Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Забудь про этого денозавра, пробовал запускать на таком, были пропуски

сколько pps у вас влетает в фильр ?

Изменено пользователем flow-control

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудь про этого денозавра, пробовал запускать на таком, были пропуски

сколько pps у вас влетает в фильр ?

При зеркальном трафике всегда могут быть пропуски. Например, если на канале по которому подключён фильтер есть потери, или пользовательский трафик превышает тот, который может обработать фильтер. Например, если фильтер подключён но 100 мигабитноку каналу, а пользователь по гигабитному. Или попытки фильтровать магистральный трафик внутри сети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудь про этого денозавра, пробовал запускать на таком, были пропуски

сколько pps у вас влетает в фильр ?

довольно мало, 140-150 kpps

 

При зеркальном трафике всегда могут быть пропуски. Например, если на канале по которому подключён фильтер есть потери, или пользовательский трафик превышает тот, который может обработать фильтер. Например, если фильтер подключён но 100 мигабитноку каналу, а пользователь по гигабитному. Или попытки фильтровать магистральный трафик внутри сети?

Пропуски пакетов были, по ревизору чисто

Но было принято решение поставить более сильное железо на i7 3770

Изменено пользователем Antares

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудь про этого денозавра, пробовал запускать на таком, были пропуски

сколько pps у вас влетает в фильр ?

довольно мало, 140-150 kpps

 

При зеркальном трафике всегда могут быть пропуски. Например, если на канале по которому подключён фильтер есть потери, или пользовательский трафик превышает тот, который может обработать фильтер. Например, если фильтер подключён но 100 мигабитноку каналу, а пользователь по гигабитному. Или попытки фильтровать магистральный трафик внутри сети?

Пропуски пакетов были, по ревизору чисто

Но было принято решение поставить более сильное железо на i7 3770

Какие пропуски?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставили новую версию extfilter. Без nDPI. Появились такие записи в логе:

Debug WorkerThread-4 - An SyntaxException occured: 'Syntax error: bad or invalid port number: 80http:' on URI:

На предыдущей версии такого не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудь про этого денозавра, пробовал запускать на таком, были пропуски

сколько pps у вас влетает в фильр ?

довольно мало, 140-150 kpps

 

При зеркальном трафике всегда могут быть пропуски. Например, если на канале по которому подключён фильтер есть потери, или пользовательский трафик превышает тот, который может обработать фильтер. Например, если фильтер подключён но 100 мигабитноку каналу, а пользователь по гигабитному. Или попытки фильтровать магистральный трафик внутри сети?

Пропуски пакетов были, по ревизору чисто

Но было принято решение поставить более сильное железо на i7 3770

Какие пропуски?

missed packets

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудь про этого денозавра, пробовал запускать на таком, были пропуски

сколько pps у вас влетает в фильр ?

довольно мало, 140-150 kpps

 

При зеркальном трафике всегда могут быть пропуски. Например, если на канале по которому подключён фильтер есть потери, или пользовательский трафик превышает тот, который может обработать фильтер. Например, если фильтер подключён но 100 мигабитноку каналу, а пользователь по гигабитному. Или попытки фильтровать магистральный трафик внутри сети?

Пропуски пакетов были, по ревизору чисто

Но было принято решение поставить более сильное железо на i7 3770

Какие пропуски?

missed packets

А после установки нового железа какая ситуация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

блокирует

 

curl -v https://news.pn

* Rebuilt URL to: https://news.pn/

* Hostname was NOT found in DNS cache

* Trying 104.25.24.13...

* Connected to news.pn (104.25.24.13) port 443 (#0)

* successfully set certificate verify locations:

* CAfile: none

CApath: /etc/ssl/certs

* SSLv3, TLS handshake, Client hello (1):

* Unknown SSL protocol error in connection to news.pn:443

* Closing connection 0

curl: (35) Unknown SSL protocol error in connection to news.pn:443

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

curl -v https://news.pn

* About to connect() to news.pn port 443 (#0)

* Trying 104.25.25.13...

* Connected to news.pn (104.25.25.13) port 443 (#0)

* Initializing NSS with certpath: sql:/etc/pki/nssdb

* CAfile: /etc/pki/tls/certs/ca-bundle.crt

CApath: none

* NSS error -5961 (PR_CONNECT_RESET_ERROR)

* TCP connection reset by peer

* Closing connection 0

curl: (35) TCP connection reset by peer

 

через браузер открывается и ревизор пропуск нарисовал

 

после перезагрузки компа открываться перестал, буду ждать когда portal.rfc-revizor.ru сегодняшний отчет нарисует.

 

UPD В отчете пусто, чудеса...

Изменено пользователем flow-control

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно ли extfilter поставить в разрез, а не зеркалом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

был такой вопрос, но, судя по-всему, нет

Дело в том, что в разрез ставить гораздо удобнее, и пропусков будет меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nfqfilter

 

35 пропусков, к примеру один из низ http://37.139.28.143:8001/

в файлах и в базе есть, но не блокирует - открывается

 

вот полный список http://paste.org.ru/?bh817y

 

пропуски там где url этой айпишник и где не стандартные порты

Изменено пользователем yKpon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забудь про этого денозавра, пробовал запускать на таком, были пропуски

сколько pps у вас влетает в фильр ?

довольно мало, 140-150 kpps

 

При зеркальном трафике всегда могут быть пропуски. Например, если на канале по которому подключён фильтер есть потери, или пользовательский трафик превышает тот, который может обработать фильтер. Например, если фильтер подключён но 100 мигабитноку каналу, а пользователь по гигабитному. Или попытки фильтровать магистральный трафик внутри сети?

Пропуски пакетов были, по ревизору чисто

Но было принято решение поставить более сильное железо на i7 3770

Какие пропуски?

missed packets

А после установки нового железа какая ситуация?

Нарушений и пропусков пакетов нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как я понял, для работы extfilter нужно два интерфейса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да. один под зеркало и сам фильтр. другой для mgmt и отправки rst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

обычная линковочная сетка куда-нибудь поближе к абонентам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nfqfilter

 

35 пропусков, к примеру один из низ http://37.139.28.143:8001/

в файлах и в базе есть, но не блокирует - открывается

 

вот полный список http://paste.org.ru/?bh817y

 

пропуски там где url этой айпишник и где не стандартные порты

 

У меня тоже, по крайней мере на той неделе 52.50.87.120:16869.

 

Пока так и не нашёл причину и зависимость почему у некоторых всё отлично, а у других пропуски. Вроде все нужные патчи есть.

 

При этом используется sslips = /home/nfqfilter/contrib/ssl_ips и block_undetected_ssl = true

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да. один под зеркало и сам фильтр. другой для mgmt и отправки rst

А как настроить этот интерфейс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да. один под зеркало и сам фильтр. другой для mgmt и отправки rst

А как настроить этот интерфейс?

 

Это и так понятно же.

 

P.S. повесить IP интерфейс и вынести в служебный VLAN ? Или вообще на отдельный iLO\IP-KVM

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставили новую версию extfilter. Без nDPI. Появились такие записи в логе:

Debug WorkerThread-4 - An SyntaxException occured: 'Syntax error: bad or invalid port number: 80http:' on URI:

На предыдущей версии такого не было.

Так что, ни у кого нет этого в логах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Айло не подойдёт. Система через него не сможет пакеты слать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.