Nickollla Опубликовано 15 июня, 2018 · Жалоба В конфиге quagga. В частности в bgp vtysh -d bgpd -c 'show run' | grep config-type если выдаст bgp config-type cisco значит попробуй убрать данную строку из конфига quagga Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 15 июня, 2018 · Жалоба 45 минут назад, Nickollla сказал: В конфиге quagga. В частности в bgp vtysh -d bgpd -c 'show run' | grep config-type если выдаст bgp config-type cisco значит попробуй убрать данную строку из конфига quagga нет там такого )) просто у меня такая проблема тоже была, победить не смог, ушёл на iptables+ipset Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickollla Опубликовано 15 июня, 2018 · Жалоба @Antares значит тебе придется лезть в сам скрипт и смотреть. Моя проблема заключалась в том что анонсы не убирал из bgp. При этом роут в null убирал. Связано это было с форматом конфига в quagge Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 15 июня, 2018 · Жалоба 1 минуту назад, Nickollla сказал: @Antares значит тебе придется лезть в сам скрипт и смотреть. Моя проблема заключалась в том что анонсы не убирал из bgp. При этом роут в null убирал. Связано это было с форматом конфига в quagge я забил )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 15 июня, 2018 · Жалоба 3 hours ago, Nickollla said: Это вероятно из-за формата в котором хранит конфигурацию quagga. У вас вероятно в конфиге стоит bgp config-type cisco Скрипт ожидает формат network 1.179.201.18/32, а в cisco нотации получает network 1.179.201.18 mask 255.255.255.255 Нет, с типом конфига порядок. Уточнение в квагге: не удаляются и network для subnets и не удаляются ip route для subnets, но в разных количествах. ХЗ откуда берется разница. Очистил конфиг квагги (no network, no ip route), залил по новой через make_files.pl После перезаливки, по сравнению с предидущим конфигом: diff по network -327 строк, сети от /10 до /24, но не мельче diff по route -30 строк, также от /10 до /24, но не мельче Простое решение - периодически чистить конфиг квагги (или забить :-) ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 15 июня, 2018 (изменено) · Жалоба Коллеги, приветствую. С 1 июля Ревизор в одном из населенных пунктов вообще ах*ел. Посыпались отчеты о неблокировке HTTPS-доменов. После некоторой диагностики выяснили, что при проверках, Ревизор перестал использовать IP-адреса от нашего DNS-сервера, а стал использовать реальные из реестра для проверки заблокированного HTTPS-домена. Весь DNS-трафик мы принудительно перенаправляем на свой DNS, в котором залоченным HTTPS-доменам подменяем IP на свои (заглушка). Пришло постановление и в суд. Пришлось фильтровать HTTPS по IP. ***ы. Кто сталкивался я подобным поведением ? PS Хотим ходатайствовать в суде и указать на официальные (https://rkn.gov.ru/docs/11111_Rekomendacii_15.pdf) рекомендации по блокироке HTTPS-доменов - там сказано, что фильтровать зашифрованные сайты можно через фильтрацию DNS-запросов. Где сказано, как, ***, ревизор проверяет сайты ? Где-нибудь сказано, что ему *** на DNS-провайдера ? Изменено 15 июня, 2018 пользователем morf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 15 июня, 2018 · Жалоба 1 час назад, morf сказал: Ревизор перестал использовать IP-адреса от нашего DNS-сервера, а стал использовать реальные из реестра для проверки заблокированного HTTPS-домена. Данный алгоритм работы ревизора очень давно внедрен. Я сильно удивлен что Вы только-только споткнулись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickollla Опубликовано 16 июня, 2018 (изменено) · Жалоба 20 часов назад, AN111 сказал: Простое решение - периодически чистить конфиг квагги (или забить :-) ) А может вам для кваги попробовать использовать https://github.com/max197616/extfilter/tree/exp/scripts/extfilter-quagga? Он идет в комплекте с extfilter. Я сижу на нем Изменено 16 июня, 2018 пользователем Nickollla Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bl_cK Опубликовано 19 июня, 2018 (изменено) · Жалоба вчера словили кучу (30+) пропусков по сетям и отдельным ip: https://antizapret.info/site.php?id=426592 Поскольку все стали умными и обзавелись dpi, прежние способы заработка работают не очень хорошо Новый алгоритм заработка на провайдерах: добавить подсетей в реестр, в тот же день (час? минуту?) удалить из реестра, а проверку делать по старым данным. ПРОФИТ! Для пущей профитности можно ежедневно (ежечасно? ежеминутно?) добавлять+убирать сети из реестра и рандомно производить проверки https://antizapret.info/news/?search2=104.236.234.91 Изменено 19 июня, 2018 пользователем Bl_cK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 20 июня, 2018 · Жалоба Та же самая картина уже запарила в край, через день то 0 пропусков, то от 30 до 100+ записей. Вот за 19.06.18 фигурирует ID 900226 и в нём содержится множество ip и ip с timestamp, а в отчёте домены которых нету в реестре. https://survey.openstack.org/,23.253.92.56, GEThttps://www.atkinandthyme.co.uk/, 104.25.243.21, GEThttp://www.games-hacks.org/,172.104.228.143, GET и ещё вот например https://antizapret.info/?search=104.239.135.129&p=1 Долго эта канитель продолжаться будет ? Они вносят и удаляют сразу чтоли ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kolunchik Опубликовано 20 июня, 2018 · Жалоба Неплохо придумано, да? Продолжаться будет примерно всегда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 21 июня, 2018 · Жалоба Есть желающие потестировать extfilter в режиме бриджа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
voiphw Опубликовано 21 июня, 2018 · Жалоба 2 часа назад, max1976 сказал: Есть желающие потестировать extfilter в режиме бриджа? Есть, более чем, как резервную систему блокировки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 июня, 2018 · Жалоба +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 21 июня, 2018 · Жалоба 14 минут назад, voiphw сказал: Есть, более чем, как резервную систему блокировки. Соберите из исходников фильтр. Выполните настройку в соответствии с инструкцией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 июня, 2018 · Жалоба 7 минут назад, max1976 сказал: Соберите из исходников фильтр. Выполните настройку в соответствии с инструкцией. Спасибо!!! Попробуем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 21 июня, 2018 · Жалоба 1 минуту назад, Antares сказал: Спасибо!!! Попробуем Сообщите по результату тестирования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 21 июня, 2018 · Жалоба Только что, max1976 сказал: Сообщите по результату тестирования. Обязательно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 21 июня, 2018 · Жалоба Ещё небольшое замечание - jumbo frames пока не поддерживается, из-за чего могут возникнуть проблемы с прохождение qinq пакетов через фильтр. В будущем добавлю опцию в конфиг. Сейчас включить поддержку jumbo frames можно только путем внесения изменений в исходники. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 июня, 2018 · Жалоба Для пропуска 2г трафика какое нужно железо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 июня, 2018 · Жалоба А можно ли extfilter как то интегрировать с openvswitch? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 22 июня, 2018 (изменено) · Жалоба 17 часов назад, max1976 сказал: Есть желающие потестировать extfilter в режиме бриджа? Я бы с радостью тестанул, но трафика очень много да и схема подключения злая(. Но новость отличная. Спасибо. Изменено 22 июня, 2018 пользователем epollia Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 22 июня, 2018 · Жалоба 10 часов назад, myth сказал: Для пропуска 2г трафика какое нужно железо? Скорее надо учитывать pps, а не ширину канала. В любом случае нужно современное железо. Можете ориентироваться на требования для СКАТа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenisNK Опубликовано 24 июня, 2018 (изменено) · Жалоба Добрый день Подскажите пожалуйста в чем может быть проблема, пытаюсь поставить extfilter(os centos 7 x64, сетевая для dpdk X710), собрался успешно, но при попытке запуска выдает следующее: Скрытый текст EAL: Detected 4 lcore(s) EAL: Probing VFIO support... EAL: PCI device 0000:00:1f.6 on NUMA socket -1 EAL: probe driver: 8086:15b7 net_e1000_em EAL: PCI device 0000:01:00.0 on NUMA socket -1 EAL: probe driver: 8086:1572 net_i40e i40e_set_symmetric_hash_enable_per_port(): Symmetric hash has already been disabled eth_i40e_dev_init(): FW 5.0 API 1.5 NVM 05.00.05 eetrack 80002927 eth_i40e_dev_init(): Failed to sync phy type: -95 EAL: Requested device 0000:01:00.0 cannot be used EAL: PCI device 0000:01:00.1 on NUMA socket -1 EAL: probe driver: 8086:1572 net_i40e i40e_set_symmetric_hash_enable_per_port(): Symmetric hash has already been disabled eth_i40e_dev_init(): FW 5.0 API 1.5 NVM 05.00.05 eetrack 80002927 i40e_pf_setup(): Hardware capability of hash lookup table size: 512 i40e_update_flow_control(): Link auto negotiation not completed EAL: PCI device 0000:05:00.0 on NUMA socket -1 EAL: probe driver: 8086:1533 net_e1000_igb Out of range вывод ./dpdk-devbind.py --status Скрытый текст Network devices using DPDK-compatible driver ============================================ 0000:01:00.0 'Ethernet Controller X710 for 10GbE SFP+ 1572' drv=igb_uio unused= 0000:01:00.1 'Ethernet Controller X710 for 10GbE SFP+ 1572' drv=igb_uio unused= Network devices using kernel driver =================================== 0000:00:1f.6 'Ethernet Connection (2) I219-LM 15b7' if=eno1 drv=e1000e unused=igb_uio 0000:05:00.0 'I210 Gigabit Network Connection 1533' if=eno2 drv=igb unused=igb_uio *Active* содержимое extfilter.ini Скрытый текст ; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения. ;lower_host = false domainlist = /etc/extfilter/rules/domains urllist = /etc/extfilter/rules/urls ssllist = /etc/extfilter/rules/ssl_host ; файл с ip:port для блокировки hostlist = /etc/extfilter/rules/hosts ; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true. sslips = /etc/extfilter/rules/ssl_ips ; если false, то будет послан rst пакет вместо редиректа. Default: false http_redirect = true redirect_url = http://95.66.188.38 ; HTTP код ответа. default: 302 Moved Temporarily http_code = 302 Found ; Что добавлять в redirect_url, line - строка из файла url, url - запрещенный url, none - ничего url_additional_info = none ; посылать tcp rst в сторону сервера от имени клиента. Default: false rst_to_server = true ; Default: 0 - disable statistic_interval = 300 ; Default: false match_url_exactly = false ; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false block_ssl_no_sni = false ; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false block_ssl_no_sni = false ; Какие ядра использовать. Default: все ядра, кроме management. core_mask = 7 ; файл статистики (для extfilter-cacti) ;statisticsfile = /var/run/extFilter_stat ; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500 ; out_mtu = 1500 ; количество тредов для отсылки уведомлений о блокировке ; num_of_senders = 1 ; делать ли нормализацию url url_normalization = true ; удалять ли точку в конце имени хоста remove_dot = true ; CLI для управления или сбора статистики extfilter ; cli_port = 9999 ; cli_address = 127.0.0.1 ; Количество каналов памяти (для DPDK) memory_channels = 2 ; notify_enabled = false ; Формат файла ip/mask @group_id, где group_id группа оповещения. Например: ; 192.168.0.0/24 @0 ; 10.0.0.0/24 @0 ; 10.20.0.0/24 @1 ; notify_acl_file = /usr/local/etc/extfilter/notify_acl ; здесь задаются порты, с которых необходимо снимать трафик ; формат: ; [port n] ; queues = a,b; a1,b1... ; n - номер порта dpdk ; a - номер очереди ; b - ядро, обрабатывающее очередь a ; Пример: [port 0] queues = 0,1;. [port 1] queues = 1,2;. ; Группа оповещения 0 ;[notify 0] ;http_code = 302 Found ;redirect_url = http://announce.example.com/? ;rst_to_server = false ; через какое время делать редирект (секунды) ;period = 1800 ; количество редиректов, если 0 - не ограничено ;repeat = 0 [dpi] ; Максимальное количество обрабатываемых потоков (flow) max_active_flows_ipv4 = 1000000 ; max_active_flows_ipv6 = 1000000 ; Собирать и анализировать фрагментированные пакеты ; fragmentation_ipv6_state = true fragmentation_ipv4_state = true fragmentation_ipv4_table_size = 512 ; fragmentation_ipv6_table_size = 512 ; Собирать и анализировать tcp потоки с неправильными порядком tcp_reordering = true [logging] ;loggers.root.level = information loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/extFilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.purgeCount = 4 channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local Изменено 24 июня, 2018 пользователем DenisNK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 24 июня, 2018 · Жалоба А для ixgbe разве igb_uio используется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...