Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

5 минут назад, dee сказал:

ничего себе кода наисправлено из-за этой штуки (которая у меня хоть не блочится , но не открывается :) 

Там были и другие правки, не опубликованные ранее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@max1976  Сколько примерно может обработать сервер на 2 x Intel® Xeon® X5670 и карта 82580 Gigabit Network Connection 4 портовая или 82576 Gigabit Network Connection встроенная.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, arhead сказал:

@max1976  Сколько примерно может обработать сервер на 2 x Intel® Xeon® X5670 и карта 82580 Gigabit Network Connection 4 портовая или 82576 Gigabit Network Connection встроенная.

Честно говоря не знаю. Процессор не новый, а DPDK больше ориентирован на современные процессоры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, max1976 сказал:

Честно говоря не знаю. Процессор не новый, а DPDK больше ориентирован на современные процессоры.

Сейчас просто задействовано 5 ядер проца. Пропущенных пакетов было ну не более 200 за месяц (и то сейчас трафик уменьшился по сравнению с зимой). Исходящего трафика от пользователей около гигабита максимальный 132 K pps. Летом то понятно меньше пользователи в инете сидят. Наврное в скором времени начальству говорить новый сервер покупать с более современным процом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, arhead сказал:

Сейчас просто задействовано 5 ядер проца. Пропущенных пакетов было ну не более 200 за месяц (и то сейчас трафик уменьшился по сравнению с зимой). Исходящего трафика от пользователей около гигабита максимальный 132 K pps. Летом то понятно меньше пользователи в инете сидят. Наврное в скором времени начальству говорить новый сервер покупать с более современным процом.

Попробуйте exp ветку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, max1976 сказал:

Попробуйте exp ветку.

Да вот сижу разрабатывают как правильно BRASы все отзеркалировать и порт выделить еще один для отсылки. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, arhead сказал:

Да вот сижу разрабатывают как правильно BRASы все отзеркалировать и порт выделить еще один для отсылки. 

 

я сделал проще , у меня есть один влан с 30 маской после роутера уже , из которых 1 ip  на брасе , 1 на управлении фильтра и в том же влане ещё сетёвка шлёт ответы на мак сетёвки на брасе в этом же влане . Всё работает нормуль , один минус - ещё один порт на фильтре в dpdk , но у меня на машине порядка 12 сетёвок и по этому не жалко , к томуже можно для этих целей гонять сетёку e1000e  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, dee сказал:

я сделал проще , у меня есть один влан с 30 маской после роутера уже , из которых 1 ip  на брасе , 1 на управлении фильтра и в том же влане ещё сетёвка шлёт ответы на мак сетёвки на брасе в этом же влане . Всё работает нормуль , один минус - ещё один порт на фильтре в dpdk , но у меня на машине порядка 12 сетёвок и по этому не жалко , к томуже можно для этих целей гонять сетёку e1000e

Я так и думаю сделать. Вот зеркалировать думаю как сразу два браса в один порт или раскинуть по портам. Один брас у меня просто подключен одним линком. А вот второй уже port-channel. Думаю правильно один брас в один порт и машрутизатор офисный и второй брас который несколько портов в один. Сейчас зеркалируютсяв один порт аплинки (гигабит и второй port-channel). Хоть и ревизор за nfqfilter пропуски все равно бывают один два. Вот и думаю всю эту схему изменить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@max1976, расскажите плз, отчего так:

snmpwalk -v2c -c extfilter localhost .1.3.6.1.3.1983.1
.1.3.6.1.3.1983.1.1.1.0 = INTEGER: 1
.1.3.6.1.3.1983.1.1.2.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat"
.1.3.6.1.3.1983.1.1.2.1.3.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/var/run/extfilter-stat/readers"
.1.3.6.1.3.1983.1.1.2.1.4.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = ""
.1.3.6.1.3.1983.1.1.2.1.5.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 5
.1.3.6.1.3.1983.1.1.2.1.6.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.2.1.7.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.2.1.20.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 4
.1.3.6.1.3.1983.1.1.2.1.21.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.3.1.1.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied"
.1.3.6.1.3.1983.1.1.3.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied"
.1.3.6.1.3.1983.1.1.3.1.3.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.3.1.4.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.4.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115.1 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied"
.1.3.6.1.3.1983.1.2.1.0 = INTEGER: 1
.1.3.6.1.3.1983.1.2.2.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat"
.1.3.6.1.3.1983.1.2.2.1.3.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/var/run/extfilter-stat/workers"
.1.3.6.1.3.1983.1.2.2.1.4.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = ""
.1.3.6.1.3.1983.1.2.2.1.5.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 5
.1.3.6.1.3.1983.1.2.2.1.6.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.2.1.7.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.2.1.20.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 4
.1.3.6.1.3.1983.1.2.2.1.21.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.3.1.1.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied"
.1.3.6.1.3.1983.1.2.3.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied"
.1.3.6.1.3.1983.1.2.3.1.3.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.3.1.4.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.4.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115.1 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied"

и что это за цифры типа: 13.119.111.114.107.101.114.115.95.115.116.97.116.115 ?
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, Bl_cK сказал:

@max1976, расскажите плз, отчего так:


snmpwalk -v2c -c extfilter localhost .1.3.6.1.3.1983.1
.1.3.6.1.3.1983.1.1.1.0 = INTEGER: 1
.1.3.6.1.3.1983.1.1.2.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat"
.1.3.6.1.3.1983.1.1.2.1.3.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/var/run/extfilter-stat/readers"
.1.3.6.1.3.1983.1.1.2.1.4.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = ""
.1.3.6.1.3.1983.1.1.2.1.5.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 5
.1.3.6.1.3.1983.1.1.2.1.6.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.2.1.7.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.2.1.20.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 4
.1.3.6.1.3.1983.1.1.2.1.21.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.3.1.1.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied"
.1.3.6.1.3.1983.1.1.3.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied"
.1.3.6.1.3.1983.1.1.3.1.3.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.3.1.4.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.1.4.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115.1 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied"
.1.3.6.1.3.1983.1.2.1.0 = INTEGER: 1
.1.3.6.1.3.1983.1.2.2.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat"
.1.3.6.1.3.1983.1.2.2.1.3.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/var/run/extfilter-stat/workers"
.1.3.6.1.3.1983.1.2.2.1.4.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = ""
.1.3.6.1.3.1983.1.2.2.1.5.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 5
.1.3.6.1.3.1983.1.2.2.1.6.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.2.1.7.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.2.1.20.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 4
.1.3.6.1.3.1983.1.2.2.1.21.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.3.1.1.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied"
.1.3.6.1.3.1983.1.2.3.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied"
.1.3.6.1.3.1983.1.2.3.1.3.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.3.1.4.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1
.1.3.6.1.3.1983.1.2.4.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115.1 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied"

и что это за цифры типа: 13.119.111.114.107.101.114.115.95.115.116.97.116.115 ?
 

https://convert.town/ascii-to-text

119.111.114.107.101.114.115.95.115.116.97.116.115 = workers_stats

13 - длина строки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, arhead сказал:

82576 Gigabit Network Connection встроенная.

Нормально работает, кстати? Когда я пробовал, DPDK падал при подключении двух таких встроенных карт одновременно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

31 minutes ago, Bl_cK said:

расскажите плз, отчего так:


snmpwalk -v2c -c extfilter localhost .1.3.6.1.3.1983.1
...
.1.3.6.1.3.1983.1.1.3.1.1.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied"
...

и что это за цифры типа: 13.119.111.114.107.101.114.115.95.115.116.97.116.115 ?
 

над настроить SELinux:

https://thwack.solarwinds.com/thread/110731

теперь выдаёт примерно:

Quote

SNMPv2-SMI::experimental.1983.1.2.3.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "allworkers.total_packets:123183098 allworkers.ip_packets:123104563 allworkers.ipv4_packets:123103163 allworkers.matched_ip_port:0 allworkers.matched_ssl:3926 allworkers.matched_ssl_ip:0 allworkers.matched_domains:321 allworkers.matched_ulrs:7218"

allreaders в extfilter_stat нынче не пишутся, так что readers ветку в скрипте extfilter-cacti переписать бы на allports.

Да и неплохо было бы все счётчики получать не строкой, а отдельными ветками

Изменено пользователем Bl_cK

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, Davion сказал:

Пользователи ExtFilter проверьте плиз  ссылку http://online.cdn.stream.strah.tv:9999  не блокируется ли у вас?

У меня предыдущая версия extfilter, но данная ссылка у меня не блокируется, но и не открылась

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый вечер.

 

Не могу разобраться почему на exp ветке 0.95 не доходят редиректы до абонентов, на main 0.89 все работает.

 

С тестовой машины 10.100.0.1 делаю

curl -v -4 http://rutracker.org

на брасе в tcpdump смотрю пакет от фильтра (188.170.161.253 это ip заглушки)

версия фильтра 0.89

Скрытый текст

22:59:37.433695 IP (tos 0x0, ttl 250, id 3, offset 0, flags [none], proto TCP (6), length 127)

    195.82.146.214.http > 10.100.0.1.46452: Flags [FP.], cksum 0x027c (correct), seq 3018325139:3018325226, ack 128789440, win 5885, length 87: HTTP, length: 87

        HTTP/1.1 302 Moved Temporarily

        Location: http://188.170.161.253

        Connection: close

 

версия фильтра exp 0.95

Скрытый текст

22:56:50.464878 IP (tos 0x0, ttl 250, id 30, offset 0, flags [none], proto TCP (6), length 146)

    195.82.146.214.80 > 10.100.0.1.46424: Flags [P.], cksum 0x042b (correct), seq 1684875593:1684875699, ack 907432799, win 229, length 106: HTTP, length: 106

        HTTP/1.1 302 Moved Temporarily

        Location: http://188.170.161.253

        Content-Length: 0

        Connection: close

 

соотв-но на тестовой машине в tcpdump смотрю ответы от сайта (195.82.146.214). При версии 0.89 приходит редирект от фильтра, следом оригинальный ответ с сайта. тут все ок

Скрытый текст

23:32:44.045273 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 48)

    195.82.146.214.http > 10.100.0.1.46972: Flags [S.], cksum 0x303e (correct), seq 2533656285, ack 3165202395, win 14600, options [mss 1460,nop,wscale 8], length 0

23:32:44.045863 IP (tos 0x0, ttl 248, id 41, offset 0, flags [none], proto TCP (6), length 127)

    195.82.146.214.http > 10.100.0.1.46972: Flags [FP.], cksum 0xe1a7 (correct), seq 1:88, ack 78, win 5885, length 87: HTTP, length: 87

        HTTP/1.1 302 Moved Temporarily

        Location: http://188.170.161.253

        Connection: close

 

23:32:44.093125 IP (tos 0x0, ttl 55, id 25021, offset 0, flags [DF], proto TCP (6), length 40)

    195.82.146.214.http > 10.100.0.1.46972: Flags [.], cksum 0x948b (correct), seq 1, ack 78, win 58, length 0

23:32:44.093301 IP (tos 0x0, ttl 55, id 25022, offset 0, flags [DF], proto TCP (6), length 422)

    195.82.146.214.http > 10.100.0.1.46972: Flags [P.], cksum 0x2b9e (correct), seq 1:383, ack 78, win 58, length 382: HTTP, length: 382

        HTTP/1.1 301 Moved Permanently

        Server: nginx

        Date: Fri, 04 May 2018 20:32:49 GMT

        Content-Type: text/html

        Content-Length: 178

        Connection: keep-alive

        Location: http://rutracker.org/forum/index.php

 

        <html>

        <head><title>301 Moved Permanently</title></head>

        <body bgcolor="white">

        <center><h1>301 Moved Permanently</h1></center>

        <hr><center>nginx</center>

        </body>

        </html>

 

при версии 0.95 ответ от фильтра не доходит, только ответ от сайта

Скрытый текст

23:25:11.226152 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 48)

    195.82.146.214.http > 10.100.0.1.46912: Flags [S.], cksum 0x2187 (correct), seq 245274505, ack 148333147, win 14600, options [mss 1460,nop,wscale 8], length 0

23:25:11.227012 IP (tos 0x0, ttl 248, id 6, offset 0, flags [none], proto TCP (6), length 146)

    195.82.146.214.bhmds > 10.100.0.1.46912: Flags [P.], cksum 0x06e1 (correct), seq 245274506:245274612, ack 148333224, win 229, length 106

23:25:11.273598 IP (tos 0x0, ttl 55, id 26886, offset 0, flags [DF], proto TCP (6), length 40)

    195.82.146.214.http > 10.100.0.1.46912: Flags [.], cksum 0x85d4 (correct), seq 1, ack 78, win 58, length 0

23:25:11.273633 IP (tos 0x0, ttl 55, id 26887, offset 0, flags [DF], proto TCP (6), length 422)

    195.82.146.214.http > 10.100.0.1.46912: Flags [P.], cksum 0x1ceb (correct), seq 1:383, ack 78, win 58, length 382: HTTP, length: 382

        HTTP/1.1 301 Moved Permanently

        Server: nginx

        Date: Fri, 04 May 2018 20:25:16 GMT

        Content-Type: text/html

        Content-Length: 178

        Connection: keep-alive

        Location: http://rutracker.org/forum/index.php

 

        <html>

        <head><title>301 Moved Permanently</title></head>

        <body bgcolor="white">

        <center><h1>301 Moved Permanently</h1></center>

        <hr><center>nginx</center>

        </body>

        </html>

 

 

По приведенным данным можно как-то понять почему редирект от 0.89 версии доходит, а от 0.95 нет?

 

Конфиг фильтра одинаковый для обеих версий:

Скрытый текст

domainlist = /usr/local/etc/acl/extfilter/domains
urllist = /usr/local/etc/acl/extfilter/urls
ssllist = /usr/local/etc/acl/extfilter/ssl_host
hostlist = /usr/local/etc/acl/extfilter/hosts
sslips = /usr/local/etc/acl/extfilter/ssl_ips
http_redirect = true
redirect_url = http://188.170.161.253
rst_to_server = false
statistic_interval = 300
block_ssl_no_sni = false
core_mask = 7
statisticsfile = /var/log/zabbix/extfilter_stat
[port 0]
queues = 0,1
[port 1]
type = sender
mac = 00:e0:ed:5d:44:4e
[dpi]
[logging]
loggers.root.level = information
loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 4
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

56 минут назад, myth сказал:

dst mac правильный?

 

rp filter выключен?

да мак правильный, rp_filter 0

 

да и схема-то не меняется, я прямо на боевом фильтре запускаю 0.95 версию вместо 0.89 с тем же самым конфигом..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, XomA сказал:

да и схема-то не меняется, я прямо на боевом фильтре запускаю 0.95 версию вместо 0.89 с тем же самым конфигом..

Вроде упоминалось, что схема изменилась и интерфейс для ответов тоже должен быть DPDK-шным

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, ixi сказал:

Нормально работает, кстати? Когда я пробовал, DPDK падал при подключении двух таких встроенных карт одновременно

82576 не использовал для DPDK. Использовал 4 портовую 82580. Да у меня и сейчас разок в месяц падает extfilter. Файл core создается в корне системы все руки не доходят глянуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 29.04.2018 в 21:43, max1976 сказал:

Используйте dev ветку, в ней решено много проблем.

Установил dev-версию, заработало, спасибо. Время обработки упало с 39 минут до 2,5 минут. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Локализовал свою проблему.

Фильтр через sender порт шлет пакеты на нат сервер (ubuntu 16.04), а тот уже пересылает на брасы.

 

Нормальная работа. v0.89
Пакет от фильтра на нат:

Скрытый текст

2018-05-05 19:53:52.165278 IP (tos 0x0, ttl 250, id 5, offset 0, flags [none], proto TCP (6), length 129)
    195.82.146.214.80 > 10.100.0.1.43702: Flags [FP.], cksum 0x5f9c (correct), seq 2226000756:2226000845, ack 852727631, win 5885, length 89: HTTP, length: 89
        HTTP/1.1 302 Moved Temporarily
        Location: http://188.170.161.253/?
        Connection: close

 

Нат дальше передает его:

Скрытый текст

2018-05-05 19:53:52.165290 IP (tos 0x0, ttl 249, id 5, offset 0, flags [none], proto TCP (6), length 129)
    195.82.146.214.80 > 10.100.0.1.43702: Flags [FP.], cksum 0x5f9c (correct), seq 2226000756:2226000845, ack 852727631, win 5885, length 89: HTTP, length: 89
        HTTP/1.1 302 Moved Temporarily
        Location: http://188.170.161.253/?
        Connection: close

 

 

Не нормальная работа. v0.95
Пакет от фильтра пришел на нат:

Скрытый текст

2018-05-05 19:58:26.607763 IP (tos 0x0, ttl 250, id 1, offset 0, flags [none], proto TCP (6), length 181)
    195.82.146.214.80 > 10.100.0.1.43704: Flags [P.], cksum 0x1f37 (correct), seq 993902783:993902924, ack 1710226138, win 229, length 141: HTTP, length: 141
        HTTP/1.1 302 Moved Temporarily
        Location: http://188.170.161.253/?uri=http%3A%2F%2Frutracker.org%2F
        Content-Length: 0
        Connection: close

 


Нат дальше передает его, но меняет src port с 80 на 314 и тип не HTTP ?? Вот тут какая-то засада, не могу понять

Скрытый текст

2018-05-05 19:58:26.607782 IP (tos 0x0, ttl 249, id 1, offset 0, flags [none], proto TCP (6), length 181)
    195.82.146.214.314 > 10.100.0.1.43704: Flags [P.], cksum 0x1e4d (correct), seq 993902783:993902924, ack 1710226138, win 229, length 141

 

 

На след маршрутизаторе вижу этот неправильный пакет:

Скрытый текст

Internet Protocol Version 4, Src: 195.82.146.214, Dst: 10.100.0.1
Transmission Control Protocol, Src Port: 314, Dst Port: 43704, Seq: 1, Ack: 1, Len: 141
Hypertext Transfer Protocol
    HTTP/1.1 302 Moved Temporarily\r\n
    Location: http://188.170.161.253/?uri=http%3A%2F%2Frutracker.org%2F\r\n
    Content-Length: 0\r\n
    Connection: close\r\n
    \r\n
    [HTTP response 1/1]

 

 

Ну и как итог до абонента доходит этот неправильный пакет и ничего не редиректит:

Скрытый текст

20:01:07.728067 IP (tos 0x0, ttl 248, id 2, offset 0, flags [none], proto TCP (6), length 181)
    195.82.146.214.opalis-robot > 10.100.0.1.43706: Flags [P.], cksum 0xad68 (correct), seq 2867230663:2867230804, ack 281123386, win 229, length 141

 

 

 

Рядом с натом есть свободный сервер ubuntu, для теста отправляю через sender порт все на него. v0.95 и все работает норм. т.е. проблема в первом nat сервере

Скрытый текст

 

Пакет от фильтра:


2018-05-05 20:27:27.287886 IP (tos 0x0, ttl 250, id 1, offset 0, flags [none], proto TCP (6), length 181)
    195.82.146.214.80 > 10.100.0.1.43724: Flags [P.], cksum 0xe604 (correct), seq 1123830824:1123830965, ack 14943709, win 229, length 141: HTTP, length: 141
        HTTP/1.1 302 Moved Temporarily
        Location: http://188.170.161.253/?uri=http%3A%2F%2Frutracker.org%2F
        Content-Length: 0
        Connection: close

Сервак передает его дальше на брас:


2018-05-05 20:27:27.287898 IP (tos 0x0, ttl 249, id 1, offset 0, flags [none], proto TCP (6), length 181)
    195.82.146.214.80 > 10.100.0.1.43724: Flags [P.], cksum 0xe604 (correct), seq 1123830824:1123830965, ack 14943709, win 229, length 141: HTTP, length: 141
        HTTP/1.1 302 Moved Temporarily
        Location: http://188.170.161.253/?uri=http%3A%2F%2Frutracker.org%2F
        Content-Length: 0
        Connection: close

 

 

Получается текущий нат сервер изменяет src port у редирект пакетов от фильтра версии 0.95, а от версии 0.89 все норм.

На фильтре при out_mtu = 1500 измененный src port = 311, при out_mtu = 1460 измененный src port = 314.

 

Какие настройки в linux могут так влиять и изменять src port?

Бьется пакет? Куда смотреть?

 

Тюнинг ната:

Скрытый текст

Сетевухи:
07:00.0 Ethernet controller: Intel Corporation I350 Gigabit Network Connection (rev 01)
07:00.1 Ethernet controller: Intel Corporation I350 Gigabit Network Connection (rev 01)

#echo "Set queue..."
ethtool -L eth2 combined 4 > /dev/null 2 > /dev/null
ethtool -L eth3 combined 4 > /dev/null 2 > /dev/null

#echo "Increase RX/TX rings..."
ethtool -G eth2 rx 4096 tx 4096 > /dev/null 2 > /dev/null
ethtool -G eth3 rx 4096 tx 4096 > /dev/null 2 > /dev/null

#echo "Change ethtool offload..."
ethtool -K eth2 rx off tx off tso off gso off gro off > /dev/null 2 > /dev/null
ethtool -K eth3 rx off tx off tso off gso off gro off > /dev/null 2 > /dev/null

#echo "Set interraps to 1 proc"
rss-ladder eth2 1
rss-ladder eth3 1

/sbin/ifconfig eth2 txqueuelen 10000
/sbin/ifconfig eth3 txqueuelen 10000

 


 

 

Изменено пользователем XomA

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45 минут назад, XomA сказал:

Бьется пакет? Куда смотреть?

Если бы пакет был битым, то он никуда бы не ушел. Видимо на вашем сервере каким-то образом изменяются пакеты. Проверьте все пути прохождения пакета в iptables.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 05.05.2018 в 21:57, max1976 сказал:

Если бы пакет был битым, то он никуда бы не ушел. Видимо на вашем сервере каким-то образом изменяются пакеты. Проверьте все пути прохождения пакета в iptables.

В iptables все норм, PREROUTING пустой, в FORWARD в самое начало добавлена запись 

target     prot opt in     out     source               destination
ACCEPT     all  --  vlan20 *       0.0.0.0/0            0.0.0.0/0            MAC F4:CE:46:B1:09:CD

где F4:CE:46:B1:09:CD - мак sender port

 

есть подозрения что что-то в sysctl.conf не так

Скрытый текст

kernel.printk_ratelimit = 30
kernel.printk_ratelimit_burst = 200

kernel.sem = 250 32000 100 128
kernel.shmall = 2097152
kernel.shmmax = 2147483648
kernel.shmmni = 4096
fs.file-max = 65536
vm.swappiness = 100
vm.vfs_cache_pressure = 50
vm.min_free_kbytes=65536

net.core.rmem_max = 16777216
net.core.rmem_default = 16777216
net.core.wmem_max = 16777216
net.core.wmem_default = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 87380 16777216

net.ipv4.tcp_no_metrics_save = 1

net.ipv4.icmp_ignore_bogus_error_responses = 1

net.ipv4.conf.all.accept_redirects = 0

kernel.printk = 4 4 1 7

net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0


net.ipv4.tcp_syncookies=1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 4
net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 5
net.ipv4.tcp_fin_timeout = 7
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_orphan_retries = 1

net.ipv4.ip_forward=1
net.ipv4.ip_nonlocal_bind=1

fs.file-max = 100000

net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.conf.all.log_martians = 0


net.core.netdev_max_backlog=8192
net.core.netdev_max_backlog=10000
net.ipv4.tcp_congestion_control=reno
net.core.somaxconn=262144

kernel.panic = 10

net.nf_conntrack_max = 524288
net.ipv4.netfilter.ip_conntrack_max = 524288
net.netfilter.nf_conntrack_max = 524288

net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 30
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_established = 3600
net.ipv4.netfilter.ip_conntrack_generic_timeout = 60
net.ipv4.netfilter.ip_conntrack_buckets = 1048576

net.netflow.hashsize=65536

#Изменяем размер ARP-cache
#Если количество записей ARP меньше, то сборщик мусора не запускается
net.ipv4.neigh.default.gc_thresh1 = 1024

#Если количество записей ARP, то сборщик мусора запускается в течении 5 сек
net.ipv4.neigh.default.gc_thresh2 = 2048

#Если количество записей ARP, то сборщик мусора запускается немедленно
net.ipv4.neigh.default.gc_thresh3 = 4096

 

но сервер боевой, особо сильно не поэкспериментируешь.

 

Пока решили на фильтре сделать еще один sender port и слать редиректы сразу на два браса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кто-нибуть делал 2 sender порта? Оно работает вообще? А то в лог пишет, что много sender портов..

 

2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: extFilter
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: -n
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 2
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: -c
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 0x07
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: --master-lcore
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 0
2018-05-07 15:57:29.671 [10662] Fatal Application - Too many senders ports

 

upd: посмотрел исходник, только 1 сендер порт может быть

Изменено пользователем XomA

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, XomA сказал:

А кто-нибуть делал 2 sender порта? Оно работает вообще? А то в лог пишет, что много sender портов..

 


2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: extFilter
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: -n
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 2
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: -c
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 0x07
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: --master-lcore
2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 0
2018-05-07 15:57:29.671 [10662] Fatal Application - Too many senders ports

 

upd: посмотрел исходник, только 1 сендер порт может быть

 

Может Вам сделать влан, где будет по ип каждого шлюза, и один сендер. Тогда Вы сможете слать рст кратчайшим путем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

30 минут назад, DemonS сказал:

Может Вам сделать влан, где будет по ип каждого шлюза, и один сендер. Тогда Вы сможете слать рст кратчайшим путем.

Сейчас так и сделано, но надо же слать на mac каждого шлюза..

 

Вот упрощенная схема:

ggg.thumb.png.ee1eeec2ea3b0d046358f38f8a6e48e5.png

Сейчас фильтр v0.89 шлет все mac 33:33:33:33:33:33, а он уже по своей таблице маршрутизации пересылает пакет или на брас1 или на брас2. Все четко.

Если слать rst на брас1, то у него нет маршрутов к абонентам, обслуживаемым брас2 и наоборот соот-но.

 

Топологию менять не вариант, как говориться работает - не трогай.

 

Тут или разбираться с нат (он кромсает rst пакеты от фильтра версии 0.95) или использовать виртуальный маршрутизатор у которого будут полные маршруты до абонентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.