Antares Опубликовано 10 марта, 2017 · Жалоба Пришлите конфиг, с которым запускаете фильтр. ; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения. lower_host = true domainlist = /usr/local/etc/extfilter/domains urllist = /usr/local/etc/extfilter/urls ssllist = /usr/local/etc/extfilter/ssl_host hostlist = /usr/local/etc/extfilter/hosts ; Файл с портами для nDPI. ;protocols = /usr/local/etc/extfilter/protos ; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true. sslips = /usr/local/etc/extfilter/ssl_ips ; если false, то будет послан rst пакет вместо редиректа. Default: false http_redirect = true redirect_url = http://block.local ; HTTP код ответа. default: 302 Moved Temporarily http_code = 302 Found ; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего url_additional_info=none ; посылать tcp rst в сторону сервера от имени клиента. Default: false rst_to_server = true ; Default: 0 - disable statistic_interval = 300 ; Default: false match_url_exactly = false ; Default: false block_undetected_ssl = false ; dpdk порт, где анализировать трафик dpdk_port = 0 ; dpdk порт(ы), где анализировать трафик ;dpdk_ports = 0,1 ; размер пула mbuf. Default: 8191 ;mbuf_pool_size = 8191 ; количество потоков по анализу трафика ;num_of_workers=1 ; Какие ядра использовать. Default: все ядра, кроме management. core_mask = 1,2 ; файл статистики (для extfilter-cacti) statisticsfile = /var/run/extFilter_stat ; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500 ; out_mtu = 1500 ; Количество flow, обрабатываемых программой. Должно быть кратно 2. ; flowhash_size = 1048576 ; количество тредов для отсылки уведомлений о блокировке ; num_of_senders = 1 ; делать ли нормализацию url url_normalization = true ; удалять ли точку в конце имени хоста remove_dot = true [logging] loggers.root.level = information ;loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/extFilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.purgeCount = 4 channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 10 марта, 2017 · Жалоба core_mask=1,2 Такое значение ничего не дает, т.к. здесь должно быть целое число (маска), а не список ядер. В данном случае фильтр запускается на ядрах, отличных от мастер-ядра. У вас трафика не очень много - попробуйте установить flowhash_size = 524288 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 11 марта, 2017 · Жалоба Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 11 марта, 2017 · Жалоба Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро? Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 11 марта, 2017 · Жалоба Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро? Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15. Поставил, наблюдаю Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 11 марта, 2017 (изменено) · Жалоба Вываливается. Пробую с одним воркером ps: не помогло...падает Изменено 11 марта, 2017 пользователем Antares Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 11 марта, 2017 · Жалоба Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages Может быть увеличить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 11 марта, 2017 · Жалоба Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages Может быть увеличить? Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 11 марта, 2017 · Жалоба Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages Может быть увеличить? Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages. Увеличил, наблюдаю Раньше только это попадало в messages Feb 26 17:00:38 ExtFilter systemd: extfilter.service: main process exited, code=killed, status=6/ABRT Feb 26 17:00:38 ExtFilter systemd: Unit extfilter.service entered failed state. Feb 26 17:00:38 ExtFilter systemd: extfilter.service failed. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 11 марта, 2017 · Жалоба А можно чуть подробней про новые опции ; делать ли нормализацию url url_normalization = true ; удалять ли точку в конце имени хоста remove_dot = true Что есть "нормализация", защита от кривых урлов в реестре ? Это как то может влиять на пропуски? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 11 марта, 2017 · Жалоба Сейчас стоит echo 512 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages Может быть увеличить? Да, увеличьте объем. При завершении программы посмотрите есть ли какие-то записи в messages. Увеличил, наблюдаю Раньше только это попадало в messages Feb 26 17:00:38 ExtFilter systemd: extfilter.service: main process exited, code=killed, status=6/ABRT Feb 26 17:00:38 ExtFilter systemd: Unit extfilter.service entered failed state. Feb 26 17:00:38 ExtFilter systemd: extfilter.service failed. Упало, в логах тоже только это Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 11 марта, 2017 · Жалоба Упало, в логах тоже только это Запустите extfilter в gdb и когда процесс завершится, введите bt и пришлите вывод этой команды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oborot.bolta Опубликовано 11 марта, 2017 · Жалоба Какую тогда маску надо использовать при 4-х ядерном проце, для работы фильтра используются и выделены в tuned два, 3 и 4 ядро? Попробуйте использовать 2 worker'а, а не один и тогда в маске укажите 15. так 15 - это 1111 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Prototype-X Опубликовано 13 марта, 2017 · Жалоба Приветствую. Подскажите какова эффективность блокировки с помощью extfilter и nfqfilter? Сколько URL не блокируется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 марта, 2017 · Жалоба У меня - 0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 13 марта, 2017 · Жалоба А чем проверить? Только в тему стал вникать... ревизором? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Prototype-X Опубликовано 13 марта, 2017 (изменено) · Жалоба А чем проверить? Только в тему стал вникать... ревизором? 1. Регаешься тут: https://portal.rfc-revizor.ru " 2. оформляешь заявку на ревизор(ы), насколько знаю аппаратные агенты уже кончились, получишь VM 3. устанавливаешь агента 4. в портале подаешь запрос на отчет В принципе можно не делать отчет. Если все плохо куратор из Роскомнадзора позвонит контактному лицу в Вашей компании, с предупреждением. Изменено 13 марта, 2017 пользователем Prototype-X Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 13 марта, 2017 · Жалоба Спасибо, так и подумал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 марта, 2017 · Жалоба Не лишним будет перед перезапуском nfqfilter сделать drop для ревизора. Иначе возможны разовые пропуски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 13 марта, 2017 · Жалоба Если все плохо куратор из Роскомнадзора позвонит контактному лицу в Вашей компании, с предупреждением. Это от отношений зависит. Скорее всего просто выпишут протокол и никто никуда звонить не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Igor Diakonov Опубликовано 13 марта, 2017 · Жалоба А чем проверить? Только в тему стал вникать... ревизором? https://github.com/orgtechservice/roskombox/tree/legacy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 13 марта, 2017 (изменено) · Жалоба А чем проверить? Только в тему стал вникать... ревизором? https://github.com/orgtechservice/roskombox/tree/legacy слишком замарочено столько подтягивать и разворачивать, простая чекалка на питоне где-то была, сам не могу найти) Изменено 13 марта, 2017 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitcin Опубликовано 14 марта, 2017 · Жалоба собралось. если теперь из src запустить ./nfqfilter ./nfqfilter: error while loading shared libraries: libPocoNet.so.48: cannot open shared object file: No such file or directory ldd nfqfilter linux-vdso.so.1 => (0x00007ffdfb1eb000) libnfnetlink.so.0 => /usr/lib/x86_64-linux-gnu/libnfnetlink.so.0 (0x00007fde3b625000) libnetfilter_queue.so.1 => /usr/lib/x86_64-linux-gnu/libnetfilter_queue.so.1 (0x00007fde3b41e000) libPocoNet.so.48 => not found libPocoUtil.so.48 => not found libPocoFoundation.so.48 => not found libstdc++.so.6 => /usr/lib/x86_64-linux-gnu/libstdc++.so.6 (0x00007fde3b09a000) libgcc_s.so.1 => /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x00007fde3ae84000) libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fde3ac67000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fde3a89d000) libmnl.so.0 => /lib/x86_64-linux-gnu/libmnl.so.0 (0x00007fde3a697000) libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fde3a38e000) /lib64/ld-linux-x86-64.so.2 (0x000055cda3e33000) хотя они лежат в ls /usr/local/lib/libPocoFoundationd.so libPocoJSONd.so libPocoNetd.so libPocoUtild.so libPocoXMLd.so python2.7 libPocoFoundationd.so.48 libPocoJSONd.so.48 libPocoNetd.so.48 libPocoUtild.so.48 libPocoXMLd.so.48 python3.5 libPocoFoundation.so libPocoJSON.so libPocoNet.so libPocoUtil.so libPocoXML.so libPocoFoundation.so.48 libPocoJSON.so.48 libPocoNet.so.48 libPocoUtil.so.48 libPocoXML.so.48 Сделай $ sudo ln -s /usr/local/lib/libPocoNet.so.48 /usr/lib/libPocoNet.so.48 $ sudo ldconfig Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dragjj Опубликовано 14 марта, 2017 · Жалоба Доброго времени суток всем. Юзаю в тестовом режиме nfqfilter, вроде всё норм, но без квагги. Сейчас пытаюсь прикрутить кваггу, но хз, что не так, при запуске скрипта make_files.pl, скрипт может сутки висеть, и в кваггу добавляются где то 700-900 ip адресов. Как можно посмотреть что ему не хватает, что бы всё добавить? Заметил еще, что появился еще extFilter, что лучше юзать nfqfilter или переходить на extFilter? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 14 марта, 2017 · Жалоба Доброго времени суток всем. Юзаю в тестовом режиме nfqfilter, вроде всё норм, но без квагги. Сейчас пытаюсь прикрутить кваггу, но хз, что не так, при запуске скрипта make_files.pl, скрипт может сутки висеть, и в кваггу добавляются где то 700-900 ip адресов. Как можно посмотреть что ему не хватает, что бы всё добавить? Заметил еще, что появился еще extFilter, что лучше юзать nfqfilter или переходить на extFilter? как я понял, из всего что тут тесть, Вам нужен extFilter, он как раз для вашей задачи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...