1. Для блокировка используем

[ne-vlezay80]

А на бордере могут затупы быть, так как он посути lxc сервер. В первом контейнере происходит bgp стык с провайдерами, во втором стык с клиентами, в третьем стыки с ix, в четвёртой решил сделать dpi. Прочла свопинг настолько жуткий, что даже порой шагает ssh. Также там крутятся сайты и почта.

[dnvk]

обновил extfilter.

запустил "новый" extfilter_maker.pl

 

смотрю изменения.

файл ssl_host:

-9594a16b970b5c2424.c2ef25.e3b227af32e4d25d50.xyz                                                                         
+9594a16b970b5c2424.c2ef25.e3b227af32e4d25d50.xy                                                                          

-6ed3a2d5ae8bf33fba.c2ef25.e176cc6cb613436b37.xyz                                                                         
+6ed3a2d5ae8bf33fba.c2ef25.e176cc6cb613436b37.xy                                                                          

-www.shaman-r.ru.legalnyye-narkotiki-sol-dlya-vann-dzhiviash.reagenty-kuritelnyye-smesi-geroin-efedrin-metadon-lsd-mdma-jw
h.biz                                                                                                                     
+www.shaman-r.ru.legalnyye-narkotiki-sol-dlya-va                                                                          

-www.d31a754f242cfdf1ea67f1282b2d02c4.mararus.com                                                                         
+www.d31a754f242cfdf1ea67f1282b2d02c4.mararus.co                                                                          

-xn-----7kcfdjgbeyaaeduffpeyn8axsem8iwb4r.xn--p1ai                                                                        
+xn-----7kcfdjgbeyaaeduffpeyn8axsem8iwb4r.xn--p1                                                                          

-56c13f47f81e8be0b5f193ad2d31f9627c305e35.marathonbet8.com                                                                
+56c13f47f81e8be0b5f193ad2d31f9627c305e35.marath                                                                          

 

зачем оно так?

новый код в extfilter_maker.pl вижу. длинные доменные имена более не имеют смысла?

[oborot.bolta]

Коллеги - у меня есть масса вопросов по настройке.

1. Есть ли рекомендации по настройке nr_hugepages (vm.nr_hugepages) для различных карт

2. При указании dpdk_port = 0 или dpdk_ports = 0,1 - он биндиться на карты из списка по порядку?

3. mbuf_pool_size = 8191 на что может повлиять и есть ли рекомендации

4. num_of_workers = 1 (у меня стоит 3) при увелечении он отъедает память выделенную nr_hugepages ?

5. flowhash_size = 1048576 на что влияет и как посчитать сколько нужно

6. num_of_senders = 1 - это вообще не понятно можно пример жизненнный

7. core_mask = 7 (7 это десятичное значение? 0111 - тоесть на 8 ядерном прце - ему отдасться только 3 последних ядра или как? одно worker и два под нити?)

 

Извините если что за глупость и несуразность.

в моей конфигурации эти параметры выставлены след образом:

 

dpdk_port = 0

; mbuf_pool_size = 8191 (default)

num_of_workers = 3

; core_mask = 7 (default)

; flowhash_size = 1048576 (default)

; num_of_senders = 1 (default)

 

sysctl

vm.nr_hugepages=512

 

при такой конфигурации на 5 ядерной машине с 5 гигами памяти он у меня кушает: 4 ядра под 100% и более 3G памяти

VmPeak: 4240164 kB

VmSize: 3215176 kB

HugetlbPages: 2097152 kB

 

Коллеги, так ни кто и не подскажет?

И не ткнет носом где почитать?

[max1976]

обновил extfilter.

запустил "новый" extfilter_maker.pl

 

смотрю изменения.

файл ssl_host:

-9594a16b970b5c2424.c2ef25.e3b227af32e4d25d50.xyz                                                                         
+9594a16b970b5c2424.c2ef25.e3b227af32e4d25d50.xy                                                                          

-6ed3a2d5ae8bf33fba.c2ef25.e176cc6cb613436b37.xyz                                                                         
+6ed3a2d5ae8bf33fba.c2ef25.e176cc6cb613436b37.xy                                                                          

-www.shaman-r.ru.legalnyye-narkotiki-sol-dlya-vann-dzhiviash.reagenty-kuritelnyye-smesi-geroin-efedrin-metadon-lsd-mdma-jw
h.biz                                                                                                                     
+www.shaman-r.ru.legalnyye-narkotiki-sol-dlya-va                                                                          

-www.d31a754f242cfdf1ea67f1282b2d02c4.mararus.com                                                                         
+www.d31a754f242cfdf1ea67f1282b2d02c4.mararus.co                                                                          

-xn-----7kcfdjgbeyaaeduffpeyn8axsem8iwb4r.xn--p1ai                                                                        
+xn-----7kcfdjgbeyaaeduffpeyn8axsem8iwb4r.xn--p1                                                                          

-56c13f47f81e8be0b5f193ad2d31f9627c305e35.marathonbet8.com                                                                
+56c13f47f81e8be0b5f193ad2d31f9627c305e35.marath                                                                          

 

зачем оно так?

новый код в extfilter_maker.pl вижу. длинные доменные имена более не имеют смысла?

 

В коммите написано почему так сделано - в ndpi максимально количество символов под имя из сертификата - 47.

[max1976]

Коллеги - у меня есть масса вопросов по настройке.

1. Есть ли рекомендации по настройке nr_hugepages (vm.nr_hugepages) для различных карт

2. При указании dpdk_port = 0 или dpdk_ports = 0,1 - он биндиться на карты из списка по порядку?

3. mbuf_pool_size = 8191 на что может повлиять и есть ли рекомендации

4. num_of_workers = 1 (у меня стоит 3) при увелечении он отъедает память выделенную nr_hugepages ?

5. flowhash_size = 1048576 на что влияет и как посчитать сколько нужно

6. num_of_senders = 1 - это вообще не понятно можно пример жизненнный

7. core_mask = 7 (7 это десятичное значение? 0111 - тоесть на 8 ядерном прце - ему отдасться только 3 последних ядра или как? одно worker и два под нити?)

 

Извините если что за глупость и несуразность.

в моей конфигурации эти параметры выставлены след образом:

 

dpdk_port = 0

; mbuf_pool_size = 8191 (default)

num_of_workers = 3

; core_mask = 7 (default)

; flowhash_size = 1048576 (default)

; num_of_senders = 1 (default)

 

sysctl

vm.nr_hugepages=512

 

при такой конфигурации на 5 ядерной машине с 5 гигами памяти он у меня кушает: 4 ядра под 100% и более 3G памяти

VmPeak: 4240164 kB

VmSize: 3215176 kB

HugetlbPages: 2097152 kB

 

Коллеги, так ни кто и не подскажет?

И не ткнет носом где почитать?

 

1. Память не для карт, а для приложения.

2. Пока поддерживается только один интерфейс, на который должен приходить исходящий трафик абонентов

3. Размер буфера для приема пакетов. Если в логе будет mbuf errors, то это будет говорить о том, что пакеты от сетевой поступают быстрее, чем worker(ы) успевают обрабатывает и тогда размер буфера надо увеличить.

4. Не столь много отъедает от hugepages, сколько от оставшейся обычной памяти linux, т.к. каждому worker'у загружается свой экземпляр списка блокировки.

5. Параметр отвечает за количество обрабатываемых потоков трафика. Можно уменьшить, если трафика мало. В случае нехватки extfilter умер по exception с записью в логе.

6. Если надо будет отправлять много редиректов/rst и один поток справляться не будет, то можно увеличить количество потоков для решения этой проблемы.

7. Да, именно так. В документации dpdk об этом написано.

[varney]

Может уже поднимался вопрос, не смог отыскать.

Согласно какому RFC такое имеет право на жизнь.

и интересно откуда они могли такое скопипастить.

 

<content id="378767" includeTime="2016-11-30T16:20:50" entryType="2" hash="A540EBCDD01D3F13D381

8AD90014FC45">

<decision date="2016-10-05" number="определение о предварительном обеспечении по заявлению №

2и-0643/2016" org="Мосгорсуд"/>

<url><![CDATA[https://w.rutracker.space/http://rutracker.org/forum/viewtopic.php?t=5291059]]>

</url>

<url><![CDATA[https://w.rutracker.space/http://rutracker.org/forum/viewtopic.php?t=5291268]]>

</url>

<url><![CDATA[https://w.rutracker.space/http://rutracker.org/forum/viewtopic.php?t=5291267]]>

</url>

<url><![CDATA[https://w.rutracker.space/http://rutracker.org/forum/viewtopic.php?t=5291367]]>

</url>

<domain><![CDATA[w.rutracker.space]]></domain>

<ip>188.166.21.196</ip>

</content>

[oborot.bolta]

1. Память не для карт, а для приложения.

2. Пока поддерживается только один интерфейс, на который должен приходить исходящий трафик абонентов

3. Размер буфера для приема пакетов. Если в логе будет mbuf errors, то это будет говорить о том, что пакеты от сетевой поступают быстрее, чем worker(ы) успевают обрабатывает и тогда размер буфера надо увеличить.

4. Не столь много отъедает от hugepages, сколько от оставшейся обычной памяти linux, т.к. каждому worker'у загружается свой экземпляр списка блокировки.

5. Параметр отвечает за количество обрабатываемых потоков трафика. Можно уменьшить, если трафика мало. В случае нехватки extfilter умер по exception с записью в логе.

6. Если надо будет отправлять много редиректов/rst и один поток справляться не будет, то можно увеличить количество потоков для решения этой проблемы.

7. Да, именно так. В документации dpdk об этом написано.

 

Не подскажите с какими градациями повышать значения mbuf_pool_size ? Как я понял чем больше worker тем больше и буферов надо?

 

Развернул на тестовой виртуалочке с небольшим трафиком (только офис) и вот что в логах:

 

2017-02-19 13:10:36.711 [6436] Information Application - Port 0 input packets: 4691277, input errors: 0, mbuf errors: 58093

2017-02-19 13:10:36.712 [6436] Information Application - Reader thread on core 1 received packets: 4691276, enqueued packets: 4691276, missed packets: 0, traffic throughtput: 2.91 K pps

2017-02-19 13:10:36.712 [6436] Information Application - Worker thread on core 2 statistics:

2017-02-19 13:10:36.713 [6436] Information Application - Thread seen packets: 3980512, IP packets: 3976198 (IPv4 packets: 3976052, IPv6 packets: 146), seen bytes: 489192157, Average packet size: 123 bytes, Traffic throughput: 2.47 K pps

2017-02-19 13:10:36.713 [6436] Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0

2017-02-19 13:10:36.713 [6436] Information Application - Thread matched by ip/port: 0, matched by ssl: 271, matched by ssl/ip: 0, matched by domain: 1698, matched by url: 2624

2017-02-19 13:10:36.713 [6436] Information Application - Thread redirected domains: 1698, redirected urls: 2624, rst sended: 271

2017-02-19 13:10:36.714 [6436] Information Application - Thread active flows: 1416 (IPv4 flows: 1416 IPv6 flows: 0), expired flows: 69110

2017-02-19 13:10:36.714 [6436] Information Application - Worker thread on core 3 statistics:

2017-02-19 13:10:36.714 [6436] Information Application - Thread seen packets: 480443, IP packets: 480063 (IPv4 packets: 480060, IPv6 packets: 3), seen bytes: 42432234, Average packet size: 88 bytes, Traffic throughput: 310.19 pps

2017-02-19 13:10:36.715 [6436] Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0

2017-02-19 13:10:36.715 [6436] Information Application - Thread matched by ip/port: 0, matched by ssl: 14, matched by ssl/ip: 0, matched by domain: 128, matched by url: 290

2017-02-19 13:10:36.715 [6436] Information Application - Thread redirected domains: 128, redirected urls: 290, rst sended: 14

2017-02-19 13:10:36.715 [6436] Information Application - Thread active flows: 231 (IPv4 flows: 231 IPv6 flows: 0), expired flows: 9149

2017-02-19 13:10:36.716 [6436] Information Application - Worker thread on core 4 statistics:

2017-02-19 13:10:36.716 [6436] Information Application - Thread seen packets: 230324, IP packets: 230095 (IPv4 packets: 230095, IPv6 packets: 0), seen bytes: 4770327, Average packet size: 20 bytes, Traffic throughput: 130.67 pps

2017-02-19 13:10:36.716 [6436] Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0

2017-02-19 13:10:36.716 [6436] Information Application - Thread matched by ip/port: 0, matched by ssl: 1, matched by ssl/ip: 0, matched by domain: 2, matched by url: 6

2017-02-19 13:10:36.717 [6436] Information Application - Thread redirected domains: 2, redirected urls: 6, rst sended: 1

2017-02-19 13:10:36.717 [6436] Information Application - Thread active flows: 16 (IPv4 flows: 16 IPv6 flows: 0), expired flows: 676

2017-02-19 13:10:36.717 [6436] Information Application - All worker threads seen packets: 4691279, IP packets: 4686356 (IPv4 packets: 4686207, IPv6 packets: 149), seen bytes: 536394718, traffic throughtput: 2.91 K pps

2017-02-19 13:10:36.718 [6436] Information Application - All worker IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0

2017-02-19 13:10:36.718 [6436] Information Application - All worker threads matched by ip/port: 0, matched by ssl: 286, matched by ssl/ip: 0, matched by domain: 1828, matched by url: 2920

2017-02-19 13:10:36.718 [6436] Information Application - All worker threads redirected domains: 1828, redirected urls: 2920, rst sended: 286

2017-02-19 13:10:36.718 [6436] Information Application - All worker threads active flows: 1663(IPv4 flows: 1663 IPv6 flows: 0), expired flows: 78935

Изменено 19 февраля, 2017 пользователем oborot.bolta

[max1976]

 

Не подскажите с какими градациями повышать значения mbuf_pool_size ? Как я понял чем больше worker тем больше и буферов надо?

 

 

Процессор совсем слабый, если не справляется на таком трафике.

[sanyasi]

А кто-то, пробовал переделать extfilter, для работы по белым спискам, то есть действовать наоборот, все что есть в списках пропускать, остальное редиректить?

Это уже сейчас, заметно бы расширило возможности этого софта, а в будущем... не дай Бог, может и придется провайдерам так поступать.

Изменено 20 февраля, 2017 пользователем sanyasi

[oborot.bolta]

Процессор совсем слабый, если не справляется на таком трафике.

 

странно, тестовый карбон чувствовал себя не плохо, и барьер тоже.

 

у барьера собрано на netmap.

[wtyd]

Пожалуйста, ткните носом дайте ссылку на требования к железу для extfilter -- надо собрать сервер (наконец-то!). На сколько я помню, нужно N сетевых карт из списка поддерживаемых http://dpdk.org/doc/nics (наверное лучше Intel карты) для зеркала и ещё минимум одну для работы с по сети, по одному ядру на карту для зеркала + сколько-то ядер под ОС. Я всё правильно перечислил или есть ещё какие-то особенности ?

[taf_321]

Никакой "новой" схемы не существует. Все что теперь делает ревизор - лезет по ip адресам, указанным в списке блокировки, но поля http протокола никто не отменял и там все поля на месте.

Все-таки проблема наличествует.

 

Из отчета по пропускам:

 

http://play.tojsiab.com/N0RWczNLOU94OHMz - тыкаемся по URL, получаем заглушку. В реестре для этого ресурса есть 7 IP, тыкаемся браузером по ним всем, подменяя доменное имя на IP. В 6 случаях из 7 получаем совсем не заглушку (пох что там всякие 403, 404 и 1003, ревизор засчитывает это как пропуск). Для https этот финт не проходит.

 

extfilter_maker.conf:

...
[APP]
# блокируемые домены
domains = /usr/local/etc/extfilter/domains
# блокируемые urlы
urls = /usr/local/etc/extfilter/urls
# блокируемые ssl хосты
ssls = /usr/local/etc/extfilter/ssl_host
# блокируемые ip:port
hosts = /usr/local/etc/extfilter/hosts
# дополнительные порты для ndpi
protocols = /usr/local/etc/extfilter/protos
# ip адреса для блокировки ssl, если нет имени хоста в сертификате
ssls_ips = /usr/local/etc/extfilter/ssl_ips
# из списка доменов заносим так же в список ssl
domains_ssl = true

# выгружать в ssls_ips только ip адреса, указанные в реестре.
only_original_ssl_ip = true

 

extfilter.ini:

; Переводить имя хоста в прописные буквы.
lower_host = true

domainlist = /usr/local/etc/extfilter/domains
urllist = /usr/local/etc/extfilter/urls
ssllist = /usr/local/etc/extfilter/ssl_host
hostlist = /usr/local/etc/extfilter/hosts

; Файл с портами для nDPI.
;protocols = /usr/local/etc/extfilter/protos

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /usr/local/etc/extfilter/ssl_ips

; если false, то будет послан rst пакет вместо редиректа. Default: false
http_redirect = true

redirect_url = http://zapretinfo.ilimnet.ru?

; HTTP код ответа. default: 302 Moved Temporarily
http_code = 302 Found

; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего
url_additional_info=url


; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true

; Default: 0 - disable
statistic_interval = 300

; Default: false
match_url_exactly = false
; Default: false
block_undetected_ssl = true
only_original_ssl_ip = true

; dpdk порт, где анализировать трафик
dpdk_port = 0

; dpdk порт(ы), где анализировать трафик
;dpdk_ports = 0,1

; размер пула mbuf. Default: 8191
;mbuf_pool_size = 8191

; количество потоков по анализу трафика
num_of_workers=1

; Какие ядра использовать. Default: все ядра, кроме management.
core_mask = 12

; файл статистики (для extfilter-cacti)
statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500

; Количество flow, обрабатываемых программой. Должно быть кратно 2.
; flowhash_size = 1048576

; количество тредов для отсылки уведомлений о блокировке
num_of_senders = 2
...

[oborot.bolta]

 

 

Процессор совсем слабый, если не справляется на таком трафике.

 

 

А если добавить ядер и worker, ситуация не измениться?

[max1976]

Все-таки проблема наличествует.

 

Из отчета по пропускам:

 

http://play.tojsiab....0RWczNLOU94OHMz - тыкаемся по URL, получаем заглушку. В реестре для этого ресурса есть 7 IP, тыкаемся браузером по ним всем, подменяя доменное имя на IP. В 6 случаях из 7 получаем совсем не заглушку (пох что там всякие 403, 404 и 1003, ревизор засчитывает это как пропуск). Для https этот финт не проходит.

 

Все правильно, заменив имя хоста play.tojsiab... на ip адрес вы не получите срабатывание, т.к. такой записи нет в реестре.

[Antares]

 

 

Процессор совсем слабый, если не справляется на таком трафике.

 

 

А если добавить ядер и worker, ситуация не измениться?

А что за проц??

[taf_321]

Все правильно, заменив имя хоста play.tojsiab... на ip адрес вы не получите срабатывание, т.к. такой записи нет в реестре.

К сожалению, запись есть:

 

<content id="401610" includeTime="2016-12-20T12:35:15" urgencyType="1" entryType="3" hash="B4779D8A0D26BC19AB4522BC280EF5E1">
<decision date="2015-04-03" number="27-31-2015/Ид1093-15" org="Генпрокуратура"/>
<url><![CDATA[http://play.tojsiab.com/TGxyWmNhcklkREEz]]></url>
<domain><![CDATA[play.tojsiab.com]]></domain>
-><ip>104.27.162.148</ip>
-><ip>104.27.163.148</ip>
-><ip>104.25.38.19</ip>
-><ip>104.25.39.19</ip>
-><ip>64.71.74.72</ip>
-><ip>23.250.117.219</ip>
-><ip>192.227.156.157</ip>
</content>

вот даже пометил 7 таких записей. Ревизор сейчас прогоняет проверку _И_ с применением внесенных в поле ip адресов. За вчера в отчетах накидало >200 пропусков. А, да, самая мякотка, в отчетах то, что пропуск был именно по запросу по IP нигде не упоминается, показывая что-де пропуск по URL.

[max1976]

Все правильно, заменив имя хоста play.tojsiab... на ip адрес вы не получите срабатывание, т.к. такой записи нет в реестре.

К сожалению, запись есть:

 

<content id="401610" includeTime="2016-12-20T12:35:15" urgencyType="1" entryType="3" hash="B4779D8A0D26BC19AB4522BC280EF5E1">
<decision date="2015-04-03" number="27-31-2015/Ид1093-15" org="Генпрокуратура"/>
<url><![CDATA[http://play.tojsiab.com/TGxyWmNhcklkREEz]]></url>
<domain><![CDATA[play.tojsiab.com]]></domain>
-><ip>104.27.162.148</ip>
-><ip>104.27.163.148</ip>
-><ip>104.25.38.19</ip>
-><ip>104.25.39.19</ip>
-><ip>64.71.74.72</ip>
-><ip>23.250.117.219</ip>
-><ip>192.227.156.157</ip>
</content>

вот даже пометил 7 таких записей. Ревизор сейчас прогоняет проверку _И_ с применением внесенных в поле ip адресов. За вчера в отчетах накидало >200 пропусков.

 

Вы заблуждаетесь. Ревизор проверяет записи не путем подстановки в поле Host ip адреса, а путем подачи запроса на указанные в реестре ip и отрезолвленные с dns сервера, указанного для ревизора. Объясню на примере:

 

1. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 104.27.162.148

2. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 104.27.163.148

3. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 104.25.38.19

4. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 104.25.39.19

5. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 64.71.74.72

6. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 23.250.117.219

7. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 192.227.156.157

 

И так же запросы на ip адреса, которые вернул DNS сервер.

[hsvt]

Ядро какое??? Была такая проблема с родным ядром от центоси, помогло установка ядра с elrepo

C новой версие ndpi собирал, сутки работало на стенде, в бой не стал ставить

 

Странно, раньше собиралось.

С elrepo собирается, спасибо. Но хотелось бы на штатном, нет лекарств? А какой лучше пользовать dpdk стабильный, или последний?

 

Тоже столкнулся с тем, что на 3.10.0-327.36.3.el7.x86_64 DPDK 16.07 собирается, а вот уже на 3.10.0-514.6.1.el7.x86_64 не собирается DPDK 16.07.2

 

/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c: In function ‘igb_ndo_bridge_getlink’:
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2290:2: error: too few arguments to function ‘ndo_dflt_bridge_getlink’
 return ndo_dflt_bridge_getlink(skb, pid, seq, dev, mode, 0, 0);
 ^
In file included from /usr/src/kernels/3.10.0-514.6.1.el7.x86_64/include/net/dst.h:13:0,
                from /usr/src/kernels/3.10.0-514.6.1.el7.x86_64/include/net/sock.h:72,
                from /usr/src/kernels/3.10.0-514.6.1.el7.x86_64/include/linux/tcp.h:23,
                from /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:34:
/usr/src/kernels/3.10.0-514.6.1.el7.x86_64/include/linux/rtnetlink.h:100:12: note: declared here
extern int ndo_dflt_bridge_getlink(struct sk_buff *skb, u32 pid, u32 seq,
           ^
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c: At top level:
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2339:2: error: initialization from incompatible pointer type [-Werror]
 .ndo_fdb_add  = igb_ndo_fdb_add,
 ^
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2339:2: error: (near initialization for ‘igb_netdev_ops.<anonymous>.ndo_fdb_add’) [-Werror]
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2346:2: error: initialization from incompatible pointer type [-Werror]
 .ndo_bridge_setlink = igb_ndo_bridge_setlink,
 ^
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2346:2: error: (near initialization for ‘igb_netdev_ops.<anonymous>.ndo_bridge_setlink’) [-Werror]
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2347:2: error: initialization from incompatible pointer type [-Werror]
 .ndo_bridge_getlink = igb_ndo_bridge_getlink,
 ^
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2347:2: error: (near initialization for ‘igb_netdev_ops.<anonymous>.ndo_bridge_getlink’) [-Werror]
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c: In function ‘igb_ndo_bridge_getlink’:
/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2295:1: error: control reaches end of non-void function [-Werror=return-type]
}
^
cc1: all warnings being treated as errors
make[8]: *** [/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.o] Error 1
make[7]: *** [_module_/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni] Error 2
make[6]: *** [sub-make] Error 2
make[5]: *** [rte_kni.ko] Error 2
make[4]: *** [kni] Error 2
make[3]: *** [linuxapp] Error 2
make[2]: *** [librte_eal] Error 2
make[1]: *** [lib] Error 2
make: *** [all] Error 2

 

Штатное лучше не обновлять похоже или ставить с elrepo ? Чёто в хедерсах не нравится ему.

Изменено 21 февраля, 2017 пользователем hsvt

[Antares]

C elrepo в продакшене трудится, нареканий нет

Изменено 21 февраля, 2017 пользователем Antares

[hsvt]

C elrepo в продакшене трудится, нареканий нет

 

Ничего оно не поломает в CentOS 7? Хотя у меня тоже в проде есть 3.18.X ванильное и вроде норм всё. Просто жаль сам факт того что поломали, сейчас наткнулся у знакомого, а у себя еще не обновлял видимо с января, так бы тоже там поломалось...

[Antares]

на 7ке стоит 4.4.39-1.el7.elrepo.x86_64, вроде ничего не поломалось ))) наоборот extfilter на нём нормально собрался

[yKpon]

парни, подскажите по nfqfilter

конфигуратор nfqfilter_config

 

никак не пойму, чтобы конфигурилась квага должен $update_soft_quagga=1 или 0?

запускаю make_files.pl, виснет через секунд 5

останавливаю bgpd, скрипт отрабатывает, но в конфиге bgpd.conf без изменений

 

vtysh -c 'write' матерится

[root@zapret-vm nfqfilter_config-test]# vtysh -c 'write'
Building Configuration...
Can't open configuration file /etc/quagga/zebra.conf.lkGNMS.
[OK]

права на /etc/quagga/ правильные, даже 777 бестолку

 

как правильно делать то?

 

ОС центос 7

Изменено 21 февраля, 2017 пользователем yKpon

[Troj]

подскажите в логе extfilter прут ошибки

Port 0 input packets: 142339476, input errors: 62423739, mbuf errors: 0

из-за чего это может быть?

[AN111]

никак не пойму, чтобы конфигурилась квага должен $update_soft_quagga=1 или 0?

запускаю make_files.pl, виснет через секунд 5

останавливаю bgpd, скрипт отрабатывает, но в конфиге bgpd.conf без изменений

vtysh -c 'write' матерится

Can't open configuration file /etc/quagga/zebra.conf.lkGNMS.

права на /etc/quagga/ правильные, даже 777 бестолку

 

Если надо конфиг Кваги обновлять, в make_files.pl:

my $update_soft_quagga=1;

 

>останавливаю bgpd, скрипт отрабатывает, но в конфиге bgpd.conf без изменений

Обновление конфига идет через vtysh,

и конфиг висит в памяти bgpd без записи в bgpd.conf до "write mem"

bgpd и zebra - разные процессы и имеют разные конфиги.

 

>Can't open configuration file /etc/quagga/zebra.conf.lkGNMS.

проверяйте права на /etc/quagga/ и /etc/quagga/zebra.conf

 

Соответственно, если wr mem не проходит - рабочий конфиг в памяти будет верным, но не сохраненным.

От кого запушена zebra/bgpd ? Кто owner и какие права на /etc/quagga/ ?

[himikrzn]

 

Примените патч на ndpi, который устанавливается с extfilter:

--- nDPI.new/src/lib/protocols/ssl.c    2016-11-16 21:39:50.960651510 +0300
+++ nDPI/src/lib/protocols/ssl.c        2017-01-25 16:03:20.632967015 +0300
@@ -276,6 +276,10 @@
                       u_int begin = 0,len;
                       char *server_name = (char*)&packet->payload[offset+extension_offset];

+                       if(packet->payload[offset+extension_offset+2] == 0x00) // host_name
+                       {
+                               begin =+ 5;
+                       }
                       while(begin < extension_len) {
                         if((!ndpi_isprint(server_name[begin]))
                            || ndpi_ispunct(server_name[begin])

 

ни кто не подскажет, каким образом этот патч применить?

 

Можно командой patch

 

сколько по времени это происходит? уже час висит...