Стич Опубликовано 28 ноября, 2016 (изменено) · Жалоба А подскажите уважаемые http://bk**31.top/ в реестре нет В отчете ревизора написано что доступен, и указан адрес перенаправления http://bukk**tory.ru А вот http://bukk**tory.ru в реестре есть. И таких записей в отчете штук 7. Стоит nfqfilter. У Вас такие ссылки с редиректом, блокируются? Изменено 28 ноября, 2016 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 ноября, 2016 · Жалоба все доходит только до выделенного сервера, там и гибнет? Да. На самом сервере интернет есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 ноября, 2016 (изменено) · Жалоба Но ping 136.243.253.129 connect: Network is unreachable Так что до форварда дело не доходит Изменено 28 ноября, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 28 ноября, 2016 · Жалоба форварда так он включен али нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 28 ноября, 2016 · Жалоба в продакшене нельзя второй раз напарываюсь на то, что не работает блокировка одной или нескольких url-ов полный рестарт процесса - и все работает, как отловить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 28 ноября, 2016 · Жалоба Подскажите, пожалуйста, как собрать extfilter? dpdk-16.07.01 вообще не собирается на ядре 4.8, т.к. макрос DEFINE_PCI_DEVICE_TABLE задепрекейдили. На dpdk-16.11 пишет вот такую ошибку: Удалите -lethdev в src/Makefile.am и попробуйте собрать. Я не проверял сборку под 16.11. в продакшене нельзя второй раз напарываюсь на то, что не работает блокировка одной или нескольких url-ов полный рестарт процесса - и все работает, как отловить? Есть ли какая-то закономерность? Именно url не блокируется или ssl/domain? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 28 ноября, 2016 (изменено) · Жалоба Есть ли какая-то закономерность? Именно url не блокируется или ssl/domain? Попробую выяснить, пока было на http url, надо будет пройтись по тестовым ссылкам / доменам / ssl в дебаг-е когда было в логе тихо по совпадению... Изменено 28 ноября, 2016 пользователем micol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 ноября, 2016 · Жалоба так он включен али нет? Естественно. Но даже с самого сервера ping 136.243.253.129 connect: Network is unreachable Т.е на default route пакеты больше не попадают При навешивании этого ip на lo этот ip начинает пинговаться, т.е до сервера все ходит правильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 28 ноября, 2016 (изменено) · Жалоба 136.243.253.129 т.е. как бы все правильно) Вы проверьте доступность страниц с определенного ресурса, где блокировка только на страницу... Сам ресурс должен быть доступен, и трассироваться Изменено 28 ноября, 2016 пользователем micol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 ноября, 2016 · Жалоба Точно, об этом я забыл). На ip, что должны быть доступны трафик ходит между серверами кругами. Ищу дальше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 28 ноября, 2016 (изменено) · Жалоба трафик ходит между серверами кругами ну так я выше вам писал, что надо отдавать его с сервера дальше, а не туда где забрали, у вас маршрутная петля... :) подоткнуть еще один интерфейс, сделать нат/маскарадинг (или если реальники приходят то без ната, просто форвардинг) и дефолт роут через него на пограничный маршрутизатор к примеру либо пару vlan-ов спустить и настроить аналогично но на vlan-интерфейсам роутинг... Изменено 28 ноября, 2016 пользователем micol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 ноября, 2016 · Жалоба Трафик приходит с eth2.2, дефолт роут на eth0. И куда дальше, если роутер всего один? В общем проблема - где взять интернет так, чтобы трафик не подпадал под анонсируемые маршруты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 29 ноября, 2016 · Жалоба В общем проблема - где взять интернет так, чтобы трафик не подпадал под анонсируемые маршруты? Нарисуйте схему Либо перейдите на extFilter, там анонсировать придется лишь то, что должно быть заблокировано по IP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 29 ноября, 2016 · Жалоба Что то конвертор для программы проверки не хочет конвертировать выгрузку. Ругается java.lang.outofmemoryerror java heap space. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 29 ноября, 2016 (изменено) · Жалоба https://52.29.64.231:16869/en/ от долгого рефреша (по крайней мере у меня) в браузера открывается... дает кликать по ссылкам, потом начинает через какое-то время сбрасывать соединение Дамп http://dropmefiles.com/5RsDx Изменено 29 ноября, 2016 пользователем micol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 29 ноября, 2016 · Жалоба Трафик приходит с eth2.2, дефолт роут на eth0. И куда дальше, если роутер всего один? В общем проблема - где взять интернет так, чтобы трафик не подпадал под анонсируемые маршруты? Схема включения не очень понятна. В примитиве: роутинг на свои сети - на Eth2.2 (для отсылки http redirect и tcp reset) Eth0 - вывести на border и поставить простой PBR с редиректом всего трафика во внешку для этого интерфейса на бордере. Можно обойтись и одним интерфейсом на сервере с nfqfilter, только PBR будет чуть сложнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IMPERATOR Опубликовано 30 ноября, 2016 · Жалоба Поставил extfilter , читал что он поддерживает команду HUP для того что бы новые списки подгрузились , как это реализовать , скриптик какой то ? стоит Centos 7 . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 30 ноября, 2016 · Жалоба killall -HUP extFilter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 30 ноября, 2016 · Жалоба killall -HUP extFilter killall -HUP extFilter bash: killall: command not found Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 30 ноября, 2016 (изменено) · Жалоба Подскажите, пожалуйста, как собрать extfilter?dpdk-16.07.01 вообще не собирается на ядре 4.8, т.к. макрос DEFINE_PCI_DEVICE_TABLE задепрекейдили.На dpdk-16.11 пишет вот такую ошибку:Удалите -lethdev в src/Makefile.am и попробуйте собрать. Я не проверял сборку под 16.11. C 16.11 не работает PcapPlusPlus(( Нашёл патчик dpdk-dev-v2-kni-fix-build-with-kernel-4.8.patch, с ним всё собралось! killall -HUP extFilter killall -HUP extFilterbash: killall: command not found kill -HUP `pidof extFilter` Кстати, если добавить в файле extfilter.service в секцию [service] строку ExecReload=/bin/kill -HUP $MAINPID то будет работать команда sudo systemctl reload extfilter Изменено 30 ноября, 2016 пользователем cREoz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 30 ноября, 2016 (изменено) · Жалоба Схема включения не очень понятна. нарисую как смогу. Изменено 30 ноября, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 30 ноября, 2016 · Жалоба В связи с этим ext filter, думается, мне тоже не подойдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 30 ноября, 2016 · Жалоба nfqfilter пишет Error CSender - sendto() failed to xxx.xxx.xx.xxx:36971 errno: 90 Подскажите что это такое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 30 ноября, 2016 · Жалоба В связи с этим ext filter, думается, мне тоже не подойдет. Почему? Коммутатор аггрегации есть со стороны абонентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 30 ноября, 2016 · Жалоба nfqfilter пишет Error CSender - sendto() failed to xxx.xxx.xx.xxx:36971 errno: 90 Подскажите что это такое Наверное слишком большой размер пакета получился, когда подставляете в конфиге: url_additional_info=url Это баг, т.к. не проверяется размер сформированного пакета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...