max1976 Опубликовано 4 мая, 2018 · Жалоба 5 минут назад, dee сказал: ничего себе кода наисправлено из-за этой штуки (которая у меня хоть не блочится , но не открывается :) Там были и другие правки, не опубликованные ранее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 4 мая, 2018 · Жалоба @max1976 Сколько примерно может обработать сервер на 2 x Intel® Xeon® X5670 и карта 82580 Gigabit Network Connection 4 портовая или 82576 Gigabit Network Connection встроенная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 4 мая, 2018 · Жалоба 3 минуты назад, arhead сказал: @max1976 Сколько примерно может обработать сервер на 2 x Intel® Xeon® X5670 и карта 82580 Gigabit Network Connection 4 портовая или 82576 Gigabit Network Connection встроенная. Честно говоря не знаю. Процессор не новый, а DPDK больше ориентирован на современные процессоры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 4 мая, 2018 · Жалоба 7 минут назад, max1976 сказал: Честно говоря не знаю. Процессор не новый, а DPDK больше ориентирован на современные процессоры. Сейчас просто задействовано 5 ядер проца. Пропущенных пакетов было ну не более 200 за месяц (и то сейчас трафик уменьшился по сравнению с зимой). Исходящего трафика от пользователей около гигабита максимальный 132 K pps. Летом то понятно меньше пользователи в инете сидят. Наврное в скором времени начальству говорить новый сервер покупать с более современным процом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 4 мая, 2018 · Жалоба Только что, arhead сказал: Сейчас просто задействовано 5 ядер проца. Пропущенных пакетов было ну не более 200 за месяц (и то сейчас трафик уменьшился по сравнению с зимой). Исходящего трафика от пользователей около гигабита максимальный 132 K pps. Летом то понятно меньше пользователи в инете сидят. Наврное в скором времени начальству говорить новый сервер покупать с более современным процом. Попробуйте exp ветку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 4 мая, 2018 · Жалоба 1 минуту назад, max1976 сказал: Попробуйте exp ветку. Да вот сижу разрабатывают как правильно BRASы все отзеркалировать и порт выделить еще один для отсылки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dee Опубликовано 4 мая, 2018 · Жалоба 2 минуты назад, arhead сказал: Да вот сижу разрабатывают как правильно BRASы все отзеркалировать и порт выделить еще один для отсылки. я сделал проще , у меня есть один влан с 30 маской после роутера уже , из которых 1 ip на брасе , 1 на управлении фильтра и в том же влане ещё сетёвка шлёт ответы на мак сетёвки на брасе в этом же влане . Всё работает нормуль , один минус - ещё один порт на фильтре в dpdk , но у меня на машине порядка 12 сетёвок и по этому не жалко , к томуже можно для этих целей гонять сетёку e1000e Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 4 мая, 2018 · Жалоба 1 минуту назад, dee сказал: я сделал проще , у меня есть один влан с 30 маской после роутера уже , из которых 1 ip на брасе , 1 на управлении фильтра и в том же влане ещё сетёвка шлёт ответы на мак сетёвки на брасе в этом же влане . Всё работает нормуль , один минус - ещё один порт на фильтре в dpdk , но у меня на машине порядка 12 сетёвок и по этому не жалко , к томуже можно для этих целей гонять сетёку e1000e Я так и думаю сделать. Вот зеркалировать думаю как сразу два браса в один порт или раскинуть по портам. Один брас у меня просто подключен одним линком. А вот второй уже port-channel. Думаю правильно один брас в один порт и машрутизатор офисный и второй брас который несколько портов в один. Сейчас зеркалируютсяв один порт аплинки (гигабит и второй port-channel). Хоть и ревизор за nfqfilter пропуски все равно бывают один два. Вот и думаю всю эту схему изменить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bl_cK Опубликовано 4 мая, 2018 · Жалоба @max1976, расскажите плз, отчего так: snmpwalk -v2c -c extfilter localhost .1.3.6.1.3.1983.1 .1.3.6.1.3.1983.1.1.1.0 = INTEGER: 1 .1.3.6.1.3.1983.1.1.2.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat" .1.3.6.1.3.1983.1.1.2.1.3.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/var/run/extfilter-stat/readers" .1.3.6.1.3.1983.1.1.2.1.4.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = "" .1.3.6.1.3.1983.1.1.2.1.5.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 5 .1.3.6.1.3.1983.1.1.2.1.6.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.2.1.7.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.2.1.20.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 4 .1.3.6.1.3.1983.1.1.2.1.21.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.3.1.1.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied" .1.3.6.1.3.1983.1.1.3.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied" .1.3.6.1.3.1983.1.1.3.1.3.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.3.1.4.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.4.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115.1 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied" .1.3.6.1.3.1983.1.2.1.0 = INTEGER: 1 .1.3.6.1.3.1983.1.2.2.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat" .1.3.6.1.3.1983.1.2.2.1.3.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/var/run/extfilter-stat/workers" .1.3.6.1.3.1983.1.2.2.1.4.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = "" .1.3.6.1.3.1983.1.2.2.1.5.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 5 .1.3.6.1.3.1983.1.2.2.1.6.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.2.1.7.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.2.1.20.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 4 .1.3.6.1.3.1983.1.2.2.1.21.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.3.1.1.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied" .1.3.6.1.3.1983.1.2.3.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied" .1.3.6.1.3.1983.1.2.3.1.3.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.3.1.4.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.4.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115.1 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied" и что это за цифры типа: 13.119.111.114.107.101.114.115.95.115.116.97.116.115 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 4 мая, 2018 · Жалоба 6 минут назад, Bl_cK сказал: @max1976, расскажите плз, отчего так: snmpwalk -v2c -c extfilter localhost .1.3.6.1.3.1983.1 .1.3.6.1.3.1983.1.1.1.0 = INTEGER: 1 .1.3.6.1.3.1983.1.1.2.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat" .1.3.6.1.3.1983.1.1.2.1.3.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/var/run/extfilter-stat/readers" .1.3.6.1.3.1983.1.1.2.1.4.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = "" .1.3.6.1.3.1983.1.1.2.1.5.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 5 .1.3.6.1.3.1983.1.1.2.1.6.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.2.1.7.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.2.1.20.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 4 .1.3.6.1.3.1983.1.1.2.1.21.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.3.1.1.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied" .1.3.6.1.3.1983.1.1.3.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied" .1.3.6.1.3.1983.1.1.3.1.3.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.3.1.4.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.1.4.1.2.13.114.101.97.100.101.114.115.95.115.116.97.116.115.1 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied" .1.3.6.1.3.1983.1.2.1.0 = INTEGER: 1 .1.3.6.1.3.1983.1.2.2.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat" .1.3.6.1.3.1983.1.2.2.1.3.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/var/run/extfilter-stat/workers" .1.3.6.1.3.1983.1.2.2.1.4.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = "" .1.3.6.1.3.1983.1.2.2.1.5.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 5 .1.3.6.1.3.1983.1.2.2.1.6.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.2.1.7.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.2.1.20.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 4 .1.3.6.1.3.1983.1.2.2.1.21.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.3.1.1.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied" .1.3.6.1.3.1983.1.2.3.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied" .1.3.6.1.3.1983.1.2.3.1.3.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.3.1.4.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = INTEGER: 1 .1.3.6.1.3.1983.1.2.4.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115.1 = STRING: "/bin/cat: /var/run/extfilter-stat/workers: Permission denied" и что это за цифры типа: 13.119.111.114.107.101.114.115.95.115.116.97.116.115 ? https://convert.town/ascii-to-text 119.111.114.107.101.114.115.95.115.116.97.116.115 = workers_stats 13 - длина строки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 4 мая, 2018 · Жалоба 2 часа назад, arhead сказал: 82576 Gigabit Network Connection встроенная. Нормально работает, кстати? Когда я пробовал, DPDK падал при подключении двух таких встроенных карт одновременно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bl_cK Опубликовано 4 мая, 2018 (изменено) · Жалоба 31 minutes ago, Bl_cK said: расскажите плз, отчего так: snmpwalk -v2c -c extfilter localhost .1.3.6.1.3.1983.1 ... .1.3.6.1.3.1983.1.1.3.1.1.13.114.101.97.100.101.114.115.95.115.116.97.116.115 = STRING: "/bin/cat: /var/run/extfilter-stat/readers: Permission denied" ... и что это за цифры типа: 13.119.111.114.107.101.114.115.95.115.116.97.116.115 ? над настроить SELinux: https://thwack.solarwinds.com/thread/110731 теперь выдаёт примерно: Quote SNMPv2-SMI::experimental.1983.1.2.3.1.2.13.119.111.114.107.101.114.115.95.115.116.97.116.115 = STRING: "allworkers.total_packets:123183098 allworkers.ip_packets:123104563 allworkers.ipv4_packets:123103163 allworkers.matched_ip_port:0 allworkers.matched_ssl:3926 allworkers.matched_ssl_ip:0 allworkers.matched_domains:321 allworkers.matched_ulrs:7218" allreaders в extfilter_stat нынче не пишутся, так что readers ветку в скрипте extfilter-cacti переписать бы на allports. Да и неплохо было бы все счётчики получать не строкой, а отдельными ветками Изменено 4 мая, 2018 пользователем Bl_cK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 4 мая, 2018 · Жалоба 7 часов назад, Davion сказал: Пользователи ExtFilter проверьте плиз ссылку http://online.cdn.stream.strah.tv:9999 не блокируется ли у вас? У меня предыдущая версия extfilter, но данная ссылка у меня не блокируется, но и не открылась Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XomA Опубликовано 4 мая, 2018 · Жалоба Добрый вечер. Не могу разобраться почему на exp ветке 0.95 не доходят редиректы до абонентов, на main 0.89 все работает. С тестовой машины 10.100.0.1 делаю curl -v -4 http://rutracker.org на брасе в tcpdump смотрю пакет от фильтра (188.170.161.253 это ip заглушки) версия фильтра 0.89 Скрытый текст 22:59:37.433695 IP (tos 0x0, ttl 250, id 3, offset 0, flags [none], proto TCP (6), length 127) 195.82.146.214.http > 10.100.0.1.46452: Flags [FP.], cksum 0x027c (correct), seq 3018325139:3018325226, ack 128789440, win 5885, length 87: HTTP, length: 87 HTTP/1.1 302 Moved Temporarily Location: http://188.170.161.253 Connection: close версия фильтра exp 0.95 Скрытый текст 22:56:50.464878 IP (tos 0x0, ttl 250, id 30, offset 0, flags [none], proto TCP (6), length 146) 195.82.146.214.80 > 10.100.0.1.46424: Flags [P.], cksum 0x042b (correct), seq 1684875593:1684875699, ack 907432799, win 229, length 106: HTTP, length: 106 HTTP/1.1 302 Moved Temporarily Location: http://188.170.161.253 Content-Length: 0 Connection: close соотв-но на тестовой машине в tcpdump смотрю ответы от сайта (195.82.146.214). При версии 0.89 приходит редирект от фильтра, следом оригинальный ответ с сайта. тут все ок Скрытый текст 23:32:44.045273 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 48) 195.82.146.214.http > 10.100.0.1.46972: Flags [S.], cksum 0x303e (correct), seq 2533656285, ack 3165202395, win 14600, options [mss 1460,nop,wscale 8], length 0 23:32:44.045863 IP (tos 0x0, ttl 248, id 41, offset 0, flags [none], proto TCP (6), length 127) 195.82.146.214.http > 10.100.0.1.46972: Flags [FP.], cksum 0xe1a7 (correct), seq 1:88, ack 78, win 5885, length 87: HTTP, length: 87 HTTP/1.1 302 Moved Temporarily Location: http://188.170.161.253 Connection: close 23:32:44.093125 IP (tos 0x0, ttl 55, id 25021, offset 0, flags [DF], proto TCP (6), length 40) 195.82.146.214.http > 10.100.0.1.46972: Flags [.], cksum 0x948b (correct), seq 1, ack 78, win 58, length 0 23:32:44.093301 IP (tos 0x0, ttl 55, id 25022, offset 0, flags [DF], proto TCP (6), length 422) 195.82.146.214.http > 10.100.0.1.46972: Flags [P.], cksum 0x2b9e (correct), seq 1:383, ack 78, win 58, length 382: HTTP, length: 382 HTTP/1.1 301 Moved Permanently Server: nginx Date: Fri, 04 May 2018 20:32:49 GMT Content-Type: text/html Content-Length: 178 Connection: keep-alive Location: http://rutracker.org/forum/index.php <html> <head><title>301 Moved Permanently</title></head> <body bgcolor="white"> <center><h1>301 Moved Permanently</h1></center> <hr><center>nginx</center> </body> </html> при версии 0.95 ответ от фильтра не доходит, только ответ от сайта Скрытый текст 23:25:11.226152 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto TCP (6), length 48) 195.82.146.214.http > 10.100.0.1.46912: Flags [S.], cksum 0x2187 (correct), seq 245274505, ack 148333147, win 14600, options [mss 1460,nop,wscale 8], length 0 23:25:11.227012 IP (tos 0x0, ttl 248, id 6, offset 0, flags [none], proto TCP (6), length 146) 195.82.146.214.bhmds > 10.100.0.1.46912: Flags [P.], cksum 0x06e1 (correct), seq 245274506:245274612, ack 148333224, win 229, length 106 23:25:11.273598 IP (tos 0x0, ttl 55, id 26886, offset 0, flags [DF], proto TCP (6), length 40) 195.82.146.214.http > 10.100.0.1.46912: Flags [.], cksum 0x85d4 (correct), seq 1, ack 78, win 58, length 0 23:25:11.273633 IP (tos 0x0, ttl 55, id 26887, offset 0, flags [DF], proto TCP (6), length 422) 195.82.146.214.http > 10.100.0.1.46912: Flags [P.], cksum 0x1ceb (correct), seq 1:383, ack 78, win 58, length 382: HTTP, length: 382 HTTP/1.1 301 Moved Permanently Server: nginx Date: Fri, 04 May 2018 20:25:16 GMT Content-Type: text/html Content-Length: 178 Connection: keep-alive Location: http://rutracker.org/forum/index.php <html> <head><title>301 Moved Permanently</title></head> <body bgcolor="white"> <center><h1>301 Moved Permanently</h1></center> <hr><center>nginx</center> </body> </html> По приведенным данным можно как-то понять почему редирект от 0.89 версии доходит, а от 0.95 нет? Конфиг фильтра одинаковый для обеих версий: Скрытый текст domainlist = /usr/local/etc/acl/extfilter/domains urllist = /usr/local/etc/acl/extfilter/urls ssllist = /usr/local/etc/acl/extfilter/ssl_host hostlist = /usr/local/etc/acl/extfilter/hosts sslips = /usr/local/etc/acl/extfilter/ssl_ips http_redirect = true redirect_url = http://188.170.161.253 rst_to_server = false statistic_interval = 300 block_ssl_no_sni = false core_mask = 7 statisticsfile = /var/log/zabbix/extfilter_stat [port 0] queues = 0,1 [port 1] type = sender mac = 00:e0:ed:5d:44:4e [dpi] [logging] loggers.root.level = information loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/extFilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.purgeCount = 4 channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 мая, 2018 · Жалоба dst mac правильный? rp filter выключен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XomA Опубликовано 4 мая, 2018 · Жалоба 56 минут назад, myth сказал: dst mac правильный? rp filter выключен? да мак правильный, rp_filter 0 да и схема-то не меняется, я прямо на боевом фильтре запускаю 0.95 версию вместо 0.89 с тем же самым конфигом.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 5 мая, 2018 · Жалоба 5 часов назад, XomA сказал: да и схема-то не меняется, я прямо на боевом фильтре запускаю 0.95 версию вместо 0.89 с тем же самым конфигом.. Вроде упоминалось, что схема изменилась и интерфейс для ответов тоже должен быть DPDK-шным Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 5 мая, 2018 · Жалоба 14 часов назад, ixi сказал: Нормально работает, кстати? Когда я пробовал, DPDK падал при подключении двух таких встроенных карт одновременно 82576 не использовал для DPDK. Использовал 4 портовую 82580. Да у меня и сейчас разок в месяц падает extfilter. Файл core создается в корне системы все руки не доходят глянуть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 5 мая, 2018 · Жалоба В 29.04.2018 в 21:43, max1976 сказал: Используйте dev ветку, в ней решено много проблем. Установил dev-версию, заработало, спасибо. Время обработки упало с 39 минут до 2,5 минут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XomA Опубликовано 5 мая, 2018 (изменено) · Жалоба Локализовал свою проблему. Фильтр через sender порт шлет пакеты на нат сервер (ubuntu 16.04), а тот уже пересылает на брасы. Нормальная работа. v0.89 Пакет от фильтра на нат: Скрытый текст 2018-05-05 19:53:52.165278 IP (tos 0x0, ttl 250, id 5, offset 0, flags [none], proto TCP (6), length 129) 195.82.146.214.80 > 10.100.0.1.43702: Flags [FP.], cksum 0x5f9c (correct), seq 2226000756:2226000845, ack 852727631, win 5885, length 89: HTTP, length: 89 HTTP/1.1 302 Moved Temporarily Location: http://188.170.161.253/? Connection: close Нат дальше передает его: Скрытый текст 2018-05-05 19:53:52.165290 IP (tos 0x0, ttl 249, id 5, offset 0, flags [none], proto TCP (6), length 129) 195.82.146.214.80 > 10.100.0.1.43702: Flags [FP.], cksum 0x5f9c (correct), seq 2226000756:2226000845, ack 852727631, win 5885, length 89: HTTP, length: 89 HTTP/1.1 302 Moved Temporarily Location: http://188.170.161.253/? Connection: close Не нормальная работа. v0.95 Пакет от фильтра пришел на нат: Скрытый текст 2018-05-05 19:58:26.607763 IP (tos 0x0, ttl 250, id 1, offset 0, flags [none], proto TCP (6), length 181) 195.82.146.214.80 > 10.100.0.1.43704: Flags [P.], cksum 0x1f37 (correct), seq 993902783:993902924, ack 1710226138, win 229, length 141: HTTP, length: 141 HTTP/1.1 302 Moved Temporarily Location: http://188.170.161.253/?uri=http%3A%2F%2Frutracker.org%2F Content-Length: 0 Connection: close Нат дальше передает его, но меняет src port с 80 на 314 и тип не HTTP ?? Вот тут какая-то засада, не могу понять Скрытый текст 2018-05-05 19:58:26.607782 IP (tos 0x0, ttl 249, id 1, offset 0, flags [none], proto TCP (6), length 181) 195.82.146.214.314 > 10.100.0.1.43704: Flags [P.], cksum 0x1e4d (correct), seq 993902783:993902924, ack 1710226138, win 229, length 141 На след маршрутизаторе вижу этот неправильный пакет: Скрытый текст Internet Protocol Version 4, Src: 195.82.146.214, Dst: 10.100.0.1 Transmission Control Protocol, Src Port: 314, Dst Port: 43704, Seq: 1, Ack: 1, Len: 141 Hypertext Transfer Protocol HTTP/1.1 302 Moved Temporarily\r\n Location: http://188.170.161.253/?uri=http%3A%2F%2Frutracker.org%2F\r\n Content-Length: 0\r\n Connection: close\r\n \r\n [HTTP response 1/1] Ну и как итог до абонента доходит этот неправильный пакет и ничего не редиректит: Скрытый текст 20:01:07.728067 IP (tos 0x0, ttl 248, id 2, offset 0, flags [none], proto TCP (6), length 181) 195.82.146.214.opalis-robot > 10.100.0.1.43706: Flags [P.], cksum 0xad68 (correct), seq 2867230663:2867230804, ack 281123386, win 229, length 141 Рядом с натом есть свободный сервер ubuntu, для теста отправляю через sender порт все на него. v0.95 и все работает норм. т.е. проблема в первом nat сервере Скрытый текст Пакет от фильтра: 2018-05-05 20:27:27.287886 IP (tos 0x0, ttl 250, id 1, offset 0, flags [none], proto TCP (6), length 181) 195.82.146.214.80 > 10.100.0.1.43724: Flags [P.], cksum 0xe604 (correct), seq 1123830824:1123830965, ack 14943709, win 229, length 141: HTTP, length: 141 HTTP/1.1 302 Moved Temporarily Location: http://188.170.161.253/?uri=http%3A%2F%2Frutracker.org%2F Content-Length: 0 Connection: close Сервак передает его дальше на брас: 2018-05-05 20:27:27.287898 IP (tos 0x0, ttl 249, id 1, offset 0, flags [none], proto TCP (6), length 181) 195.82.146.214.80 > 10.100.0.1.43724: Flags [P.], cksum 0xe604 (correct), seq 1123830824:1123830965, ack 14943709, win 229, length 141: HTTP, length: 141 HTTP/1.1 302 Moved Temporarily Location: http://188.170.161.253/?uri=http%3A%2F%2Frutracker.org%2F Content-Length: 0 Connection: close Получается текущий нат сервер изменяет src port у редирект пакетов от фильтра версии 0.95, а от версии 0.89 все норм. На фильтре при out_mtu = 1500 измененный src port = 311, при out_mtu = 1460 измененный src port = 314. Какие настройки в linux могут так влиять и изменять src port? Бьется пакет? Куда смотреть? Тюнинг ната: Скрытый текст Сетевухи: 07:00.0 Ethernet controller: Intel Corporation I350 Gigabit Network Connection (rev 01) 07:00.1 Ethernet controller: Intel Corporation I350 Gigabit Network Connection (rev 01) #echo "Set queue..." ethtool -L eth2 combined 4 > /dev/null 2 > /dev/null ethtool -L eth3 combined 4 > /dev/null 2 > /dev/null #echo "Increase RX/TX rings..." ethtool -G eth2 rx 4096 tx 4096 > /dev/null 2 > /dev/null ethtool -G eth3 rx 4096 tx 4096 > /dev/null 2 > /dev/null #echo "Change ethtool offload..." ethtool -K eth2 rx off tx off tso off gso off gro off > /dev/null 2 > /dev/null ethtool -K eth3 rx off tx off tso off gso off gro off > /dev/null 2 > /dev/null #echo "Set interraps to 1 proc" rss-ladder eth2 1 rss-ladder eth3 1 /sbin/ifconfig eth2 txqueuelen 10000 /sbin/ifconfig eth3 txqueuelen 10000 Изменено 5 мая, 2018 пользователем XomA Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 5 мая, 2018 · Жалоба 45 минут назад, XomA сказал: Бьется пакет? Куда смотреть? Если бы пакет был битым, то он никуда бы не ушел. Видимо на вашем сервере каким-то образом изменяются пакеты. Проверьте все пути прохождения пакета в iptables. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XomA Опубликовано 7 мая, 2018 · Жалоба В 05.05.2018 в 21:57, max1976 сказал: Если бы пакет был битым, то он никуда бы не ушел. Видимо на вашем сервере каким-то образом изменяются пакеты. Проверьте все пути прохождения пакета в iptables. В iptables все норм, PREROUTING пустой, в FORWARD в самое начало добавлена запись target prot opt in out source destination ACCEPT all -- vlan20 * 0.0.0.0/0 0.0.0.0/0 MAC F4:CE:46:B1:09:CD где F4:CE:46:B1:09:CD - мак sender port есть подозрения что что-то в sysctl.conf не так Скрытый текст kernel.printk_ratelimit = 30 kernel.printk_ratelimit_burst = 200 kernel.sem = 250 32000 100 128 kernel.shmall = 2097152 kernel.shmmax = 2147483648 kernel.shmmni = 4096 fs.file-max = 65536 vm.swappiness = 100 vm.vfs_cache_pressure = 50 vm.min_free_kbytes=65536 net.core.rmem_max = 16777216 net.core.rmem_default = 16777216 net.core.wmem_max = 16777216 net.core.wmem_default = 16777216 net.ipv4.tcp_rmem = 4096 87380 16777216 net.ipv4.tcp_wmem = 4096 87380 16777216 net.ipv4.tcp_no_metrics_save = 1 net.ipv4.icmp_ignore_bogus_error_responses = 1 net.ipv4.conf.all.accept_redirects = 0 kernel.printk = 4 4 1 7 net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.all.rp_filter=0 net.ipv4.tcp_syncookies=1 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 4 net.ipv4.tcp_keepalive_time = 60 net.ipv4.tcp_keepalive_intvl = 10 net.ipv4.tcp_keepalive_probes = 5 net.ipv4.tcp_fin_timeout = 7 net.ipv4.tcp_window_scaling = 0 net.ipv4.tcp_sack = 0 net.ipv4.tcp_timestamps = 0 net.ipv4.tcp_orphan_retries = 1 net.ipv4.ip_forward=1 net.ipv4.ip_nonlocal_bind=1 fs.file-max = 100000 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.conf.all.log_martians = 0 net.core.netdev_max_backlog=8192 net.core.netdev_max_backlog=10000 net.ipv4.tcp_congestion_control=reno net.core.somaxconn=262144 kernel.panic = 10 net.nf_conntrack_max = 524288 net.ipv4.netfilter.ip_conntrack_max = 524288 net.netfilter.nf_conntrack_max = 524288 net.netfilter.nf_conntrack_udp_timeout_stream = 60 net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 30 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_established = 3600 net.ipv4.netfilter.ip_conntrack_generic_timeout = 60 net.ipv4.netfilter.ip_conntrack_buckets = 1048576 net.netflow.hashsize=65536 #Изменяем размер ARP-cache #Если количество записей ARP меньше, то сборщик мусора не запускается net.ipv4.neigh.default.gc_thresh1 = 1024 #Если количество записей ARP, то сборщик мусора запускается в течении 5 сек net.ipv4.neigh.default.gc_thresh2 = 2048 #Если количество записей ARP, то сборщик мусора запускается немедленно net.ipv4.neigh.default.gc_thresh3 = 4096 но сервер боевой, особо сильно не поэкспериментируешь. Пока решили на фильтре сделать еще один sender port и слать редиректы сразу на два браса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XomA Опубликовано 7 мая, 2018 (изменено) · Жалоба А кто-нибуть делал 2 sender порта? Оно работает вообще? А то в лог пишет, что много sender портов.. 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: extFilter 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: -n 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 2 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: -c 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 0x07 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: --master-lcore 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 0 2018-05-07 15:57:29.671 [10662] Fatal Application - Too many senders ports upd: посмотрел исходник, только 1 сендер порт может быть Изменено 7 мая, 2018 пользователем XomA Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 7 мая, 2018 · Жалоба 5 часов назад, XomA сказал: А кто-нибуть делал 2 sender порта? Оно работает вообще? А то в лог пишет, что много sender портов.. 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: extFilter 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: -n 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 2 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: -c 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 0x07 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: --master-lcore 2018-05-07 15:57:26.354 [10662] Debug Application - DPDK command line: 0 2018-05-07 15:57:29.671 [10662] Fatal Application - Too many senders ports upd: посмотрел исходник, только 1 сендер порт может быть Может Вам сделать влан, где будет по ип каждого шлюза, и один сендер. Тогда Вы сможете слать рст кратчайшим путем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XomA Опубликовано 7 мая, 2018 · Жалоба 30 минут назад, DemonS сказал: Может Вам сделать влан, где будет по ип каждого шлюза, и один сендер. Тогда Вы сможете слать рст кратчайшим путем. Сейчас так и сделано, но надо же слать на mac каждого шлюза.. Вот упрощенная схема: Сейчас фильтр v0.89 шлет все mac 33:33:33:33:33:33, а он уже по своей таблице маршрутизации пересылает пакет или на брас1 или на брас2. Все четко. Если слать rst на брас1, то у него нет маршрутов к абонентам, обслуживаемым брас2 и наоборот соот-но. Топологию менять не вариант, как говориться работает - не трогай. Тут или разбираться с нат (он кромсает rst пакеты от фильтра версии 0.95) или использовать виртуальный маршрутизатор у которого будут полные маршруты до абонентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...