flow-control Опубликовано 4 февраля, 2017 · Жалоба процессор 2х ядерный? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 4 февраля, 2017 · Жалоба Гм, я что-то не понял, если в URL заменяю доменное имя на ip адрес, то nfqfilter такой адрес пропускает. Это так и должно быть? Кто на ком стоял ? Вы на попытку пойти на запрещенный ресурс выдаете 301 и URL вашего сервера с заглушкой? В тексте заглушки срисуте буквы по ссылке что я привел выше. Они их увидят и возрадуются. или пишите им что вашу заглушку неправилно определяет и дальше объясняйте как им ее определить. У меня почему-то не возрадовались ) Снял заглушку, сегодня в отчете только 8 пропусков. Я правильно понял, заглушка должна быть примерно такая: <html> <head><meta charset=utf-8 /> <title>Resource is blocked</title> <!-- for RKN: <title>Доступ ограничен</title> --> </head> <body> <h1>Resource is blocked</h1> <p>Sorry, but requested content was blocked.</p> <hr> </body> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 февраля, 2017 (изменено) · Жалоба процессор 2х ядерный? да. Но сетевуха к DPDK подключена одна Изменено 4 февраля, 2017 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow-control Опубликовано 4 февраля, 2017 · Жалоба Нужно минимум 2 свободных ядра, не считая master. Т.е. запустить можно не менее чем на 4х ядерном процессоре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 4 февраля, 2017 · Жалоба Коллеги, скрипт zapret.pl поддерживает собственный black list. Туда то нужно вносить: url, domian name или ip? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rick Опубликовано 4 февраля, 2017 · Жалоба Собрал новый компьютер. Все собралось. Всплыла новая проблема extFilter --config-file /etc/extfilter.ini EAL: Detected 2 lcore(s) EAL: No free hugepages reported in hugepages-1048576kB EAL: Probing VFIO support... EAL: PCI device 0000:01:00.0 on NUMA socket -1 EAL: probe driver: 8086:1521 rte_igb_pmd EAL: PCI device 0000:01:00.1 on NUMA socket -1 EAL: probe driver: 8086:1521 rte_igb_pmd Покажите пожалуйста вывод cat /proc/cpuinfo и заодно cat /proc/meminfo | grep Huge Да и оперативки маловато, желательно 8Gb Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 4 февраля, 2017 · Жалоба 4 мало точно, тоже не заводилось. Добавляли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rick Опубликовано 4 февраля, 2017 · Жалоба А вывод cat /proc/cpuinfo и заодно cat /proc/meminfo | grep Huge можно посмотреть ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 февраля, 2017 · Жалоба а nfqfilter можно по схеме с BGP использовать? или squid+squidGuard сразу втыкать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 4 февраля, 2017 · Жалоба а nfqfilter можно по схеме с BGP использовать? или squid+squidGuard сразу втыкать? Можно, почему нет. У меня на сервере с nfqfilter стоит quagga, которая анонсит /32 префиксы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 февраля, 2017 · Жалоба Я анонсирую запрещенные IP на фильтр, через ip rule избавлюсь от маршрутной петли. Что дальше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 5 февраля, 2017 · Жалоба Ну вот, Интернет на сервер я подал в обход правил блокировки(серый IP), запрещенные IP туда завернул. Помогите настроить forward... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 5 февраля, 2017 · Жалоба Прозрачный squid В качестве транспорта - работает, все блокируется Но хочется, чтоб без него работало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 6 февраля, 2017 · Жалоба блин, ну вы даете. сходил на сайт, скачал и собрал dpdk-stable-16.07.2, скачал и собрал extfilter. extfilter поставлен слушать enp5s0. управление и ответы отправляются через enp6s0. На enp5s0 миррорится тот трафик, что является входящим для Internal-порта пограничника (то есть весь исходящий трафик). Для скорости сервер с фильтром завязан с BRAS-ами прямыми BGP-пирами. ip r default via 172.31.0.1 dev enp6s0 ... 172.16.0.5 via 172.31.0.3 dev enp6s0 proto bird 172.16.0.8 via 172.31.0.3 dev enp6s0 proto bird 172.16.0.10 via 172.31.0.1 dev enp6s0 proto bird 172.16.0.17 via 172.31.0.3 dev enp6s0 proto bird ... ip -6 r 2a02:XXXX:26:1::/64 via fd00::102 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:2::/64 via fd00::101 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:5::/64 via fd00::101 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:6::/64 via fd00::102 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:7::/64 via fd00::102 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:8::/64 via fd00::101 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:a::/64 via fd00::102 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:b::/64 via fd00::101 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:c::/64 via fd00::102 dev enp6s0 proto bird metric 1024 pref medium 2a02:XXXX:26:d::/64 via fd00::101 dev enp6s0 proto bird metric 1024 pref medium все. формируемые extfilter ответы направляются прямо на тот брас, на котором висит запросивший заблоченный ресурс клиент. Блокировка IP сделана отдельно на пограничнике, где эти адреса тупо заворачиваются в NULL: bird-4-null.conf ... route 1.179.201.18/32 via "lo"; route 5.11.85.178/32 via "lo"; route 5.34.177.217/32 via "lo"; route 5.34.177.218/32 via "lo"; route 5.101.125.99/32 via "lo"; route 5.104.107.239/32 via "lo"; ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swelf Опубликовано 6 февраля, 2017 · Жалоба Появилась проблема с ssl в nfqfilter. Есть https host, похоже что хостинг провайдер делает sslbump, в итоге при установлении соединения я получаю server name, сертификат самоподписанный, но он не совпадает с именем хоста, соответственно этот хост не блокируется ни по server_name(не совпадает), ни по ssl_ip списку, потомучто список используется только когда совсем нету server_name. Это что получается, ssl теперь только по ip блокировать? Либо если возможно, добавлять в nfqfilter проверку валидности сертификата. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 7 февраля, 2017 · Жалоба По dns блокировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 7 февраля, 2017 · Жалоба Больше не работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dnvk Опубликовано 8 февраля, 2017 · Жалоба myth, что не работает? *filter или блокировка по днс? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swelf Опубликовано 8 февраля, 2017 · Жалоба блокировка по днс. Ревизор идет по адресу сразу, не делая запросов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Стич Опубликовано 8 февраля, 2017 (изменено) · Жалоба Он сначала идёт по адресу который отрезолвил: от этого гарантированно спасёт блокировка по DNS Потом идёт по IP адресу который в реестре: от этого гарантированно спасёт блокировка по IP:порт из реестра Но рытьё DPI в SSL, не спасёт. Изменено 8 февраля, 2017 пользователем Стич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 февраля, 2017 · Жалоба от этого гарантированно спасёт блокировка по DNS в данном случае - это лишнее звено. От блокировки по днс я со спокойной совестью отказался. рытьё DPI в SSL, не спасёт. по Hello пакету вполне себе спасает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 8 февраля, 2017 · Жалоба Сегодня письмецо пришло Обращаем внимание, что начиная с 19.01.2017 изменен алгоритм проверки доступности запрещенных ресурсов, используемый системой «Ревизор». Если ранее проверка Ревизором проводилась только с использованием IP-адресов, полученных от DNS оператора связи, то теперь дополнительно к этому проверяется доступность ресурсов, используя IP-адреса, указанные в Реестре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 8 февраля, 2017 · Жалоба Сегодня письмецо пришло Обращаем внимание, что начиная с 19.01.2017 изменен алгоритм проверки доступности запрещенных ресурсов, используемый системой «Ревизор». Если ранее проверка Ревизором проводилась только с использованием IP-адресов, полученных от DNS оператора связи, то теперь дополнительно к этому проверяется доступность ресурсов, используя IP-адреса, указанные в Реестре. А какие адреса указаны в ресстре ? Которые на момент выгрузки были актуальны и отрезолвены? или про тут речь про block type = ip ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tyva Опубликовано 8 февраля, 2017 · Жалоба Получается, нужно около 48К ip адресов блокировать сейчас? В том числе и адреса http url-ов? Тогда на кой теперь всякие DPI нужны? Если требуют блочить все ip? Кто-нибудь так уже делает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 февраля, 2017 (изменено) · Жалоба Работа nfqfilter устраивает Ревизор. Ни единого пропуска. Схема такая eth1.2 - BGP стык между NAS и сервером с nfqfilter eth1.3 - Инет для nfqfilter Изменено 8 февраля, 2017 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...