1. Для блокировка используем

[max1976]

26 минут назад, RadioSintetica сказал:

 cat /sys/devices/system/node/node0/hugepages/hugepages-1048576kB/nr_hugepages
28

 

2017-10-24 16:34:51.050 [3176] Information Application - Initializing dpi flow hash with ipv4 max flows 1600000, ipv6  max flows 800000.
2017-10-24 16:34:51.057 [3176] Information Application - Create pool 'URLPool-10' for urls with number of entries: 480000, size: 288480000 bytes
2017-10-24 16:34:51.097 [3176] Information Application - Create pool 'DPIPool-10' for http dissector with number of entries: 480000, size: 15360000 bytes
2017-10-24 16:34:51.317 [3176] Fatal WorkerThread-10 - Not enough memory for flows pool. Tried to allocate 844800000 bytes
2017-10-24 16:34:51.318 [3176] Error Application - Exception: Not enough memory for flows pool
 

В файле worker.cpp, в строке 192 замените

_logger.fatal("Not enough memory for flows pool. Tried to allocate %d bytes", (int) ((fh->getHashSizeIPv4() + fh->getHashSizeIPv6())*sizeof(struct ext_dpi_flow_info)));

на

_logger.fatal("Not enough memory for flows pool. Tried to allocate %d bytes on socket %d", (int) ((fh->getHashSizeIPv4() + fh->getHashSizeIPv6())*sizeof(struct ext_dpi_flow_info)), socketid);

И приведите измененное сообщение из лога.

 

И что-то очень много max_active_flows_ipv4 и max_active_flows_ipv6. Поставьте:

[dpi]
max_active_flows_ipv4=1200000
max_active_flows_ipv6=40000

 

Изменено 24 октября, 2017 пользователем max1976

[RadioSintetica]

Если на одном ядре память: 

EAL: Detected 12 lcore(s)
EAL: No free hugepages reported in hugepages-1048576kB
EAL: Probing VFIO support...
EAL: PCI device 0000:04:00.0 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
EAL: PCI device 0000:04:00.1 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
acl context <extFilter-ipv4-acl0-0>@0x7fbaf08d8000
  socket_id=0
  alg=2
  max_rules=100000
  rule_size=96
  num_rules=49
  num_categories=1
  num_tries=1
ACL: allocation of 9600904 bytes on socket 1 for ACL_extFilter-ipv4-acl1-0 failed
[root@dpdk etc]# 

[max1976]

Только что, RadioSintetica сказал:

EAL: No free hugepages reported in hugepages-1048576kB

Ключевая проблема.

[RadioSintetica]

Гигобайтные hugepages нельзя изменить после загрузки. Выделяются они каждой ноде. Это боль. 

сделал

echo 18048 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages

echo 18048 > /sys/devices/system/node/node1/hugepages/hugepages-2048kB/nr_hugepages

но dpdk их не видит...

[RadioSintetica]

2017-10-24 17:45:42.376 [1356] Information Application - Initializing dpi flow hash with ipv4 max flows 240000, ipv6  max flows 8000.
2017-10-24 17:45:42.377 [1356] Information Application - Create pool 'URLPool-10' for urls with number of entries: 49600, size: 29809600 bytes
2017-10-24 17:45:42.381 [1356] Information Application - Create pool 'DPIPool-10' for http dissector with number of entries: 49600, size: 1587200 bytes
2017-10-24 17:45:42.404 [1356] Fatal WorkerThread-10 - Not enough memory for flows pool. Tried to allocate 87296000 bytes on socket 0
2017-10-24 17:45:42.404 [1356] Error Application - Exception: Not enough memory for flows pool
 

 cat /sys/devices/system/node/node0/hugepages/hugepages-1048576kB/nr_hugepages
32

на машине 72 гига. 65 почти занято

 

[max1976]

4 минуты назад, RadioSintetica сказал:

2017-10-24 17:45:42.376 [1356] Information Application - Initializing dpi flow hash with ipv4 max flows 240000, ipv6  max flows 8000.
2017-10-24 17:45:42.377 [1356] Information Application - Create pool 'URLPool-10' for urls with number of entries: 49600, size: 29809600 bytes
2017-10-24 17:45:42.381 [1356] Information Application - Create pool 'DPIPool-10' for http dissector with number of entries: 49600, size: 1587200 bytes
2017-10-24 17:45:42.404 [1356] Fatal WorkerThread-10 - Not enough memory for flows pool. Tried to allocate 87296000 bytes on socket 0
2017-10-24 17:45:42.404 [1356] Error Application - Exception: Not enough memory for flows pool
 

 cat /sys/devices/system/node/node0/hugepages/hugepages-1048576kB/nr_hugepages
32

на машине 72 гига. 65 почти занято

 

Попробуйте запустить на 4 ядрах

 queues = 0,2; 1,4; 2,6; 3,8

 

[RadioSintetica]

3 минуты назад, max1976 сказал:

Попробуйте запустить на 4 ядрах

 queues = 0,2; 1,4; 2,6; 3,8

 

так сейчас и работает: Port 0 input packets 131801326, input errors: 0, mbuf errors: 0, missed packets: 6648

[RadioSintetica]

queues = 0,1; 1,2; 2,3; 3,4; 4,5; 5,6; 6,7; и почти нет missed packets .... я уже сам во всем запутался=)

Information Application - All worker threads seen packets: 545075226, IP packets: 545075226 (IPv4 packets: 545075226, IPv6 packets: 0), seen bytes: 251389807266, traffic throughtput: 1.17 M pps

Изменено 24 октября, 2017 пользователем RadioSintetica

[max1976]

3 часа назад, RadioSintetica сказал:

queues = 0,1; 1,2; 2,3; 3,4; 4,5; 5,6; 6,7; и почти нет missed packets .... я уже сам во всем запутался=)

Information Application - All worker threads seen packets: 545075226, IP packets: 545075226 (IPv4 packets: 545075226, IPv6 packets: 0), seen bytes: 251389807266, traffic throughtput: 1.17 M pps

Какой процессор используется в сервере?

[max1976]

3 часа назад, RadioSintetica сказал:

queues = 0,1; 1,2; 2,3; 3,4; 4,5; 5,6; 6,7; и почти нет missed packets .... я уже сам во всем запутался=)

Information Application - All worker threads seen packets: 545075226, IP packets: 545075226 (IPv4 packets: 545075226, IPv6 packets: 0), seen bytes: 251389807266, traffic throughtput: 1.17 M pps

Какой процессор используется в сервере?

[RadioSintetica]

1 час назад, max1976 сказал:

Какой процессор используется в сервере?

 X5650  @ 2.67GHz - 2 процессора. 

[arhead]

Походу опять добавили адреса задним числом. Два пропуска IP показал отчет.

[Antares]

27 минут назад, arhead сказал:

Походу опять добавили адреса задним числом. Два пропуска IP показал отчет.

Каждый день это практикуют. Ни как не могу подстроится под это

[max1976]

1 час назад, arhead сказал:

Походу опять добавили адреса задним числом. Два пропуска IP показал отчет.

Эти пропуски делаются легко - ревизор перед проверкой скачивает новые списки и проверяет, а у вас эти ip ещё не попали в список блокировки. Таким образом, пропуски можно получить практически со 100% вероятностью. Думаю что даже при 5 минутной проверке реестра есть шанс получить пропуск.

[alibek]

Фич-реквест.

Анализировать трафик, выявлять обращения за реестром и получаемый реестр перехватывать (копировать) и сразу же применять.

Во-первых, исчезнет временной лаг между обновлениями ACL и проверками.

Во-вторых, будет экономия трафика (сейчас реестр загружается два раза, оператором и Ревизором).

[zhenya`]

ревизор его спрашивает по https. Как предлагает это ловить?

[alibek]

Жаль.

Хотя mitm-ить можно, это же не абонент, нарушений тут нет.

[dee]

7 часов назад, alibek сказал:

Фич-реквест.

Анализировать трафик, выявлять обращения за реестром и получаемый реестр перехватывать (копировать) и сразу же применять.

Во-первых, исчезнет временной лаг между обновлениями ACL и проверками.

Во-вторых, будет экономия трафика (сейчас реестр загружается два раза, оператором и Ревизором).

эээ вообще читали механизм работы этой "коробочки" то ? 

сама коробка никуда не лазает и ничего не проверяет , она обменивается по ссл с ядром и ждёт команду на открытие ssh службы , на которую уже подключается сам проверяльщик и уже по своим спискам , которые он и так знает - начинает проверять твою сеть на доступность (игнорируя твои днсы и вообще всё что ты бы мог ему подловить). Ревизор не в коробке . на хабре есть точное описание его работы.

[dee]

поделитесь инфой , у кого как долго отрабатывает extfilter_maker.pl , у меня вроде не слабая конфа , но тыркается минут 15 ....

[myth]

Что-то около того

[Antares]

6 минут назад, dee сказал:

поделитесь инфой , у кого как долго отрабатывает extfilter_maker.pl , у меня вроде не слабая конфа , но тыркается минут 15 ....

Да нет, на i7 3770 отрабатывает за 3-5 минут.

[dee]

ещё меня всё терзает сомнение целесообразности использования tuned , в его логе я наблюдаю :\

2017-10-17 13:37:38,092 INFO     tuned.daemon.application: dynamic tuning is enabled (can be overriden in plugins)
2017-10-17 13:37:38,093 INFO     tuned.daemon.daemon: using sleep interval of 1 second(s)
2017-10-17 13:37:38,094 INFO     tuned.daemon.daemon: dynamic tuning is enabled (can be overriden by plugins)
2017-10-17 13:37:38,094 INFO     tuned.daemon.daemon: using update interval of 10 second(s) (10 times of the sleep interval)
2017-10-17 13:37:38,111 INFO     tuned.profiles.loader: loading profile: dpdk-tune
2017-10-17 13:37:38,119 INFO     tuned.daemon.controller: starting controller
2017-10-17 13:37:38,120 INFO     tuned.daemon.daemon: starting tuning
2017-10-17 13:37:38,127 INFO     tuned.plugins.base: instance cpu: assigning devices cpu6, cpu7, cpu4, cpu5, cpu2, cpu3, cpu0, cpu1
2017-10-17 13:37:38,135 WARNING  tuned.plugins.plugin_cpu: your CPU doesn't support MSR_IA32_ENERGY_PERF_BIAS, ignoring CPU energy performance bias
2017-10-17 13:37:38,136 INFO     tuned.plugins.plugin_bootloader: installing additional boot command line parameters to grub2
2017-10-17 13:37:38,136 ERROR    tuned.plugins.plugin_bootloader: cannot find grub.cfg to patch, you need to regenerate it by hand by grub2-mkconfig
2017-10-17 13:37:38,153 ERROR    tuned.utils.commands: Executing sysctl error: sysctl: cannot stat /proc/sys/kernel/sched_min_granularity_ns: No such file or directory
2017-10-17 13:37:38,157 ERROR    tuned.utils.commands: Executing sysctl error: sysctl: cannot stat /proc/sys/kernel/sched_migration_cost_ns: No such file or directory
2017-10-17 13:37:38,161 INFO     tuned.plugins.plugin_sysctl: reapplying system sysctl
2017-10-17 13:37:38,163 INFO     tuned.plugins.plugin_cpu: setting governor 'performance' on cpu 'cpu6'
2017-10-17 13:37:38,164 INFO     tuned.plugins.plugin_cpu: setting governor 'performance' on cpu 'cpu7'
2017-10-17 13:37:38,164 INFO     tuned.plugins.plugin_cpu: setting governor 'performance' on cpu 'cpu4'
2017-10-17 13:37:38,164 INFO     tuned.plugins.plugin_cpu: setting governor 'performance' on cpu 'cpu5'
2017-10-17 13:37:38,165 INFO     tuned.plugins.plugin_cpu: setting governor 'performance' on cpu 'cpu2'
2017-10-17 13:37:38,165 INFO     tuned.plugins.plugin_cpu: setting governor 'performance' on cpu 'cpu3'
2017-10-17 13:37:38,165 INFO     tuned.plugins.plugin_cpu: setting governor 'performance' on cpu 'cpu0'
2017-10-17 13:37:38,166 INFO     tuned.plugins.plugin_cpu: setting governor 'performance' on cpu 'cpu1'
2017-10-17 13:37:38,166 INFO     tuned.plugins.plugin_cpu: setting new cpu latency 1
2017-10-17 13:37:38,166 INFO     tuned.daemon.daemon: static tuning from profile 'dpdk-tune' applied

из которого видно , что он реально только меняет гувернёра , всё остальное не делает , с тем же успехом я могу руками всё указывать без этого tuned ?

(что собственно с hugepages я и так делаю ручками через :

echo 1536 > /sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages

, получается  всё же не так он и нужен , можно ручками изолировать cpu через загрузчик и указать hugepages нужного размера , ну и гувернёра подкрутить если это вообще нужно.

[ixi]

2 часа назад, dee сказал:

поделитесь инфой , у кого как долго отрабатывает extfilter_maker.pl , у меня вроде не слабая конфа , но тыркается минут 15 ....

На моём стареньком -- 25 минут. Уже плюнул на него и пишу своего франкенштейна, 30с на том же железе.

[myth]

и урлы исправляет?

[zhenya`]

Посмотрите чтобы в таблице zap2_ips был индекс по полю record_id.