1. Для блокировка используем

[DemonS]

8 часов назад, XomA сказал:

Если слать rst на брас1, то у него нет маршрутов к абонентам, обслуживаемым брас2 и наоборот соот-но.

 

можно брасы подружить по оспф и кидать рст одному из них. А с нат сервером действительно херня какая-то, не должен он менять порты в пакете, вероятно Вы попадаете в какую-то трансляцию. Попробуйте исключить из natа пакеты, которые шлете с фильтра.Nat prerouting & postrouting вот это все.

Изменено 8 мая, 2018 пользователем DemonS

[ixi]

11 часов назад, XomA сказал:

Вот упрощенная схема:

Вот и ваш ответ, при такой схеме ответы вообще не должны натится. Правило по маку не срабатывает?

Изменено 8 мая, 2018 пользователем ixi

[arhead]

Неужели РКН пока временно остановились? Последняя дата дампа 7 мая 22.53

[ixi]

4 минуты назад, arhead сказал:

Неужели РКН пока временно остановились? Последняя дата дампа 7 мая 22.53

Скорее опять глюки с реестром, getLastDumpDateEx-то обновляется

[Tem]

а вот этот  https://github.com/yegorov-p/python-zapret-info скрипт нормально отрабатывает ?
А то с вчерашнего вечера в логах вот это
 

Traceback (most recent call last):
  File "/opt/block/zapret_checker.py", line 164, in <module>
    main()
  File "/opt/block/zapret_checker.py", line 124, in main
    request['operatorName'].decode('utf-8'),
AttributeError: 'NoneType' object has no attribute 'decode'

 

[OK-2004]

13 minutes ago, Tem said:

а вот этот  https://github.com/yegorov-p/python-zapret-info скрипт нормально отрабатывает ?
 

У меня этот скрипт тоже вчера перестал под вечер работать.

 

Перешёл на скрипт :

 

https://forum.nag.ru/applications/core/interface/file/attachment.php?id=46655

 

с ним проблем нет.

[XomA]

5 часов назад, DemonS сказал:

можно брасы подружить по оспф и кидать рст одному из них. А с нат сервером действительно херня какая-то, не должен он менять порты в пакете, вероятно Вы попадаете в какую-то трансляцию. Попробуйте исключить из natа пакеты, которые шлете с фильтра.Nat prerouting & postrouting вот это все.

 

Как уже писал выше, прероутинг пустой, в построут только правила для ната с опцией -o $PROV_INT.

Подружить брасы, как вариант, можно, но думаю проще поднять виртуальный сервер с правильной таблицей маршрутизацией и на него слать rst.

 

1 час назад, ixi сказал:

Вот и ваш ответ, при такой схеме ответы вообще не должны натится. Правило по маку не срабатывает?

 

Ответы и не натятся, правило по маку срабатывает. Redirect пакеты версии 0.89 нормально передаются как надо, а вот redirect версии 0.95 изменяются.

Сервер называется нат т.к. это одна из его функций, а по факту для внутренних сетевух это обычный маршрутизатор (все рулится правилами iptables).

 

На днях сделаем резервный нат сервер.

Прогоню на нем без всякого тюнинга редиректы от фильтра, тогда будет понятно это нат трансляции или какая-то опция тюнинга влияет.

 

Смущает-то во всем этом тот факт, что при одинаковых условиях версия 0.89 работает, а 0.95 нет. Поэтому и задал вопрос здесь.

По самой схеме вопросов нет, сделать могу чтобы работало несколькими вариантами.

Тут уже спортивный интерес разобраться с нат-ом почему так получается.

[arhead]

Наверное затишье перед бурей. Что то грандиозное готовят.

[alibek]

Кстати:

2018-05-08 14:50:02 [pid 18193]: DEL: 23.251.128.0/19 35.184.0.0/13 35.192.0.0/12 35.208.0.0/12 35.224.0.0/12 139.59.0.0/16

  - всего подсетей: 67
      блок /10: 1 x 4194304 = 4194304
      блок /12: 2 x 1048576 = 2097152
      блок /13: 4 x 524288 = 2097152
      блок /14: 3 x 262144 = 786432
      блок /15: 11 x 131072 = 1441792
      блок /16: 17 x 65536 = 1114112
      блок /17: 4 x 32768 = 131072
      блок /18: 1 x 16384 = 16384
      блок /19: 3 x 8192 = 24576
      блок /20: 2 x 4096 = 8192
      блок /21: 3 x 2048 = 6144
      блок /22: 11 x 1024 = 11264
      блок /23: 2 x 512 = 1024
      блок /24: 3 x 256 = 768
      итого: 11930368

 

[st_re]

35 минут назад, alibek сказал:

Кстати:

2018-05-08 14:50:02 [pid 18193]: DEL: 23.251.128.0/19 35.184.0.0/13 35.192.0.0/12 35.208.0.0/12 35.224.0.0/12 139.59.0.0/16

  - всего подсетей: 67
      блок /10: 1 x 4194304 = 4194304
      блок /12: 2 x 1048576 = 2097152
      блок /13: 4 x 524288 = 2097152
      блок /14: 3 x 262144 = 786432
      блок /15: 11 x 131072 = 1441792
      блок /16: 17 x 65536 = 1114112
      блок /17: 4 x 32768 = 131072
      блок /18: 1 x 16384 = 16384
      блок /19: 3 x 8192 = 24576
      блок /20: 2 x 4096 = 8192
      блок /21: 3 x 2048 = 6144
      блок /22: 11 x 1024 = 11264
      блок /23: 2 x 512 = 1024
      блок /24: 3 x 256 = 768
      итого: 11930368

 

Там больше интересно вот это

Скрытый текст

-64.233.161.100/32
-64.233.161.102/32
-64.233.161.113/32
-64.233.161.132/32
-64.233.161.139/32
-64.233.162.95/32
-64.233.162.99/32
-64.233.162.100/31
-64.233.162.103/32
-64.233.162.104/31
-64.233.162.106/32
-64.233.162.113/32
-64.233.162.147/32
-64.233.163.102/32
-64.233.163.113/32
 64.233.164.102/32
 64.233.164.113/32
-64.233.164.132/32
 

-74.125.131.99/32
-74.125.131.104/31
-74.125.131.106/32
-74.125.131.147/32
-74.125.205.100/31
-74.125.205.102/32
-74.125.205.113/32
-74.125.205.132/32
 

-173.194.73.102/32
-173.194.220.99/32
-173.194.220.100/31
-173.194.220.102/32
-173.194.220.104/32
-173.194.220.113/32
-173.194.220.138/31
-173.194.221.94/32
-173.194.221.101/32
-173.194.221.138/31
-173.194.222.100/31
-173.194.222.102/32
-173.194.222.113/32
-173.194.222.132/32
-173.194.222.138/31
 

 

Это гугловые кеши на MskIX.. Эта та боль, которая вынимает 90% головного  мозга у  ТП с мигающими ресурсами...

[alibek]

Ну в реестре много чего есть.

Вот, например, интересные фрагменты (хосты — это отдельные IP, подсети я не указывал для экономии места):

  AS 16509: AMAZON-02 - Amazon.com, Inc., US
    хосты: 823
    итого: 5,505,847
  AS 14618: AMAZON-AES - Amazon.com, Inc., US
    хосты: 56
    итого: 5,505,080
  AS 14061: DIGITALOCEAN-ASN - DigitalOcean, LLC, US
    хосты: 165
    итого: 491,685
  AS 8075: MICROSOFT-CORP-MSN-AS-BLOCK - Microsoft Corporation, US
    хосты: 1686
    итого: 132,758
  AS 24940: HETZNER-AS, DE
    хосты: 174
    итого: 65,710
  AS 18705: RIMBLACKBERRY - BlackBerry Limited, CA
    хосты: 12
    итого: 19,468
  AS 45102: CNNIC-ALIBABA-CN-NET-AP Alibaba (China) Technology Co., Ltd., CN
    хосты: 1529
    итого: 9,721
  AS 6762: SEABONE-NET TELECOM ITALIA SPARKLE S.p.A., IT
    хосты: 1016
  AS 13335: CLOUDFLARENET - Cloudflare, Inc., US
    хосты: 557
  AS 7979: SERVERS - Servers.com, Inc., US
    хосты: 499
  AS 15169: GOOGLE - Google LLC, US
    хосты: 353
  AS 38895: AMAZON-AS-AP Amazon.com Tech Telecom, JP
    хосты: 125
  Неидентифицированные AS
    подсеть 128.199.0.0/16
    хосты: 85
    итого: 65,621

А буквально 10 минут назад мне пришло письмо, в котором запрашивают IP-адреса, с которых мы забираем выгрузку — потому что планируется закрыть доступ к реестру со всех адресов, кроме доверенных.

[arhead]

Только что прошла выгрузка их оттуда вытащили.

Скрытый текст

--- Removed only IPs ---
Only IP: 173.194.220.100 for id: 891488
Only IP: 74.125.131.147 for id: 891488
Only IP: 209.85.233.104 for id: 891488
Only IP: 64.233.161.102 for id: 891488
Only IP: 108.177.14.97 for id: 891488
Only IP: 172.217.21.142 for id: 891488
Only IP: 173.194.220.101 for id: 891488
Only IP: 173.194.220.102 for id: 891488
Only IP: 173.194.220.113 for id: 891488
Only IP: 173.194.220.138 for id: 891488
Only IP: 173.194.220.139 for id: 891488
Only IP: 173.194.222.100 for id: 891488
Only IP: 173.194.222.101 for id: 891488
Only IP: 173.194.222.102 for id: 891488
Only IP: 173.194.222.113 for id: 891488
Only IP: 173.194.222.138 for id: 891488
Only IP: 173.194.222.139 for id: 891488
Only IP: 209.85.233.100 for id: 891488
Only IP: 64.233.161.100 for id: 891488
Only IP: 64.233.161.113 for id: 891488
Only IP: 64.233.161.132 for id: 891488
Only IP: 64.233.161.139 for id: 891488
Only IP: 64.233.162.100 for id: 891488
Only IP: 64.233.162.101 for id: 891488
Only IP: 64.233.162.103 for id: 891488
Only IP: 64.233.162.104 for id: 891488
Only IP: 64.233.162.105 for id: 891488
Only IP: 64.233.162.106 for id: 891488
Only IP: 64.233.162.113 for id: 891488
Only IP: 64.233.162.147 for id: 891488
Only IP: 64.233.162.95 for id: 891488
Only IP: 64.233.162.99 for id: 891488
Only IP: 64.233.163.102 for id: 891488
Only IP: 64.233.163.113 for id: 891488
Only IP: 64.233.164.139 for id: 891488
Only IP: 74.125.131.104 for id: 891488
Only IP: 74.125.131.105 for id: 891488
Only IP: 74.125.131.106 for id: 891488
Only IP: 74.125.131.99 for id: 891488
Only IP: 74.125.205.101 for id: 891488
Only IP: 74.125.205.113 for id: 891488
Only IP: 64.233.164.102 for id: 894386
Only IP: 64.233.164.113 for id: 894386
Only IP: 64.233.164.139 for id: 894386
Only IP: 104.239.77.144 for id: 907890
Only IP: 163.172.177.129 for id: 464143

 

[st_re]

1 минуту назад, arhead сказал:

Только что прошла выгрузка их оттуда вытащили.

  Скрыть содержимое

--- Removed only IPs ---
Only IP: 173.194.220.100 for id: 891488
 

 

ну так у меня там и есть кусок дифа..... там - в начале не просто так

 

 

Эх, заживем... :)

[Tem]

7 часов назад, OK-2004 сказал:

У меня этот скрипт тоже вчера перестал под вечер работать.

 

Перешёл на скрипт :

 

https://forum.nag.ru/applications/core/interface/file/attachment.php?id=46655

 

с ним проблем нет.

Снова заработало, причем без каких либо вмешательств с моей стороны

[iMPoSsibLe_iT]

11 минут назад, Tem сказал:

Снова заработало, причем без каких либо вмешательств с моей стороны

+1   Такая же ситуация.

[DemonS]

Кому логи nfqfilter занимают много места и не архивируются, и Вы не знаете что делать, приведите раздел logging конфига nfqfilter.ini в такой вид

[logging]
loggers.root.level = information
;loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/nfqfilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.archive = number
channels.fileChannel.compress = true
channels.fileChannel.purgeAge = 7 days
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

инфа 146%, найдено тут

[alibek]

В ‎08‎.‎05‎.‎2018 в 16:05, alibek сказал:

А буквально 10 минут назад мне пришло письмо, в котором запрашивают IP-адреса, с которых мы забираем выгрузку — потому что планируется закрыть доступ к реестру со всех адресов, кроме доверенных.

Не прошло и недели, как ответили.

Подсеть теперь не принимается.

Требуют указать не более 5 IP-адресов, которым будет разрешён доступ к выгрузкам.

[hsvt]

А что в реестре творится? Куча удалений каких то, у меня из-за этого пропуски левые.

 ./erdi-search.sh 783099

Поиск данных в ЕАИС ЕРДИ
Запрос: 783099
Начало: -
Выгрузка dump-20180511-133500.xml - отсутствует
Выгрузка dump-20180511-103100.xml.gz - удалено

olimp.top .site .gdn и ещё всякая чушь. Всё что удалено было, ревизоро проверяет спустя какое то время и ставит пропуск, бред этот достал уже.

Изменено 11 мая, 2018 пользователем hsvt

[admf]

@hsvt говорят реестр чистят от пустых доменов

[Kolunchik]

Это Фил виноват со своими графиками.

[hsvt]

16 минут назад, admf сказал:

@hsvt говорят реестр чистят от пустых доменов

да уж, могли бы и рассылку сделать про чистку и пропуски возможные.

[overty]

А только у меня всю неделю - "Мониторинг в указанную дату не проводился"? Хочу понять сам сломал или со стороны ревизора проблема.

Сам агент в ЛК показывается как "Активен. В сети".

[SokolovS]

Файлик  /var/run/extFilter_stat создается с правами 640, владелец root. zabbix_agentd у меня работает под пользователем zabbix. Можно как-то сделать так, чтобы сразу создавался с правами 644?

[myth]

22 часа назад, overty сказал:

А только у меня всю неделю - "Мониторинг в указанную дату не проводился"?

так же было. Попросили перезагрузить. Больше не звонили

[max1976]

11 часов назад, SokolovS сказал:

Файлик  /var/run/extFilter_stat создается с правами 640, владелец root. zabbix_agentd у меня работает под пользователем zabbix. Можно как-то сделать так, чтобы сразу создавался с правами 644?

В строке добавить

chmod(_statisticsFile.c_str(), S_IRUSR|S_IRGRP|S_IROTH);