epollia Опубликовано 4 декабря, 2017 · Жалоба Добрый день. Поймал следующий баг. Есть домен индивидуалка.com в реестре записано блокировать как домен. в конфигах он есть как grep xn--80aaehbvbbujp1f.com -R ./* ./domains:xn--80aaehbvbbujp1f.com ./ssl_host:xn--80aaehbvbbujp1f.com А ревизор зачекал пропуск на http://ww11.xn--80aaehbvbbujp1f.com/ очевидно что данный домен должен был попасть как *.xn--80aaehbvbbujp1f.com/ Хотя в базе entry_type = 1 Подскажите где исправить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 4 декабря, 2017 · Жалоба 30 минут назад, epollia сказал: Добрый день. Поймал следующий баг. Есть домен индивидуалка.com в реестре записано блокировать как домен. в конфигах он есть как grep xn--80aaehbvbbujp1f.com -R ./* ./domains:xn--80aaehbvbbujp1f.com ./ssl_host:xn--80aaehbvbbujp1f.com А ревизор зачекал пропуск на http://ww11.xn--80aaehbvbbujp1f.com/ очевидно что данный домен должен был попасть как *.xn--80aaehbvbbujp1f.com/ Хотя в базе entry_type = 1 Подскажите где исправить? С чего вы решили что это баг? В реестр внесено без '*.', поэтому с добавлением 'ww1.' является другим доменом и не попадает под блокировку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 4 декабря, 2017 (изменено) · Жалоба 30 минут назад, max1976 сказал: С чего вы решили что это баг? В реестр внесено без '*.', поэтому с добавлением 'ww1.' является другим доменом и не попадает под блокировку. с того, что в отчете ревизора получил ID записи реестра 420926 Идентификатор (URL/domain/IP) http://ww11.xn--80aaehbvbbujp1f.com/все-объявления/chelyabinsk, 91.195.240.107, GET Тип информации суд Время включения записи в реестр (UTC) 23.01.2017 16:28 HTTP статус 200 Адрес перенаправления С: http://индивидуалка.com/все-объявления/chelyabinsk (103.224.212.245) Понятно что с точки зрения реестра все норм. Возможно я не правильно понимаю смысл записейчас в отчете. А именно не понятен столбец "Адрес перенаправления". Можете объяснть его смысл. Это первоначальный URL или URL на который происходит редирект? Изменено 4 декабря, 2017 пользователем epollia Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 4 декабря, 2017 · Жалоба Это означает, что вместо блокировки сработал редирект на ww11, то есть обращение к сайту не было заблокировано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 4 декабря, 2017 · Жалоба Только что, alibek сказал: Это означает, что вместо блокировки сработал редирект на ww11. супер. Спасибо т.е. Если это поле пустое, занчит просто открылась запрашиваемая страница? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 4 декабря, 2017 · Жалоба Только что, epollia сказал: супер. Спасибо т.е. Если это поле пустое, занчит просто открылась запрашиваемая страница? Да. Видимо вы обновили фильтр позже чем ревизор начал проверку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 4 декабря, 2017 · Жалоба Только что, epollia сказал: т.е. Если это поле пустое, занчит просто открылась запрашиваемая страница? Да так и есть. Как же задрал РКН адреса добавлять новые, смысл блокировки этих адресов амазона. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oleg_n Опубликовано 4 декабря, 2017 · Жалоба 7 минут назад, arhead сказал: Да так и есть. Как же задрал РКН адреса добавлять новые, смысл блокировки этих адресов амазона. А зачем реестр, если в него не добавлять адреса :-)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 4 декабря, 2017 (изменено) · Жалоба Вопрос по функционалу ExtFilter. Если я туда затеркалю трафик c порта где несколько Vlan в транке настроены, extfilter будет работать? Изменено 4 декабря, 2017 пользователем epollia Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 декабря, 2017 · Жалоба насколько мне помнится, тэги игнорируются Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 4 декабря, 2017 · Жалоба Т.е. пакеты с тегом обрабатывается не будут? Или ему плевать на тег)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 4 декабря, 2017 · Жалоба 9 минут назад, epollia сказал: Т.е. пакеты с тегом обрабатывается не будут? Или ему плевать на тег)? Плевать на тег. У меня канал аплинков тегированные зеркалируются. Все работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
layNiko Опубликовано 5 декабря, 2017 · Жалоба Доброго всем дня! Отдельное !спасибо! Максу за труды и всем кто хоть как-то принял участие в разработке. Периодически падает фильтр и в логах вот это: Цитата Dec 4 18:40:53 rkn systemd[1]: Reloading extFilter is a daemon for filtering traffic using DPDK. Dec 4 18:40:53 rkn systemd[1]: Reloaded extFilter is a daemon for filtering traffic using DPDK. Dec 4 18:41:11 rkn systemd[1]: extfilter.service: Main process exited, code=killed, status=6/ABRT Dec 4 18:41:11 rkn systemd[1]: extfilter.service: Unit entered failed state. Dec 4 18:41:11 rkn systemd[1]: extfilter.service: Failed with result 'signal'. А так же очень много жалуется в логах на дублирующиеся записи. Очистил базу, удалил файлы с доменами и прочим запустил запрет.пл потом мэйкер, запустл фильтр и снова в логах море Цитата 2017-12-05 11:26:14.711 [3983] Warning Application - Pattern 'betsbc-anlk.space' already present in the database from file /usr/local/etc/extfilter/ssl_host 2017-12-05 11:26:14.711 [3983] Warning Application - Pattern 'zenitwe.win' already present in the database from file /usr/local/etc/extfilter/ssl_host 2017-12-05 11:26:14.711 [3983] Warning Application - Pattern 'betsbc-fhqa.space' already present in the database from file /usr/local/etc/extfilter/ssl_host Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 5 декабря, 2017 (изменено) · Жалоба 6 минут назад, layNiko сказал: Доброго всем дня! Отдельное !спасибо! Максу за труды и всем кто хоть как-то принял участие в разработке. Периодически падает фильтр и в логах вот это: А так же очень много жалуется в логах на дублирующиеся записи. Очистил базу, удалил файлы с доменами и прочим запустил запрет.пл потом мэйкер, запустл фильтр и снова в логах море Фильтр завершает работу из-за проблем с доступом к файлам со списками для блокировки. На сообщение в логе о дубликатах не обращайте внимание (при условии что используются последние версии фильтра и скрипта). Изменено 5 декабря, 2017 пользователем max1976 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
layNiko Опубликовано 5 декабря, 2017 · Жалоба Все пути верны, файлы созданы скриптом и имеют права на чтение для всех. Происходит это при перезапуске фильтра скриптом мэйкером но не постоянно - может отработать трое суток или меньше. Скрипт запускается раз в два часа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 5 декабря, 2017 · Жалоба 32 минуты назад, layNiko сказал: Доброго всем дня! Отдельное !спасибо! Максу за труды и всем кто хоть как-то принял участие в разработке. Периодически падает фильтр и в логах вот это: А так же очень много жалуется в логах на дублирующиеся записи. Очистил базу, удалил файлы с доменами и прочим запустил запрет.пл потом мэйкер, запустл фильтр и снова в логах море Было такое на старом железе, решить удалось только заменой. Что за проц у Вас? зы. сегодня обнаружил проблему с extfilter_quagga.pl, после генерации правил не завершает работу. Пока перевёл фильтрацию по ip only на iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
layNiko Опубликовано 5 декабря, 2017 · Жалоба 10 минут назад, Antares сказал: Было такое на старом железе, решить удалось только заменой. Что за проц у Вас? Intel Celeron N3150 1.6 ГГц. Железо не особо высокой производительности - трфик не большой примерно 500Мбит. Статистика фильтра выдает 0 пропусков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 5 декабря, 2017 · Жалоба У меня примерно такой же трафик, был проц Intel(R) Xeon(R) CPU E5410 на HP серваке. Пришлось уйти на i7 3770 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 5 декабря, 2017 · Жалоба 19 минут назад, layNiko сказал: Intel Celeron N3150 1.6 ГГц. Железо не особо высокой производительности - трфик не большой примерно 500Мбит. Статистика фильтра выдает 0 пропусков. Для фильтра нужно много памяти. Сколько памяти в сервере? 33 минуты назад, Antares сказал: зы. сегодня обнаружил проблему с extfilter_quagga.pl, после генерации правил не завершает работу. Пока перевёл фильтрацию по ip only на iptables Была такая проблема. Скрипт запускался в нескольких экземплярах. Я добавил проверку на предмет уже запущенного скрипта (выложил на github). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
layNiko Опубликовано 5 декабря, 2017 · Жалоба 1 час назад, max1976 сказал: Фильтр завершает работу из-за проблем с доступом к файлам со списками для блокировки. 35 минут назад, Antares сказал: Было такое на старом железе, решить удалось только заменой. Честно говоря не вижу связи между доступом к файлам и процессором. Будь проблема с железом это происходило бы при каждой перезагрузке. 2 минуты назад, max1976 сказал: Для фильтра нужно много памяти. Сколько памяти в сервере? Памяти 8 Гигабайт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 5 декабря, 2017 · Жалоба 1 минуту назад, layNiko сказал: Честно говоря не вижу связи между доступом к файлам и процессором. Будь проблема с железом это происходило бы при каждой перезагрузке. Выяснить точную причину сможет только core dump файл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
layNiko Опубликовано 5 декабря, 2017 (изменено) · Жалоба 23 минуты назад, max1976 сказал: Выяснить точную причину сможет только core dump файл. Прошу прощения за некомпетентность, но можно чуть подробнее об процедуре получения этого файла? Нашел: ulimit -c unlimited Сделал. Теперь, если правильно понимаю, ждать падения фильтра.... Изменено 5 декабря, 2017 пользователем layNiko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 5 декабря, 2017 · Жалоба 24 минуты назад, max1976 сказал: Была такая проблема. Скрипт запускался в нескольких экземплярах. Я добавил проверку на предмет уже запущенного скрипта (выложил на github). Непомогло Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 5 декабря, 2017 · Жалоба 33 минуты назад, Antares сказал: Непомогло В каком режиме скрипт работает с quagga? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 5 декабря, 2017 · Жалоба 1 минуту назад, max1976 сказал: В каком режиме скрипт работает с quagga? В каком смысле??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
