ne-vlezay80 Опубликовано 17 февраля, 2017 · Жалоба А на бордере могут затупы быть, так как он посути lxc сервер. В первом контейнере происходит bgp стык с провайдерами, во втором стык с клиентами, в третьем стыки с ix, в четвёртой решил сделать dpi. Прочла свопинг настолько жуткий, что даже порой шагает ssh. Также там крутятся сайты и почта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dnvk Опубликовано 17 февраля, 2017 · Жалоба обновил extfilter. запустил "новый" extfilter_maker.pl смотрю изменения. файл ssl_host: -9594a16b970b5c2424.c2ef25.e3b227af32e4d25d50.xyz +9594a16b970b5c2424.c2ef25.e3b227af32e4d25d50.xy -6ed3a2d5ae8bf33fba.c2ef25.e176cc6cb613436b37.xyz +6ed3a2d5ae8bf33fba.c2ef25.e176cc6cb613436b37.xy -www.shaman-r.ru.legalnyye-narkotiki-sol-dlya-vann-dzhiviash.reagenty-kuritelnyye-smesi-geroin-efedrin-metadon-lsd-mdma-jw h.biz +www.shaman-r.ru.legalnyye-narkotiki-sol-dlya-va -www.d31a754f242cfdf1ea67f1282b2d02c4.mararus.com +www.d31a754f242cfdf1ea67f1282b2d02c4.mararus.co -xn-----7kcfdjgbeyaaeduffpeyn8axsem8iwb4r.xn--p1ai +xn-----7kcfdjgbeyaaeduffpeyn8axsem8iwb4r.xn--p1 -56c13f47f81e8be0b5f193ad2d31f9627c305e35.marathonbet8.com +56c13f47f81e8be0b5f193ad2d31f9627c305e35.marath зачем оно так? новый код в extfilter_maker.pl вижу. длинные доменные имена более не имеют смысла? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oborot.bolta Опубликовано 17 февраля, 2017 · Жалоба Коллеги - у меня есть масса вопросов по настройке. 1. Есть ли рекомендации по настройке nr_hugepages (vm.nr_hugepages) для различных карт 2. При указании dpdk_port = 0 или dpdk_ports = 0,1 - он биндиться на карты из списка по порядку? 3. mbuf_pool_size = 8191 на что может повлиять и есть ли рекомендации 4. num_of_workers = 1 (у меня стоит 3) при увелечении он отъедает память выделенную nr_hugepages ? 5. flowhash_size = 1048576 на что влияет и как посчитать сколько нужно 6. num_of_senders = 1 - это вообще не понятно можно пример жизненнный 7. core_mask = 7 (7 это десятичное значение? 0111 - тоесть на 8 ядерном прце - ему отдасться только 3 последних ядра или как? одно worker и два под нити?) Извините если что за глупость и несуразность. в моей конфигурации эти параметры выставлены след образом: dpdk_port = 0 ; mbuf_pool_size = 8191 (default) num_of_workers = 3 ; core_mask = 7 (default) ; flowhash_size = 1048576 (default) ; num_of_senders = 1 (default) sysctl vm.nr_hugepages=512 при такой конфигурации на 5 ядерной машине с 5 гигами памяти он у меня кушает: 4 ядра под 100% и более 3G памяти VmPeak: 4240164 kB VmSize: 3215176 kB HugetlbPages: 2097152 kB Коллеги, так ни кто и не подскажет? И не ткнет носом где почитать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 17 февраля, 2017 · Жалоба обновил extfilter. запустил "новый" extfilter_maker.pl смотрю изменения. файл ssl_host: -9594a16b970b5c2424.c2ef25.e3b227af32e4d25d50.xyz +9594a16b970b5c2424.c2ef25.e3b227af32e4d25d50.xy -6ed3a2d5ae8bf33fba.c2ef25.e176cc6cb613436b37.xyz +6ed3a2d5ae8bf33fba.c2ef25.e176cc6cb613436b37.xy -www.shaman-r.ru.legalnyye-narkotiki-sol-dlya-vann-dzhiviash.reagenty-kuritelnyye-smesi-geroin-efedrin-metadon-lsd-mdma-jw h.biz +www.shaman-r.ru.legalnyye-narkotiki-sol-dlya-va -www.d31a754f242cfdf1ea67f1282b2d02c4.mararus.com +www.d31a754f242cfdf1ea67f1282b2d02c4.mararus.co -xn-----7kcfdjgbeyaaeduffpeyn8axsem8iwb4r.xn--p1ai +xn-----7kcfdjgbeyaaeduffpeyn8axsem8iwb4r.xn--p1 -56c13f47f81e8be0b5f193ad2d31f9627c305e35.marathonbet8.com +56c13f47f81e8be0b5f193ad2d31f9627c305e35.marath зачем оно так? новый код в extfilter_maker.pl вижу. длинные доменные имена более не имеют смысла? В коммите написано почему так сделано - в ndpi максимально количество символов под имя из сертификата - 47. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 17 февраля, 2017 · Жалоба Коллеги - у меня есть масса вопросов по настройке. 1. Есть ли рекомендации по настройке nr_hugepages (vm.nr_hugepages) для различных карт 2. При указании dpdk_port = 0 или dpdk_ports = 0,1 - он биндиться на карты из списка по порядку? 3. mbuf_pool_size = 8191 на что может повлиять и есть ли рекомендации 4. num_of_workers = 1 (у меня стоит 3) при увелечении он отъедает память выделенную nr_hugepages ? 5. flowhash_size = 1048576 на что влияет и как посчитать сколько нужно 6. num_of_senders = 1 - это вообще не понятно можно пример жизненнный 7. core_mask = 7 (7 это десятичное значение? 0111 - тоесть на 8 ядерном прце - ему отдасться только 3 последних ядра или как? одно worker и два под нити?) Извините если что за глупость и несуразность. в моей конфигурации эти параметры выставлены след образом: dpdk_port = 0 ; mbuf_pool_size = 8191 (default) num_of_workers = 3 ; core_mask = 7 (default) ; flowhash_size = 1048576 (default) ; num_of_senders = 1 (default) sysctl vm.nr_hugepages=512 при такой конфигурации на 5 ядерной машине с 5 гигами памяти он у меня кушает: 4 ядра под 100% и более 3G памяти VmPeak: 4240164 kB VmSize: 3215176 kB HugetlbPages: 2097152 kB Коллеги, так ни кто и не подскажет? И не ткнет носом где почитать? 1. Память не для карт, а для приложения. 2. Пока поддерживается только один интерфейс, на который должен приходить исходящий трафик абонентов 3. Размер буфера для приема пакетов. Если в логе будет mbuf errors, то это будет говорить о том, что пакеты от сетевой поступают быстрее, чем worker(ы) успевают обрабатывает и тогда размер буфера надо увеличить. 4. Не столь много отъедает от hugepages, сколько от оставшейся обычной памяти linux, т.к. каждому worker'у загружается свой экземпляр списка блокировки. 5. Параметр отвечает за количество обрабатываемых потоков трафика. Можно уменьшить, если трафика мало. В случае нехватки extfilter умер по exception с записью в логе. 6. Если надо будет отправлять много редиректов/rst и один поток справляться не будет, то можно увеличить количество потоков для решения этой проблемы. 7. Да, именно так. В документации dpdk об этом написано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
varney Опубликовано 18 февраля, 2017 · Жалоба Может уже поднимался вопрос, не смог отыскать. Согласно какому RFC такое имеет право на жизнь. и интересно откуда они могли такое скопипастить. <content id="378767" includeTime="2016-11-30T16:20:50" entryType="2" hash="A540EBCDD01D3F13D3818AD90014FC45"> <decision date="2016-10-05" number="определение о предварительном обеспечении по заявлению № 2и-0643/2016" org="Мосгорсуд"/> <url><![CDATA[https://w.rutracker.space/http://rutracker.org/forum/viewtopic.php?t=5291059]]> </url> <url><![CDATA[https://w.rutracker.space/http://rutracker.org/forum/viewtopic.php?t=5291268]]> </url> <url><![CDATA[https://w.rutracker.space/http://rutracker.org/forum/viewtopic.php?t=5291267]]> </url> <url><![CDATA[https://w.rutracker.space/http://rutracker.org/forum/viewtopic.php?t=5291367]]> </url> <domain><![CDATA[w.rutracker.space]]></domain> <ip>188.166.21.196</ip> </content> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oborot.bolta Опубликовано 19 февраля, 2017 (изменено) · Жалоба 1. Память не для карт, а для приложения. 2. Пока поддерживается только один интерфейс, на который должен приходить исходящий трафик абонентов 3. Размер буфера для приема пакетов. Если в логе будет mbuf errors, то это будет говорить о том, что пакеты от сетевой поступают быстрее, чем worker(ы) успевают обрабатывает и тогда размер буфера надо увеличить. 4. Не столь много отъедает от hugepages, сколько от оставшейся обычной памяти linux, т.к. каждому worker'у загружается свой экземпляр списка блокировки. 5. Параметр отвечает за количество обрабатываемых потоков трафика. Можно уменьшить, если трафика мало. В случае нехватки extfilter умер по exception с записью в логе. 6. Если надо будет отправлять много редиректов/rst и один поток справляться не будет, то можно увеличить количество потоков для решения этой проблемы. 7. Да, именно так. В документации dpdk об этом написано. Не подскажите с какими градациями повышать значения mbuf_pool_size ? Как я понял чем больше worker тем больше и буферов надо? Развернул на тестовой виртуалочке с небольшим трафиком (только офис) и вот что в логах: 2017-02-19 13:10:36.711 [6436] Information Application - Port 0 input packets: 4691277, input errors: 0, mbuf errors: 58093 2017-02-19 13:10:36.712 [6436] Information Application - Reader thread on core 1 received packets: 4691276, enqueued packets: 4691276, missed packets: 0, traffic throughtput: 2.91 K pps 2017-02-19 13:10:36.712 [6436] Information Application - Worker thread on core 2 statistics: 2017-02-19 13:10:36.713 [6436] Information Application - Thread seen packets: 3980512, IP packets: 3976198 (IPv4 packets: 3976052, IPv6 packets: 146), seen bytes: 489192157, Average packet size: 123 bytes, Traffic throughput: 2.47 K pps 2017-02-19 13:10:36.713 [6436] Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 2017-02-19 13:10:36.713 [6436] Information Application - Thread matched by ip/port: 0, matched by ssl: 271, matched by ssl/ip: 0, matched by domain: 1698, matched by url: 2624 2017-02-19 13:10:36.713 [6436] Information Application - Thread redirected domains: 1698, redirected urls: 2624, rst sended: 271 2017-02-19 13:10:36.714 [6436] Information Application - Thread active flows: 1416 (IPv4 flows: 1416 IPv6 flows: 0), expired flows: 69110 2017-02-19 13:10:36.714 [6436] Information Application - Worker thread on core 3 statistics: 2017-02-19 13:10:36.714 [6436] Information Application - Thread seen packets: 480443, IP packets: 480063 (IPv4 packets: 480060, IPv6 packets: 3), seen bytes: 42432234, Average packet size: 88 bytes, Traffic throughput: 310.19 pps 2017-02-19 13:10:36.715 [6436] Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 2017-02-19 13:10:36.715 [6436] Information Application - Thread matched by ip/port: 0, matched by ssl: 14, matched by ssl/ip: 0, matched by domain: 128, matched by url: 290 2017-02-19 13:10:36.715 [6436] Information Application - Thread redirected domains: 128, redirected urls: 290, rst sended: 14 2017-02-19 13:10:36.715 [6436] Information Application - Thread active flows: 231 (IPv4 flows: 231 IPv6 flows: 0), expired flows: 9149 2017-02-19 13:10:36.716 [6436] Information Application - Worker thread on core 4 statistics: 2017-02-19 13:10:36.716 [6436] Information Application - Thread seen packets: 230324, IP packets: 230095 (IPv4 packets: 230095, IPv6 packets: 0), seen bytes: 4770327, Average packet size: 20 bytes, Traffic throughput: 130.67 pps 2017-02-19 13:10:36.716 [6436] Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 2017-02-19 13:10:36.716 [6436] Information Application - Thread matched by ip/port: 0, matched by ssl: 1, matched by ssl/ip: 0, matched by domain: 2, matched by url: 6 2017-02-19 13:10:36.717 [6436] Information Application - Thread redirected domains: 2, redirected urls: 6, rst sended: 1 2017-02-19 13:10:36.717 [6436] Information Application - Thread active flows: 16 (IPv4 flows: 16 IPv6 flows: 0), expired flows: 676 2017-02-19 13:10:36.717 [6436] Information Application - All worker threads seen packets: 4691279, IP packets: 4686356 (IPv4 packets: 4686207, IPv6 packets: 149), seen bytes: 536394718, traffic throughtput: 2.91 K pps 2017-02-19 13:10:36.718 [6436] Information Application - All worker IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 2017-02-19 13:10:36.718 [6436] Information Application - All worker threads matched by ip/port: 0, matched by ssl: 286, matched by ssl/ip: 0, matched by domain: 1828, matched by url: 2920 2017-02-19 13:10:36.718 [6436] Information Application - All worker threads redirected domains: 1828, redirected urls: 2920, rst sended: 286 2017-02-19 13:10:36.718 [6436] Information Application - All worker threads active flows: 1663(IPv4 flows: 1663 IPv6 flows: 0), expired flows: 78935 Изменено 19 февраля, 2017 пользователем oborot.bolta Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 20 февраля, 2017 · Жалоба Не подскажите с какими градациями повышать значения mbuf_pool_size ? Как я понял чем больше worker тем больше и буферов надо? Процессор совсем слабый, если не справляется на таком трафике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanyasi Опубликовано 20 февраля, 2017 (изменено) · Жалоба А кто-то, пробовал переделать extfilter, для работы по белым спискам, то есть действовать наоборот, все что есть в списках пропускать, остальное редиректить? Это уже сейчас, заметно бы расширило возможности этого софта, а в будущем... не дай Бог, может и придется провайдерам так поступать. Изменено 20 февраля, 2017 пользователем sanyasi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oborot.bolta Опубликовано 20 февраля, 2017 · Жалоба Процессор совсем слабый, если не справляется на таком трафике. странно, тестовый карбон чувствовал себя не плохо, и барьер тоже. у барьера собрано на netmap. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 21 февраля, 2017 · Жалоба Пожалуйста, ткните носом дайте ссылку на требования к железу для extfilter -- надо собрать сервер (наконец-то!). На сколько я помню, нужно N сетевых карт из списка поддерживаемых http://dpdk.org/doc/nics (наверное лучше Intel карты) для зеркала и ещё минимум одну для работы с по сети, по одному ядру на карту для зеркала + сколько-то ядер под ОС. Я всё правильно перечислил или есть ещё какие-то особенности ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 21 февраля, 2017 · Жалоба Никакой "новой" схемы не существует. Все что теперь делает ревизор - лезет по ip адресам, указанным в списке блокировки, но поля http протокола никто не отменял и там все поля на месте. Все-таки проблема наличествует. Из отчета по пропускам: http://play.tojsiab.com/N0RWczNLOU94OHMz - тыкаемся по URL, получаем заглушку. В реестре для этого ресурса есть 7 IP, тыкаемся браузером по ним всем, подменяя доменное имя на IP. В 6 случаях из 7 получаем совсем не заглушку (пох что там всякие 403, 404 и 1003, ревизор засчитывает это как пропуск). Для https этот финт не проходит. extfilter_maker.conf: ... [APP] # блокируемые домены domains = /usr/local/etc/extfilter/domains # блокируемые urlы urls = /usr/local/etc/extfilter/urls # блокируемые ssl хосты ssls = /usr/local/etc/extfilter/ssl_host # блокируемые ip:port hosts = /usr/local/etc/extfilter/hosts # дополнительные порты для ndpi protocols = /usr/local/etc/extfilter/protos # ip адреса для блокировки ssl, если нет имени хоста в сертификате ssls_ips = /usr/local/etc/extfilter/ssl_ips # из списка доменов заносим так же в список ssl domains_ssl = true # выгружать в ssls_ips только ip адреса, указанные в реестре. only_original_ssl_ip = true extfilter.ini: ; Переводить имя хоста в прописные буквы. lower_host = true domainlist = /usr/local/etc/extfilter/domains urllist = /usr/local/etc/extfilter/urls ssllist = /usr/local/etc/extfilter/ssl_host hostlist = /usr/local/etc/extfilter/hosts ; Файл с портами для nDPI. ;protocols = /usr/local/etc/extfilter/protos ; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true. sslips = /usr/local/etc/extfilter/ssl_ips ; если false, то будет послан rst пакет вместо редиректа. Default: false http_redirect = true redirect_url = http://zapretinfo.ilimnet.ru? ; HTTP код ответа. default: 302 Moved Temporarily http_code = 302 Found ; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего url_additional_info=url ; посылать tcp rst в сторону сервера от имени клиента. Default: false rst_to_server = true ; Default: 0 - disable statistic_interval = 300 ; Default: false match_url_exactly = false ; Default: false block_undetected_ssl = true only_original_ssl_ip = true ; dpdk порт, где анализировать трафик dpdk_port = 0 ; dpdk порт(ы), где анализировать трафик ;dpdk_ports = 0,1 ; размер пула mbuf. Default: 8191 ;mbuf_pool_size = 8191 ; количество потоков по анализу трафика num_of_workers=1 ; Какие ядра использовать. Default: все ядра, кроме management. core_mask = 12 ; файл статистики (для extfilter-cacti) statisticsfile = /var/run/extFilter_stat ; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500 ; out_mtu = 1500 ; Количество flow, обрабатываемых программой. Должно быть кратно 2. ; flowhash_size = 1048576 ; количество тредов для отсылки уведомлений о блокировке num_of_senders = 2 ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oborot.bolta Опубликовано 21 февраля, 2017 · Жалоба Процессор совсем слабый, если не справляется на таком трафике. А если добавить ядер и worker, ситуация не измениться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 21 февраля, 2017 · Жалоба Все-таки проблема наличествует. Из отчета по пропускам: http://play.tojsiab....0RWczNLOU94OHMz - тыкаемся по URL, получаем заглушку. В реестре для этого ресурса есть 7 IP, тыкаемся браузером по ним всем, подменяя доменное имя на IP. В 6 случаях из 7 получаем совсем не заглушку (пох что там всякие 403, 404 и 1003, ревизор засчитывает это как пропуск). Для https этот финт не проходит. Все правильно, заменив имя хоста play.tojsiab... на ip адрес вы не получите срабатывание, т.к. такой записи нет в реестре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 февраля, 2017 · Жалоба Процессор совсем слабый, если не справляется на таком трафике. А если добавить ядер и worker, ситуация не измениться? А что за проц?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 21 февраля, 2017 · Жалоба Все правильно, заменив имя хоста play.tojsiab... на ip адрес вы не получите срабатывание, т.к. такой записи нет в реестре. К сожалению, запись есть: <content id="401610" includeTime="2016-12-20T12:35:15" urgencyType="1" entryType="3" hash="B4779D8A0D26BC19AB4522BC280EF5E1"> <decision date="2015-04-03" number="27-31-2015/Ид1093-15" org="Генпрокуратура"/> <url><![CDATA[http://play.tojsiab.com/TGxyWmNhcklkREEz]]></url> <domain><![CDATA[play.tojsiab.com]]></domain> -><ip>104.27.162.148</ip> -><ip>104.27.163.148</ip> -><ip>104.25.38.19</ip> -><ip>104.25.39.19</ip> -><ip>64.71.74.72</ip> -><ip>23.250.117.219</ip> -><ip>192.227.156.157</ip> </content> вот даже пометил 7 таких записей. Ревизор сейчас прогоняет проверку _И_ с применением внесенных в поле ip адресов. За вчера в отчетах накидало >200 пропусков. А, да, самая мякотка, в отчетах то, что пропуск был именно по запросу по IP нигде не упоминается, показывая что-де пропуск по URL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 21 февраля, 2017 · Жалоба Все правильно, заменив имя хоста play.tojsiab... на ip адрес вы не получите срабатывание, т.к. такой записи нет в реестре. К сожалению, запись есть: <content id="401610" includeTime="2016-12-20T12:35:15" urgencyType="1" entryType="3" hash="B4779D8A0D26BC19AB4522BC280EF5E1"> <decision date="2015-04-03" number="27-31-2015/Ид1093-15" org="Генпрокуратура"/> <url><![CDATA[http://play.tojsiab.com/TGxyWmNhcklkREEz]]></url> <domain><![CDATA[play.tojsiab.com]]></domain> -><ip>104.27.162.148</ip> -><ip>104.27.163.148</ip> -><ip>104.25.38.19</ip> -><ip>104.25.39.19</ip> -><ip>64.71.74.72</ip> -><ip>23.250.117.219</ip> -><ip>192.227.156.157</ip> </content> вот даже пометил 7 таких записей. Ревизор сейчас прогоняет проверку _И_ с применением внесенных в поле ip адресов. За вчера в отчетах накидало >200 пропусков. Вы заблуждаетесь. Ревизор проверяет записи не путем подстановки в поле Host ip адреса, а путем подачи запроса на указанные в реестре ip и отрезолвленные с dns сервера, указанного для ревизора. Объясню на примере: 1. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 104.27.162.148 2. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 104.27.163.148 3. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 104.25.38.19 4. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 104.25.39.19 5. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 64.71.74.72 6. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 23.250.117.219 7. запрос http://play.tojsiab.com/TGxyWmNhcklkREEz на ip 192.227.156.157 И так же запросы на ip адреса, которые вернул DNS сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 21 февраля, 2017 (изменено) · Жалоба Ядро какое??? Была такая проблема с родным ядром от центоси, помогло установка ядра с elrepo C новой версие ndpi собирал, сутки работало на стенде, в бой не стал ставить Странно, раньше собиралось. С elrepo собирается, спасибо. Но хотелось бы на штатном, нет лекарств? А какой лучше пользовать dpdk стабильный, или последний? Тоже столкнулся с тем, что на 3.10.0-327.36.3.el7.x86_64 DPDK 16.07 собирается, а вот уже на 3.10.0-514.6.1.el7.x86_64 не собирается DPDK 16.07.2 /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c: In function ‘igb_ndo_bridge_getlink’: /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2290:2: error: too few arguments to function ‘ndo_dflt_bridge_getlink’ return ndo_dflt_bridge_getlink(skb, pid, seq, dev, mode, 0, 0); ^ In file included from /usr/src/kernels/3.10.0-514.6.1.el7.x86_64/include/net/dst.h:13:0, from /usr/src/kernels/3.10.0-514.6.1.el7.x86_64/include/net/sock.h:72, from /usr/src/kernels/3.10.0-514.6.1.el7.x86_64/include/linux/tcp.h:23, from /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:34: /usr/src/kernels/3.10.0-514.6.1.el7.x86_64/include/linux/rtnetlink.h:100:12: note: declared here extern int ndo_dflt_bridge_getlink(struct sk_buff *skb, u32 pid, u32 seq, ^ /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c: At top level: /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2339:2: error: initialization from incompatible pointer type [-Werror] .ndo_fdb_add = igb_ndo_fdb_add, ^ /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2339:2: error: (near initialization for ‘igb_netdev_ops.<anonymous>.ndo_fdb_add’) [-Werror] /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2346:2: error: initialization from incompatible pointer type [-Werror] .ndo_bridge_setlink = igb_ndo_bridge_setlink, ^ /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2346:2: error: (near initialization for ‘igb_netdev_ops.<anonymous>.ndo_bridge_setlink’) [-Werror] /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2347:2: error: initialization from incompatible pointer type [-Werror] .ndo_bridge_getlink = igb_ndo_bridge_getlink, ^ /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2347:2: error: (near initialization for ‘igb_netdev_ops.<anonymous>.ndo_bridge_getlink’) [-Werror] /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c: In function ‘igb_ndo_bridge_getlink’: /opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.c:2295:1: error: control reaches end of non-void function [-Werror=return-type] } ^ cc1: all warnings being treated as errors make[8]: *** [/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni/igb_main.o] Error 1 make[7]: *** [_module_/opt/dpdk-stable-16.07.2/build/build/lib/librte_eal/linuxapp/kni] Error 2 make[6]: *** [sub-make] Error 2 make[5]: *** [rte_kni.ko] Error 2 make[4]: *** [kni] Error 2 make[3]: *** [linuxapp] Error 2 make[2]: *** [librte_eal] Error 2 make[1]: *** [lib] Error 2 make: *** [all] Error 2 Штатное лучше не обновлять похоже или ставить с elrepo ? Чёто в хедерсах не нравится ему. Изменено 21 февраля, 2017 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 февраля, 2017 (изменено) · Жалоба C elrepo в продакшене трудится, нареканий нет Изменено 21 февраля, 2017 пользователем Antares Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 21 февраля, 2017 · Жалоба C elrepo в продакшене трудится, нареканий нет Ничего оно не поломает в CentOS 7? Хотя у меня тоже в проде есть 3.18.X ванильное и вроде норм всё. Просто жаль сам факт того что поломали, сейчас наткнулся у знакомого, а у себя еще не обновлял видимо с января, так бы тоже там поломалось... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 февраля, 2017 · Жалоба на 7ке стоит 4.4.39-1.el7.elrepo.x86_64, вроде ничего не поломалось ))) наоборот extfilter на нём нормально собрался Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 21 февраля, 2017 (изменено) · Жалоба парни, подскажите по nfqfilter конфигуратор nfqfilter_config никак не пойму, чтобы конфигурилась квага должен $update_soft_quagga=1 или 0? запускаю make_files.pl, виснет через секунд 5 останавливаю bgpd, скрипт отрабатывает, но в конфиге bgpd.conf без изменений vtysh -c 'write' матерится [root@zapret-vm nfqfilter_config-test]# vtysh -c 'write' Building Configuration... Can't open configuration file /etc/quagga/zebra.conf.lkGNMS. [OK] права на /etc/quagga/ правильные, даже 777 бестолку как правильно делать то? ОС центос 7 Изменено 21 февраля, 2017 пользователем yKpon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Troj Опубликовано 21 февраля, 2017 · Жалоба подскажите в логе extfilter прут ошибки Port 0 input packets: 142339476, input errors: 62423739, mbuf errors: 0 из-за чего это может быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 22 февраля, 2017 · Жалоба никак не пойму, чтобы конфигурилась квага должен $update_soft_quagga=1 или 0? запускаю make_files.pl, виснет через секунд 5 останавливаю bgpd, скрипт отрабатывает, но в конфиге bgpd.conf без изменений vtysh -c 'write' матерится Can't open configuration file /etc/quagga/zebra.conf.lkGNMS. права на /etc/quagga/ правильные, даже 777 бестолку Если надо конфиг Кваги обновлять, в make_files.pl: my $update_soft_quagga=1; >останавливаю bgpd, скрипт отрабатывает, но в конфиге bgpd.conf без изменений Обновление конфига идет через vtysh, и конфиг висит в памяти bgpd без записи в bgpd.conf до "write mem" bgpd и zebra - разные процессы и имеют разные конфиги. >Can't open configuration file /etc/quagga/zebra.conf.lkGNMS. проверяйте права на /etc/quagga/ и /etc/quagga/zebra.conf Соответственно, если wr mem не проходит - рабочий конфиг в памяти будет верным, но не сохраненным. От кого запушена zebra/bgpd ? Кто owner и какие права на /etc/quagga/ ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
himikrzn Опубликовано 22 февраля, 2017 · Жалоба Примените патч на ndpi, который устанавливается с extfilter: --- nDPI.new/src/lib/protocols/ssl.c 2016-11-16 21:39:50.960651510 +0300 +++ nDPI/src/lib/protocols/ssl.c 2017-01-25 16:03:20.632967015 +0300 @@ -276,6 +276,10 @@ u_int begin = 0,len; char *server_name = (char*)&packet->payload[offset+extension_offset]; + if(packet->payload[offset+extension_offset+2] == 0x00) // host_name + { + begin =+ 5; + } while(begin < extension_len) { if((!ndpi_isprint(server_name[begin])) || ndpi_ispunct(server_name[begin]) ни кто не подскажет, каким образом этот патч применить? Можно командой patch сколько по времени это происходит? уже час висит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...