file '' No such file or directory at ./make_files.pl line 112.

 

Я правильно понял, что этот скрипт берет из БД домены и ip и кладет их в папку nfqfilter в файлы domains, urls, ssl_host, hosts? если у меня есть другой парсер я могу через него в эти папки кидать без этого скрипта? или у него еще какой то функционал есть? по сути BGP мне не нужен, через этот комп юзеры будут натиться.

[dnvk]

dragjj, а что происходит в 112-й строке у make_files.pl ?

 

загляните в rkn.conf и пропишите недостающий параметр. (из 112-й строки)

[dragjj]

dragjj, а что происходит в 112-й строке у make_files.pl ?

 

загляните в rkn.conf и пропишите недостающий параметр. (из 112-й строки)

Я не знаю perl, поэтому пока нет догадок, что происходит в 112 строке, в rkn.conf прописал базу, юзера и пароль, в секции BGP пути до конфига, остальное по умолчанию

Изменено 17 ноября, 2016 пользователем dragjj

[arhead]

dragjj, а что происходит в 112-й строке у make_files.pl ?

 

загляните в rkn.conf и пропишите недостающий параметр. (из 112-й строки)

Я не знаю perl, поэтому пока нет догадок, что происходит в 112 строке, в rkn.conf прописал базу, юзера и пароль, в секции BGP пути до конфига, остальное по умолчанию

 

в rkn.conf в секцию APP пропишите

protocols = путь к файлу /protocols

 

Хотя сейчас он не требуется. В новом make_files.pl который идет с extfilter не смотрел что он там делает.

Изменено 17 ноября, 2016 пользователем arhead

[dragjj]

в rkn.conf в секцию APP пропишите

protocols = путь к файлу /protocols

Благодарю, скрипт срабатывает. Буду теперь тестить

[dnvk]

пополнился список ресурсом elek.club

 

но, в то же время, через www. - ресурс продолжает работу...

 

extFilter обновил сегодня - луковые ресурсы ловить начал.

[max1976]

пополнился список ресурсом elek.club

 

но, в то же время, через www. - ресурс продолжает работу...

 

Ну так как внесли, так и блокируется. Было бы *.elek.club, тогда все бы и блокировалось.

Так же внесли и linkedin:

http://www.linkedin.com
http://linkedin.com

Кто на него ходил через https, так и не заметит что его заблокировали :)

[IMPERATOR]

Добрый день !

Вот и нам "вручили" ревизор, встал вопрос что делать ?

 

Интересует возможно ли extfilter запустить на виртуальной машине (Vmvare )? сколько сетевых карт нужно в итоге для работы что бы пробросить их напрямую в виртуалку или может и с виртуальными заработать ? (трафика от абонентов до 500Мбит). Если нет , то есть старенький Q9300.

[arhead]

Добрый день !

Вот и нам "вручили" ревизор, встал вопрос что делать ?

 

Интересует возможно ли extfilter запустить на виртуальной машине (Vmvare )? сколько сетевых карт нужно в итоге для работы что бы пробросить их напрямую в виртуалку или может и с виртуальными заработать ? (трафика от абонентов до 500Мбит). Если нет , то есть старенький Q9300.

 

На VMware если есть прокинуть физический интерфейс без мостов, то да. У меня на KVM работает. Пробовал мосты делать толку не было. Два порта будет достаточно (один для DPDK другой что бы в сеть смотрел для отправки пользователю) у самого трафик около 600. На Q9300 я бы на вашем месте стенд собрал и попробовал. Там как раз 4 ядра, 2 будет достаточно для запуска.

[flow-control]

Интересует возможно ли extfilter запустить на виртуальной машине (Vmvare )? сколько сетевых карт нужно в итоге для работы что бы пробросить их напрямую в виртуалку или может и с виртуальными заработать ? (трафика от абонентов до 500Мбит). Если нет , то есть старенький Q9300.

~500mbps и ~89.60 K pps

 

cat /var/run/extFilter_stat

port.0.input_errors=0

allreaders.missed_packets=0

 

 

1xIntel® Xeon® CPU E5310 @ 1.60GHz

4Gb ram

Intel Corporation 82571EB Gigabit Ethernet Controller

[arhead]

linkedin.com заблокировали совсем. Даже на почту письмо от них упало.

[max1976]

linkedin.com заблокировали совсем. Даже на почту письмо от них упало.

Ну так убрали url и внесли домен. Надо лочить и http, и https, что и происходит.

 

1xIntel® Xeon® CPU E5310 @ 1.60GHz

4Gb ram

Intel Corporation 82571EB Gigabit Ethernet Controller

 

У меня на Intel® Xeon® CPU E5-2603 @ 1.80GHz, ~ 4 Гигабита (~700 kpps), всего на двух ядрах работает без пропусков.

[micol]

старенький Q9300.

 

Тестировал на Q9650 @ 3.00GHz работало достаточно не плохо, но трафик больше 3Г был

Так что 500 Мбит переварит Q9300

 

Сегодня перенесу на i7 6800k, трафика будет под 8г, посмотрим)

Изменено 18 ноября, 2016 пользователем micol

[micol]

Что-то пятница походу...

При любом раскладе либо не запускается extFilter и ругается на параметры, либо если все вернуть работает только 2 ядра в 100%

Какой-нибудь хелп по параметрам, чтобы понять как ими рулить не наобум и задействовать больше ядер (имеется 6 ядер, либо 12 с HT, но его отключил)

[max1976]

Что-то пятница походу...

При любом раскладе либо не запускается extFilter и ругается на параметры, либо если все вернуть работает только 2 ядра в 100%

Какой-нибудь хелп по параметрам, чтобы понять как ими рулить не наобум и задействовать больше ядер (имеется 6 ядер, либо 12 с HT, но его отключил)

 

Ядра всегда будут загружены на 100% - это особенность работы программы с dpdk. Начните с 2х ядер, может не понадобится еще один worker.

[micol]

может не понадобится еще один worker

Про 100% это ясно, что это норма. Больше интересно как параметрами управлять.

 

Проверю на выходных, процессор довольно сильный, может и без пропусков будет...

 

Заметил по RegisterCheck-у (и скриншотам страниц) что пропускает https://e621.net...

Причем повторяемости результата нет, то блокирует то нет, видимо тоже какая-то проблема с SSL

(CN = ssl277549.cloudflaressl.com

OU = PositiveSSL Multi-Domain

OU = Domain Control Validated)

 

DNS-имя=ssl277549.cloudflaressl.com

DNS-имя=*.avanzastrategies.com

DNS-имя=*.e621.net

DNS-имя=*.fastfit360.com

DNS-имя=*.freedoladowania.pl

DNS-имя=*.freekod.pl

DNS-имя=*.hj-story.com

DNS-имя=*.hotair.com.au

DNS-имя=*.igdb.com

DNS-имя=*.norskfamilie.no

DNS-имя=*.nubesicar.mx

DNS-имя=*.reol.com

DNS-имя=*.rumahprediksibola303.com

DNS-имя=*.savavo.com

DNS-имя=*.setrics.com

DNS-имя=*.shipadick.com

DNS-имя=*.sicar.mx

DNS-имя=*.stellarjockeys.com

DNS-имя=*.zalogowany.pl

DNS-имя=avanzastrategies.com

DNS-имя=e621.net

DNS-имя=fastfit360.com

DNS-имя=freedoladowania.pl

DNS-имя=freekod.pl

DNS-имя=hj-story.com

DNS-имя=hotair.com.au

DNS-имя=igdb.com

DNS-имя=norskfamilie.no

DNS-имя=nubesicar.mx

DNS-имя=reol.com

DNS-имя=rumahprediksibola303.com

DNS-имя=savavo.com

DNS-имя=setrics.com

DNS-имя=shipadick.com

DNS-имя=sicar.mx

DNS-имя=stellarjockeys.com

DNS-имя=zalogowany.pl

[max1976]

Заметил по RegisterCheck-у (и скриншотам страниц) что пропускает https://e621.net...

Причем повторяемости результата нет, то блокирует то нет, видимо тоже какая-то проблема с SSL

 

Блокируется без проблем. Смотрите в логах счетчик missed packets.

[micol]

счетчик missed packets

 

0

 

Оно блокируется, но если понажимать f5 то открывается.

Зеркалируется 10G порт перед NAT на L3 коммутаторе терминации.

 

Попробую qos, но думаю милисекунды с сервера назначения не решат милисекунды и наносееунды с комутатора.

 

надо наверно дебаг добавить, посмотреть прилетает ли отзеркаленый пакет на extFilter

Изменено 18 ноября, 2016 пользователем micol

[arhead]

Зеркалируется 10G порт перед NAT на L3 коммутаторе терминации.

 

 

Насчет NAT заметил. если использовать MASQUERADE то блокируется все нормально. А если SNAT то проходит на запрещенные сайты.