1. Для блокировка используем

[Piyoz]

удалено

разобрался

Изменено 15 марта, 2018 пользователем Piyoz

[LynxChaus]

1 hour ago, oleg_n said:

А что разве кто-то ещё блочит с разрешением имён? Вроде ж все перешли на http/sni разбор(кроме, конечно, ip-записей из реестра).

Вчера ТТК с грохотом падало. С ихними объемами фильтровать всё и вся через через mirror порта - это непозволительная роскошь.

 

 

[alibek]

11 минут назад, LynxChaus сказал:

это непозволительная роскошь

А падать — позволительная роскошь?

[LynxChaus]

В случае с РКН - да. Защитили пользователей от "запрещенной инфы" совсем.

[myth]

26 минут назад, LynxChaus сказал:

Вчера ТТК с грохотом падало.

У нас тоже. Даже телефоны недоступны были

[epollia]

3 часа назад, nevsik сказал:

какое железо?

CPU E5-2630 v2 @ 2.60GHz

24Гб ОЗУ

 

5 ядер отдал dpdk и 17 гигов

[dFaust]

Добрый день! пробую для теста. чувствую, что то сделано не так 
extfilter запущен
в логе есть строки
 

Цитата

2018-03-15 14:26:05.160 [3131] Information Application - Port 0 input packets 545473, input errors: 0, mbuf errors: 0, missed packets: 0
2018-03-15 14:26:05.160 [3131] Information Application - Port 1 input packets 255, input errors: 0, mbuf errors: 746038, missed packets: 0
 

очень смущает mbuf errors: 746038    в какую сторону глянуть?
Спасибо!

 

[max1976]

26 минут назад, dFaust сказал:

очень смущает mbuf errors: 746038    в какую сторону глянуть?

Это интерфейс для отсылки ответов от фильтра. Видимо у вас много трафика летит на этот интерфейс. Не стоит обращать внимание на mbuf errors для данного интерфейса.

[dFaust]

Да, это порт для ответов. Спасибо!

[SokolovS]

2 часа назад, max1976 сказал:

Это интерфейс для отсылки ответов от фильтра. Видимо у вас много трафика летит на этот интерфейс. Не стоит обращать внимание на mbuf errors для данного интерфейса.

А может туда по ошибке трафик зеркалируют и на этот порт тоже?

 

Кстати у меня тоже на интерфейсе с которого идут ответы почему-то растет RX-missed и как-то странно.

RX-packets: 1024

RX-bytes: 63816

RX-missed: 195395

 

Не понятно как на 1024 входящих пакетов значение RX-missed: 195395.

На работу это не влияет.

 

12 часов назад, epollia сказал:

Сейчас в пике пролетает через него 3,5 гига. При учете того, что это уже трафик отфильтрованный от p2p и там большая часть это Браузинг. Примерно 1,5 Mpps

Какими средствами отфильтровали? Тоже возникает идея отфильтровать SPAN трафик средствами VACL. Только вот как актуализировать список портов, периодически в реестре появляются нестандартные.

[alexwin]

9 часов назад, virus_net сказал:

Это новый тип атаки на списки. Помимо резолва в 127.0.0.1, 0.0.0.0, подставление IP-адресов yandex и google и т.п.

Кто-то догадался, что можно взять и отрезолвить домен на кучу адресов

А что здесь нового технически,поясните? Когда стали отдавать dns'ом адреса других ресурсов,вполне это можно было ожидать.

 

8 часов назад, oleg_n сказал:

А что разве кто-то ещё блочит с разрешением имён? Вроде ж все перешли на http/sni разбор(кроме, конечно, ip-записей из реестра).

Видимо те,кого еще РКН особо не трахал за некорректную или избыточную блокировку.

 

А теперь представьте,если бы они [тех,кого еще хорошенько не трахали] залетели на этом на период предстоящих выборов. Так что пусть еще радуются и делают выводы.

Изменено 15 марта, 2018 пользователем alexwin

[nemo_lynx]

5 часов назад, myth сказал:

У нас тоже. Даже телефоны недоступны были

Это правильно! А ну как абонент начнёт звонить на запрещённый сайт, когда фильтрация не работает!

[oleg_n]

17 hours ago, alexwin said:

 

23 hours ago, oleg_n said:

А что разве кто-то ещё блочит с разрешением имён? Вроде ж все перешли на http/sni разбор(кроме, конечно, ip-записей из реестра).

Видимо те,кого еще РКН особо не трахал за некорректную или избыточную блокировку.

 

Я-то думал уже все перетраханы :-).

Изменено 16 марта, 2018 пользователем oleg_n

[Галушко Дмитрий]

В 14.03.2018 в 13:59, bbapkk сказал:

Господа, поделитесь опытом. Кто-нибудь через extfilter 500+ Мбит пропускал? Какие аппаратные мощности у вас под это используются? Наконец-то дошли руки из песочницы сделать нормальную блокировку для всех физиков, собираю тазик вот.

 

extfilter а это что такое?

 

И там опрос 

 там производители Систем фильтрации указаны основные...

[alexwin]

1 час назад, virus_net сказал:

Те у кого нет миллионов рублей на обеспечение всех "хочу" Роскомнадзора, который головой ну совсем не думает, да и самое печальное - НЕ ХОЧЕТ думать.

Никогда не понимал как можно настолько наплевательски относиться к своей работе... Не видел ни одного комментария от них по произошедшему. Кто-то видел ? Если да, то поделитесь ссылкой.

Вы думаете,они выйдут и громогласно объявят: "Да,мы обосрались!"? Потому что следующим будет вопрос: "А нахрена вы тогда такие рукожопые нужны?".

 

Насчет триллионов.Сколько стоит extfilter?

[alexwin]

2 часа назад, virus_net сказал:

Да, наверно можно было, но такие идеи приходят только в больную голову, тем кто любить ломать, а не строить. Знал бы где упаду, соломку б подстелил.

У вас нет ИБшника,очевидно и на нем "сэкономили"? ;)

[SokolovS]

В 16.03.2018 в 13:11, Галушко Дмитрий сказал:

extfilter а это что такое?

Свободно распространяемый софт для организации DPI пассивного типа. Аналог решений Барьер и CyberFilter в инсталляциях на 5-6 Гбит/c. Поддержка Ревизора по телефону его рекомендует в качестве бесплатной замены собственных кустарных решений.

[Галушко Дмитрий]

20 часов назад, SokolovS сказал:

Свободно распространяемый софт для организации DPI пассивного типа. Аналог решений Барьер и CyberFilter в инсталляциях на 5-6 Гбит/c. Поддержка Ревизора по телефону его рекомендует в качестве бесплатной замены собственных кустарных решений.

СпасиБо за ответ! Свободно, т.е бесплатно?

[ne-vlezay80]

>Насчет триллионов.Сколько стоит extfilter?

 

0.00 руб (лицензия с открытым исходным кодом)

[st_re]

к сожалению софта самого по себе мало, нужно еще и железо... причем если у вас изрядно >10Г то оно будет стоить ой не дешево..

Но железо нужно по любому, хоть с платным софтом, хоть с бесплатным, хоть со сквидом, хоть еще с чем. А если в фильтровалку загонять только то что есть в реестре, то трафик сократится в разы и железо будет стоить сильно меньше... Но придется самому ресолвить. Но вот тут попался болт с левой резьбой и оно просто склеилось на количестве IP для загоняния. Это уже не первй болт, и не последний.. Причем болты раскладываются с завидной регулярностью как обидевшимися заблокированными ресурсами так и надзором.

 

[alexwin]

3 часа назад, ne-vlezay80 сказал:

>Насчет триллионов.Сколько стоит extfilter?

 

0.00 руб (лицензия с открытым исходным кодом)

А оратор выше утверждал,что у него на это денег нет.

[ne-vlezay80]

1 минуту назад, alexwin сказал:

А оратор выше утверждал,что у него на это денег нет.

раз на свободный софт денег нет, значит и на спецодежду для сотрудников тоже нет)))

[alexwin]

1 час назад, st_re сказал:

к сожалению софта самого по себе мало, нужно еще и железо... причем если у вас изрядно >10Г то оно будет стоить ой не дешево

Можно горизонтально отмаштабировать на сегментах в сети. Плюсы: нету SPOF,железо дешевле.

 

1 час назад, st_re сказал:

 Но вот тут попался болт с левой резьбой и оно просто склеилось на количестве IP для загоняния. Это уже не первй болт, и не последний.. Причем болты раскладываются с завидной регулярностью как обидевшимися заблокированными ресурсами так и надзором.

Как там говориться "Скупой платит дважды"/"Жадность фрайера сгубила"...

 

1 минуту назад, ne-vlezay80 сказал:

раз на свободный софт денег нет, значит и на спецодежду для сотрудников тоже нет)))

Да,анекдот знаете такой?:

 

Цитата

- Пап,пап,я хочу кушать!

- Я тоже хочу сынок,но денег у нас только на водку...

 

[st_re]

1 минуту назад, alexwin сказал:

Можно горизонтально отмаштабировать на сегментах в сети. Плюсы: нету SPOF,железо дешевле.

 

Как там говориться "Скупой платит дважды"/"Жадность фрайера сгубила"...

Ну точно также будет масштабироваться и цена :)

 

Там, кстати было продолжение, про ",а дурак всегда".. Еще вопрос кого и что сгубит в итоге. :/

[alexwin]

6 минут назад, st_re сказал:

Ну точно также будет масштабироваться и цена :)

Увы,иногда это единственный выход.Особенно,в крупных сетях,рано или поздно может оказаться,что нужной железки по мощности уже в природе нет.