hsvt Опубликовано 2 февраля, 2017 · Жалоба Объясните кто-нибудь механизм доставки ответов клиенту. Нигде не могу найти Ну в классическом режиме, один интерфейс на приём зеркала, а другой на отправку ответов\редиректов на заглушку. А вообще разработчик много раз говорил что схема такая же как и у карбон редуктора. http://xgu.ru/wiki/Carbon_Reductor#.D0.9A.D0.B0.D0.BA_.D1.81.D0.BE.D0.B1.D1.81.D1.82.D0.B2.D0.B5.D0.BD.D0.BD.D0.BE_.D0.BE.D0.BD.D0.BE_.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D0.B0.D0.B5.D1.82 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 февраля, 2017 (изменено) · Жалоба а другой на отправку ответов\редиректов на заглушку куда его втыкать то? На тазике кроме стыка что настраивать надо? Перепробовал уже кучу вариантов, но не могу собрать DPDK на A4-3300. Оно в принципе на нем не собирается? Изменено 3 февраля, 2017 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 2 февраля, 2017 (изменено) · Жалоба Выдало таки ERROR: This system does not support "SSSE3". Теперь все ясно. Изменено 2 февраля, 2017 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 3 февраля, 2017 (изменено) · Жалоба nfqfilter, через него завернут весь исходящий трафик в отчётах ревизора 80 пропусков, к примеру этот урл https://gyazo.com/141ffee50b45f79f3b266efcf8df4d9b он есть в базе, но реально не блокирует вот полный список http://paste.org.ru/?ohfaae P.S. из изменений в фильтре отключена квага Изменено 3 февраля, 2017 пользователем yKpon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 (изменено) · Жалоба Коллеги, подскажите. Установлен nfqfuilter. Запустил в работу вчера. Базы обновляет раз в час. Запросил сегодня отчет за сегодняшний день. В отчете около 1000 не заблокированных сайтов. Выборочно проверил несколько десятков сайтов из списка все - блочатся. Стоит аппаратный ревизор. Это он тупит или может у меня что-то не так? Пример: С: http://nr2.ru (104.28.21.87) С: http://nr2.ru (104.28.20.87) С: http://obozrevatel.com/politics/42537-pravyij-sektor-narodam-rossii-vasha-sudba-reshaetsya-v-ukraine.htm (91.194.251.72) С: http://obozrevatel.com/politics/42537-pravyij-sektor-narodam-rossii-vasha-sudba-reshaetsya-v-ukraine.htm (91.194.251.76) С: http://www.muqawamah.net (104.18.56.28) С: http://www.muqawamah.net (104.18.57.28) С: http://www.youtube.com/channel/UCaqmcdPL9ihWGzxntBKN8EA (64.233.165.198) С: http://www.youtube.com/channel/UCaqmcdPL9ihWGzxntBKN8EA (74.125.196.132) С: http://mirror297.graniru.info/ (104.239.182.79) С: http://mirror297.graniru.info/ (161.47.17.26) С: http://www.youtube.com/channel/UCaXQL81ri3Z3Jl0M-YQzJmw (64.233.165.198) С: http://www.youtube.com/channel/UCaXQL81ri3Z3Jl0M-YQzJmw (74.125.196.132) С: http://www.youtube.com/watch?v=c7AuAKq7r8Q (64.233.165.198) С: http://www.youtube.com/watch?v=c7AuAKq7r8Q (74.125.196.132) С: http://www.youtube.com/watch?v=eTnXv1OMZZc (64.233.165.198) С: http://www.youtube.com/watch?v=eTnXv1OMZZc (74.125.196.132) С: http://www.youtube.com/watch?v=mTO6CHl5M2I (64.233.165.198) С: http://www.youtube.com/watch?v=mTO6CHl5M2I (74.125.196.132) С: http://www.youtube.com/watch?v=KnX8xtZfnmI (64.233.165.198) С: http://www.youtube.com/watch?v=KnX8xtZfnmI (74.125.196.132) С: http://www.youtube.com/channel/UCtkY6_4e_hy0kjULxkVvtzA (64.233.165.198) С: http://www.youtube.com/channel/UCtkY6_4e_hy0kjULxkVvtzA (74.125.196.132) С: http://www.youtube.com/watch?v=iGZWURd1hQo (64.233.165.198) С: http://www.youtube.com/watch?v=iGZWURd1hQo (74.125.196.132) С: http://mirror337.graniru.info/ (161.47.17.26) С: http://mirror337.graniru.info/ (104.239.182.59) С: http://mirror45.graniru.info/ (104.130.52.155) С: http://mirror45.graniru.info/ (104.130.52.124) С: http://mirror45.graniru.info/ (162.209.115.12) С: http://mirror45.graniru.info/ (161.47.17.26) С: http://mirror45.graniru.info/ (162.209.114.79) С: http://mirror102.graniru.info/ (104.130.236.8) С: http://mirror102.graniru.info/ (161.47.17.26) С: http://mirror463.graniru.info/ (104.239.226.200) С: http://mirror463.graniru.info/ (161.47.17.26) С: http://www.youtube.com/channel/UCHhwcndxiVKMfYurJxQry2A (64.233.165.198) С: http://www.youtube.com/channel/UCHhwcndxiVKMfYurJxQry2A (74.125.196.132) С: http://mirror226.graniru.info/ (104.130.52.136) С: http://mirror226.graniru.info/ (161.47.17.26) С: http://mirror475.graniru.info/ (161.47.17.26) С: http://mirror207.graniru.info/ (104.130.52.198) Изменено 3 февраля, 2017 пользователем fox_m Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 3 февраля, 2017 · Жалоба IP поди меняются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 · Жалоба Позвонил у тех поддержку, сказали что аппаратный ревизор про проверке помимо того, что делает резолв доменного имени, а так же делает проверку по ip адресам ресурса, указанных в реестре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micol Опубликовано 3 февраля, 2017 · Жалоба Коллеги, поделитесь опытом, кто как блокирует отдельные ролики на youtube.com при помощи nfqfilter? Проверяете curl-ом не браузером... Если хоть раз ходили браузером на ютуб - то он автоматом будет на HTTPS кидать, а там не сработает, т.к. ссылка в реестре HTTP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 · Жалоба Коллеги, подскажите, почему в конфиг quagga/zebra попадает всего около 900 маршрутов, тогда как доменов гораздо больше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 3 февраля, 2017 · Жалоба потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 · Жалоба потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше Вот и я про тоже. Куда копать в zapret.pl или make_files.pl? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 · Жалоба потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше Коллеги, как понимать это сообщение: 2017-02-03 11:56:35 | INFO | main | Quagga configuration successfully updated: added 34516 ipv4 ips, added 0 ipv6 ips, deleted 0 ipv4 ips, deleted 0 ipv6 ips, added 832 ipv4 routes to blackhole, added 0 ipv6 routes to blackhole, deleted 0 ipv4 routes from blackhole, deleted 0 ipv6 routes from blackhole.\ Куда он добавил 34516 маршрутов? И почему только 832 завернул в Null? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 3 февраля, 2017 (изменено) · Жалоба потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше Коллеги, как понимать это сообщение: 2017-02-03 11:56:35 | INFO | main | Quagga configuration successfully updated: added 34516 ipv4 ips, added 0 ipv6 ips, deleted 0 ipv4 ips, deleted 0 ipv6 ips, added 832 ipv4 routes to blackhole, added 0 ipv6 routes to blackhole, deleted 0 ipv4 routes from blackhole, deleted 0 ipv6 routes from blackhole.\ Куда он добавил 34516 маршрутов? И почему только 832 завернул в Null? 832 это те которые оператор должен блокировать по IP наглухо, какой там тип в выгрузке сейчас не помню. Остальные 34516 это то, что отрезолвил скрипт zapret.pl, эти маршруты должны анонсироваться на сервер доступа с клиентами или на бордер. Далее когда клиент пытается зайти на badsite.net если DNS запись еще актуальна и сайт не сменил IP, маршрутом его завернёт на сервер с nfqfilter и сам демон сверит со списком доменов и прочем. Вроде примерно так. Изменено 3 февраля, 2017 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 3 февраля, 2017 · Жалоба а другой на отправку ответов\редиректов на заглушку куда его втыкать то? На тазике кроме стыка что настраивать надо? Перепробовал уже кучу вариантов, но не могу собрать DPDK на A4-3300. Оно в принципе на нем не собирается? У нас воткнуто в ядро интерфейс для ответов, уже зависит от схематичности и топологии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 3 февраля, 2017 · Жалоба pppoe, один сервер. Сетевуху с DPDK планирую втыкать в зеркало аплинка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 · Жалоба потому что чтото у вас не работает, в реальности их там 40-50 тыщ или больше Коллеги, как понимать это сообщение: 2017-02-03 11:56:35 | INFO | main | Quagga configuration successfully updated: added 34516 ipv4 ips, added 0 ipv6 ips, deleted 0 ipv4 ips, deleted 0 ipv6 ips, added 832 ipv4 routes to blackhole, added 0 ipv6 routes to blackhole, deleted 0 ipv4 routes from blackhole, deleted 0 ipv6 routes from blackhole.\ Куда он добавил 34516 маршрутов? И почему только 832 завернул в Null? 832 это те которые оператор должен блокировать по IP наглухо, какой там тип в выгрузке сейчас не помню. Остальные 34516 это то, что отрезолвил скрипт zapret.pl, эти маршруты должны анонсироваться на сервер доступа с клиентами или на бордер. Далее когда клиент пытается зайти на badsite.net если DNS запись еще актуальна и сайт не сменил IP, маршрутом его завернёт на сервер с nfqfilter и сам демон сверит со списком доменов и прочем. Вроде примерно так. Все с этим разобрался. Поясните еще, как работает ревизор для разных blockType? Если, например, blockType=domain или вообще ничего не указано, будет ли он проверять еще и ip адрес? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dzek.ru Опубликовано 3 февраля, 2017 · Жалоба ....slip [root@block quagga]# grep network /etc/quagga/bgpd.conf|wc -l 43409 [root@block quagga]# Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 · Жалоба ....slip [root@block quagga]# grep network /etc/quagga/bgpd.conf|wc -l 43409 [root@block quagga]# [root@rkn contrib]# grep network /etc/quagga/bgpd.conf|wc -l 34643 А вы zapret.pl и make_files.pl используете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 · Жалоба Коллеги, я совсем чего-то запутался, вот конфиг nfqfilter: ; Queue number queue = 0 domainlist = /opt/rkn/contrib/domains urllist = /opt/rkn/contrib/urls ; SSL domains ssllist = /opt/rkn/contrib/ssl_host ; ip:port block hostlist = /opt/rkn/contrib/hosts ; Reirect url redirect_url = http://193.33.XXX.XXX/msg.html ; HTTP code answer http_code = 302 Moved Temporarily ;url_additional_info=url ;protocols = /opt/rkn/contrib/protocols statistic_interval = 300 send_rst = true mark_value = 17 ; max_pending_packets = 1024 ; save_bad_packets = false ; block_undetected_ssl = false ; sslips = /opt/rkn/contrib/ssl_ips ; lower_host = false ; ; match_url_exactly = false ; url_decode = false ; num_threads = 2 [logging] loggers.root.level = information ;loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/nfqfilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local Соответственно, когда я из браузера захожу на запрещенный сайт, то получаю заглушку. Но Ревизор, судя по всему, расценивает ответ от сервера с заглушкой, как ответ от сайта и считает, что он не закрыт. Сегодня получил отчет и там везде фигурирует мой сервер с заглушкой. Получается, что с редиректом не получится? Или я что то не до понял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 3 февраля, 2017 · Жалоба Соответственно, когда я из браузера захожу на запрещенный сайт, то получаю заглушку. Но Ревизор, судя по всему, расценивает ответ от сервера с заглушкой, как ответ от сайта и считает, что он не закрыт. Сегодня получил отчет и там везде фигурирует мой сервер с заглушкой. Получается, что с редиректом не получится? Или я что то не до понял? http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=1366814 тут написано на что оно (вроде как) реагирует что там заглушка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 3 февраля, 2017 · Жалоба Гм, я что-то не понял, если в URL заменяю доменное имя на ip адрес, то nfqfilter такой адрес пропускает. Это так и должно быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vans Опубликовано 3 февраля, 2017 · Жалоба Да. Мы ж блокируем URL, а подстановкой IP URL по сути меняется. И это в целом так и должно быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 3 февраля, 2017 · Жалоба Гм, я что-то не понял, если в URL заменяю доменное имя на ip адрес, то nfqfilter такой адрес пропускает. Это так и должно быть? Кто на ком стоял ? Вы на попытку пойти на запрещенный ресурс выдаете 301 и URL вашего сервера с заглушкой? В тексте заглушки срисуте буквы по ссылке что я привел выше. Они их увидят и возрадуются. или пишите им что вашу заглушку неправилно определяет и дальше объясняйте как им ее определить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 февраля, 2017 · Жалоба Собрал новый компьютер. Все собралось. Всплыла новая проблема extFilter --config-file /etc/extfilter.ini EAL: Detected 2 lcore(s) EAL: No free hugepages reported in hugepages-1048576kB EAL: Probing VFIO support... EAL: PCI device 0000:01:00.0 on NUMA socket -1 EAL: probe driver: 8086:1521 rte_igb_pmd EAL: PCI device 0000:01:00.1 on NUMA socket -1 EAL: probe driver: 8086:1521 rte_igb_pmd Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 февраля, 2017 · Жалоба Памяти 4GB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...