1. Для блокировка используем

[Стич]

А подскажите уважаемые

 

http://bk**31.top/ в реестре нет

В отчете ревизора написано что доступен, и указан адрес перенаправления http://bukk**tory.ru

А вот http://bukk**tory.ru в реестре есть.

И таких записей в отчете штук 7.

 

Стоит nfqfilter.

 

У Вас такие ссылки с редиректом, блокируются?

Изменено 28 ноября, 2016 пользователем Стич

[myth]

все доходит только до выделенного сервера, там и гибнет?

Да.

На самом сервере интернет есть.

[myth]

Но

ping 136.243.253.129

connect: Network is unreachable

 

Так что до форварда дело не доходит

Изменено 28 ноября, 2016 пользователем myth

[micol]

форварда

так он включен али нет?

[micol]

в продакшене нельзя

 

второй раз напарываюсь на то, что не работает блокировка одной или нескольких url-ов

полный рестарт процесса - и все работает, как отловить?

[max1976]

Подскажите, пожалуйста, как собрать extfilter?

dpdk-16.07.01 вообще не собирается на ядре 4.8, т.к. макрос DEFINE_PCI_DEVICE_TABLE задепрекейдили.

На dpdk-16.11 пишет вот такую ошибку:

 

Удалите -lethdev в src/Makefile.am и попробуйте собрать. Я не проверял сборку под 16.11.

 

в продакшене нельзя

 

второй раз напарываюсь на то, что не работает блокировка одной или нескольких url-ов

полный рестарт процесса - и все работает, как отловить?

 

Есть ли какая-то закономерность? Именно url не блокируется или ssl/domain?

[micol]

Есть ли какая-то закономерность? Именно url не блокируется или ssl/domain?

 

 

Попробую выяснить, пока было на http url, надо будет пройтись по тестовым ссылкам / доменам / ssl

в дебаг-е когда было в логе тихо по совпадению...

Изменено 28 ноября, 2016 пользователем micol

[myth]

так он включен али нет?

Естественно. Но даже с самого сервера

ping 136.243.253.129

connect: Network is unreachable

 

Т.е на default route пакеты больше не попадают

 

При навешивании этого ip на lo этот ip начинает пинговаться, т.е до сервера все ходит правильно.

[micol]

136.243.253.129

 

т.е. как бы все правильно)

 

Вы проверьте доступность страниц с определенного ресурса, где блокировка только на страницу... Сам ресурс должен быть доступен, и трассироваться

Изменено 28 ноября, 2016 пользователем micol

[myth]

Точно, об этом я забыл). На ip, что должны быть доступны трафик ходит между серверами кругами. Ищу дальше.

[micol]

трафик ходит между серверами кругами

 

ну так я выше вам писал, что надо отдавать его с сервера дальше, а не туда где забрали, у вас маршрутная петля... :)

подоткнуть еще один интерфейс, сделать нат/маскарадинг (или если реальники приходят то без ната, просто форвардинг)

и дефолт роут через него на пограничный маршрутизатор к примеру

либо пару vlan-ов спустить и настроить аналогично но на vlan-интерфейсам роутинг...

Изменено 28 ноября, 2016 пользователем micol

[myth]

Трафик приходит с eth2.2, дефолт роут на eth0.

 

И куда дальше, если роутер всего один?

 

В общем проблема - где взять интернет так, чтобы трафик не подпадал под анонсируемые маршруты?

[micol]

В общем проблема - где взять интернет так, чтобы трафик не подпадал под анонсируемые маршруты?

 

 

Нарисуйте схему

Либо перейдите на extFilter, там анонсировать придется лишь то, что должно быть заблокировано по IP

[arhead]

Что то конвертор для программы проверки не хочет конвертировать выгрузку. Ругается java.lang.outofmemoryerror java heap space.

[micol]

https://52.29.64.231:16869/en/

от долгого рефреша (по крайней мере у меня) в браузера открывается... дает кликать по ссылкам, потом начинает через какое-то время сбрасывать соединение

 

Дамп http://dropmefiles.com/5RsDx

Изменено 29 ноября, 2016 пользователем micol

[AN111]

Трафик приходит с eth2.2, дефолт роут на eth0.

И куда дальше, если роутер всего один?

В общем проблема - где взять интернет так, чтобы трафик не подпадал под анонсируемые маршруты?

 

Схема включения не очень понятна.

 

В примитиве:

роутинг на свои сети - на Eth2.2 (для отсылки http redirect и tcp reset)

Eth0 - вывести на border и поставить простой PBR с редиректом всего трафика во внешку для этого интерфейса на бордере.

 

Можно обойтись и одним интерфейсом на сервере с nfqfilter, только PBR будет чуть сложнее.

[IMPERATOR]

Поставил extfilter , читал что он поддерживает команду HUP для того что бы новые списки подгрузились , как это реализовать , скриптик какой то ? стоит Centos 7 .

[Antares]

killall -HUP extFilter

[hsvt]

killall -HUP extFilter

 

killall -HUP extFilter

bash: killall: command not found

[cREoz]

Подскажите, пожалуйста, как собрать extfilter?dpdk-16.07.01 вообще не собирается на ядре 4.8, т.к. макрос DEFINE_PCI_DEVICE_TABLE задепрекейдили.На dpdk-16.11 пишет вот такую ошибку:

Удалите -lethdev в src/Makefile.am и попробуйте собрать. Я не проверял сборку под 16.11.

C 16.11 не работает PcapPlusPlus((

Нашёл патчик dpdk-dev-v2-kni-fix-build-with-kernel-4.8.patch, с ним всё собралось!

 

killall -HUP extFilter

killall -HUP extFilterbash: killall: command not found

kill -HUP `pidof extFilter`

 

Кстати, если добавить в файле extfilter.service в секцию [service] строку

ExecReload=/bin/kill -HUP $MAINPID

то будет работать команда

sudo systemctl reload extfilter

Изменено 30 ноября, 2016 пользователем cREoz

[myth]

Схема включения не очень понятна.

нарисую как смогу.

Изменено 30 ноября, 2016 пользователем myth

[myth]

В связи с этим ext filter, думается, мне тоже не подойдет.

[Стич]

nfqfilter пишет

 

Error CSender - sendto() failed to xxx.xxx.xx.xxx:36971 errno: 90

 

Подскажите что это такое

[micol]

В связи с этим ext filter, думается, мне тоже не подойдет.

 

Почему?

Коммутатор аггрегации есть со стороны абонентов?

[max1976]

nfqfilter пишет

 

Error CSender - sendto() failed to xxx.xxx.xx.xxx:36971 errno: 90

 

Подскажите что это такое

 

Наверное слишком большой размер пакета получился, когда подставляете в конфиге:

url_additional_info=url

 

Это баг, т.к. не проверяется размер сформированного пакета.