myth Опубликовано 5 сентября, 2018 · Жалоба Вроде еще выгрузки не выгружаются такие. Как пилить скрипт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 5 сентября, 2018 · Жалоба 13 минут назад, myth сказал: Вроде еще выгрузки не выгружаются такие. Как пилить скрипт? там вроде как только два новых тега добавилось и атрибут внутри соответствующий. Нужно проверку на эти теги сделать в content-e и добавлять их также в таблицу к v4ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 5 сентября, 2018 · Жалоба Это зачем их к v4 то добавлять? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 5 сентября, 2018 · Жалоба 9 часов назад, Morphus сказал: Уважаемый @max1976. Планируется ли обновление скрипта https://github.com/max197616/zapret под 2.4 версию дампа ? Да, добавлю поддержку разбора ipv6 тегов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
atdp03 Опубликовано 5 сентября, 2018 · Жалоба 17 minutes ago, max1976 said: Да, добавлю поддержку разбора ipv6 тегов. И можно сразу костыли, реагирующие на попадание адресов ipv6 в другие теги. =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 10 сентября, 2018 · Жалоба Там есть проверка v4/v6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 15 сентября, 2018 · Жалоба В 28.08.2018 в 10:52, SokolovS сказал: Я уверен. Т.к. помимо zapret.pl есть еще один загрузчик реестра, который всегда отправляет один и тот же запрос с подписью. На нем вчера и проверял ГОСТ 2012. Вчера все успешно сконвертировал с помощью p12fromgostcsp. Мне кажется, что сам ключ в бинарном виде просто конвертируется из одного представления в другое вот и все, т.е. сам криптоалгоритм с помощью которого сгенерирован ключ тут не важен. CSP и PEM это же только формат хранения ключа и сертификата. Все так. Но опция в конфиге првильней. Опция уже давно есть в конфиге. Ставьте form_request = 0 в секции [API] и тогда файлы не будут генерироваться, а будут взяты из каталога с программой с именами из req_file и sig_file. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 21 сентября, 2018 · Жалоба Всем привет. После очередного штрафа, хочу собрать и дублировать фильтр от вышестоящего. Хочу собрать extfilter и зеркалить на него трафик. подскажите что под него собрать из железа? трафика больше гига не бывает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgen.v Опубликовано 21 сентября, 2018 · Жалоба Подскажите, есть ли возможность сделать что-то типа whitelist, чтоб указать ip, для которых не нужно проводить фильтрацию трафика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 сентября, 2018 · Жалоба 1 час назад, evgen.v сказал: Подскажите, есть ли возможность сделать что-то типа whitelist, чтоб указать ip, для которых не нужно проводить фильтрацию трафика? Можно через suricat'у Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evgen.v Опубликовано 21 сентября, 2018 · Жалоба 1 час назад, ne-vlezay80 сказал: Можно через suricat'у Забыл уточнить, используется extfilter, интересует именно в нем. Раньше стоял nfqfilter, там выкрутился через iptables, а вот как в extfilter такое провернуть - хз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 21 сентября, 2018 · Жалоба 1 час назад, evgen.v сказал: Забыл уточнить, используется extfilter, интересует именно в нем. Раньше стоял nfqfilter, там выкрутился через iptables, а вот как в extfilter такое провернуть - хз Там нужен sss3 и ssse4. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 22 сентября, 2018 · Жалоба В 21.09.2018 в 22:03, evgen.v сказал: Забыл уточнить, используется extfilter, интересует именно в нем. Раньше стоял nfqfilter, там выкрутился через iptables, а вот как в extfilter такое провернуть - хз блокировка по IP реализуется через blackhole, просто не анонсируйте нужные сети, либо пропишите маршруты на меньшие префиксы. ну я не уверен что реализовано это, надо смотреть скрипты генерации конфигов, но в базе есть нексолько таблиц,zap2_ex.... я так понял туда можно запсать исклчения, но надо проверять) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 23 сентября, 2018 · Жалоба Там речь о другом. Мимо фильтра протаскивайте тех кому без фильтра надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 24 сентября, 2018 · Жалоба 22 часа назад, zhenya` сказал: Там речь о другом. Мимо фильтра протаскивайте тех кому без фильтра надо. Не отправляй их трафик на фильтр) ACL и т.п. Как варианта можно использовать ACL ни исходящем интерфейсе, блокировать пакеты от/к ip, трафик коорых не нужно фильтровать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dee Опубликовано 24 сентября, 2018 · Жалоба В 23.09.2018 в 06:07, zhenya` сказал: Там речь о другом. Мимо фильтра протаскивайте тех кому без фильтра надо. вообще нет проблем , на том серкаке (на мак чего идут ответы о блоке) нужно блочнуть что то в стиле : iptables -A FORWARD -i ethX -m set --match-set not_filter dst -j DROP где ethX это интерфейс прихода ответов от фильтра а nof_filter это ipset где перечисляются все , кому не нужно слать ответы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 24 сентября, 2018 · Жалоба В 21.09.2018 в 14:43, evgen.v сказал: указать ip, для которых не нужно проводить фильтрацию трафика? таблица ex_ips Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 24 сентября, 2018 · Жалоба 12 часов назад, dee сказал: вообще нет проблем , на том серкаке (на мак чего идут ответы о блоке) нужно блочнуть что то в стиле : iptables -A FORWARD -i ethX -m set --match-set not_filter dst -j DROP где ethX это интерфейс прихода ответов от фильтра а nof_filter это ipset где перечисляются все , кому не нужно слать ответы Ето если пассивный DPI. Если активный, то не прокатет. В 9/23/2018 в 06:07, zhenya` сказал: Там речь о другом. Мимо фильтра протаскивайте тех кому без фильтра надо. А кто это может быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dee Опубликовано 25 сентября, 2018 (изменено) · Жалоба 10 часов назад, ne-vlezay80 сказал: Ето если пассивный DPI. Если активный, то не прокатет. А кто это может быть? да что вы говорите , у меня отлично блокируются ответы от extFiler именно таким образом или речь идёт о бриджевой связке ? если бридж , то ebtables так же никто не отменял Изменено 25 сентября, 2018 пользователем dee Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 25 сентября, 2018 · Жалоба 3 часа назад, dee сказал: или речь идёт о бриджевой связке ? если бридж , то ebtables так же никто не отменял а как это делать через ebtables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bl_cK Опубликовано 28 сентября, 2018 (изменено) · Жалоба наконец-то Quote Later this week we expect Mozilla's Firefox to become the first browser to support the new protocol in their Nightly release. In the months to come, the plan is for it go mainstream. And it's not just Mozilla. There's been significant interest from all the major browser makers and I'm hopeful they'll all add support for ESNI over time. https://blog.cloudflare.com/esni/ Изменено 28 сентября, 2018 пользователем Bl_cK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 29 сентября, 2018 · Жалоба А на убунте кто нить собирал extfilter ? что то у меня закончилось этим: Цитата make Making all in src make[1]: Entering directory '/usr/src/extfilter/src' g++ -DHAVE_CONFIG_H -I. -I../include -I/usr/src/dpdk-17.05.1/build/include -I.././peafowl/src -I.././marisa/include -march=native -mtune=native -std=c++11 -O3 -Wall -fno-stack-protector -pthread -march=native -mtune=native -mpopcnt -mavx2 -MT main.o -MD -MP -MF .deps/main.Tpo -c -o main.o main.cpp main.cpp:11:10: fatal error: rte_config.h: No such file or directory #include <rte_config.h> ^~~~~~~~~~~~~~ compilation terminated. Makefile:376: recipe for target 'main.o' failed make[1]: *** [main.o] Error 1 make[1]: Leaving directory '/usr/src/extfilter/src' Makefile:346: recipe for target 'all-recursive' failed make: *** [all-recursive] Error 1 а на centos 7 это выглядит так: make install Making install in src make[1]: Entering directory `/usr/src/extfilter/src' g++ -DHAVE_CONFIG_H -I. -I../include -I/usr/src/dpdk-18.08/build/include -I.././peafowl/src -I.././marisa/include -march=native -mtune=nat ive -std=c++11 -O3 -Wall -fno-stack-protector -pthread -march=native -mtune=native -mpopcnt -mavx2 -MT main.o -MD -MP -MF .deps/main.Tpo - c -o main.o main.cpp main.cpp: In member function ‘int extFilter::initSenderPort(uint8_t, ether_addr*, uint8_t)’: main.cpp:258:18: error: ‘struct rte_eth_rxmode’ has no member named ‘header_split’ portConf.rxmode.header_split = DPDK_CONFIG_HEADER_SPLIT; ^ main.cpp:259:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_ip_checksum’ portConf.rxmode.hw_ip_checksum = DPDK_CONFIG_HW_IP_CHECKSUM; ^ main.cpp:260:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_vlan_filter’ portConf.rxmode.hw_vlan_filter = DPDK_CONFIG_HW_VLAN_FILTER; ^ main.cpp:264:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_strip_crc’ portConf.rxmode.hw_strip_crc = DPDK_CONFIG_HW_STRIP_CRC; ^ main.cpp: In member function ‘int extFilter::initPort(uint8_t, ether_addr*, bool)’: main.cpp:340:18: error: ‘struct rte_eth_rxmode’ has no member named ‘header_split’ portConf.rxmode.header_split = DPDK_CONFIG_HEADER_SPLIT; ^ main.cpp:341:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_ip_checksum’ portConf.rxmode.hw_ip_checksum = DPDK_CONFIG_HW_IP_CHECKSUM; ^ main.cpp:342:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_vlan_filter’ portConf.rxmode.hw_vlan_filter = DPDK_CONFIG_HW_VLAN_FILTER; ^ main.cpp:360:18: error: ‘struct rte_eth_rxmode’ has no member named ‘hw_strip_crc’ portConf.rxmode.hw_strip_crc = DPDK_CONFIG_HW_STRIP_CRC; ^ main.cpp: In member function ‘virtual void extFilter::initialize(Poco::Util::Application&)’: main.cpp:920:14: warning: ‘uint16_t rte_eth_dev_count()’ is deprecated (declared at /usr/src/dpdk-18.08/build/include/rte_ethdev.h:1398) [- Wdeprecated-declarations] _nb_ports = rte_eth_dev_count(); ^ main.cpp:920:32: warning: ‘uint16_t rte_eth_dev_count()’ is deprecated (declared at /usr/src/dpdk-18.08/build/include/rte_ethdev.h:1398) [- Wdeprecated-declarations] _nb_ports = rte_eth_dev_count(); ^ make[1]: *** [main.o] Error 1 make[1]: Leaving directory `/usr/src/extfilter/src' make: *** [install-recursive] Error 1 [root@localhost extfilter]# Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 29 сентября, 2018 · Жалоба попробуй собрать на dpdk что указана в рекомендациях Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 29 сентября, 2018 · Жалоба 11 минут назад, epollia сказал: попробуй собрать на dpdk что указана в рекомендациях и это пробовал, только последняя версия dpdk собирается на centos 7 а вот что указана в описании extfilter, dpdk даже не собрался. == Build lib/librte_eal/linuxapp/kni LD /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/built-in.o CC [M] /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_misc.o CC [M] /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.o /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: unknown field ‘ndo_change_mtu’ specified in initializer .ndo_change_mtu = kni_net_change_mtu, ^ /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: missing braces around initializer [-Werror=missing-braces] /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: (near initialization for ‘kni_net_netdev_ops.<anonymous>’) [-Werror=missing-braces] /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: initialization from incompatible pointer type [-Werror] /usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.c:704:2: error: (near initialization for ‘kni_net_netdev_ops.<anonymous>.ndo_select_queue’) [-Werror] cc1: all warnings being treated as errors make[8]: *** [/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni/kni_net.o] Error 1 make[7]: *** [_module_/usr/src/dpdk-stable-17.05.1/build/build/lib/librte_eal/linuxapp/kni] Error 2 make[6]: *** [sub-make] Error 2 make[5]: *** [rte_kni.ko] Error 2 make[4]: *** [kni] Error 2 make[3]: *** [linuxapp] Error 2 make[2]: *** [librte_eal] Error 2 make[1]: *** [lib] Error 2 make: *** [all] Error 2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 29 сентября, 2018 · Жалоба Поищи в теме, где то была ссылкуа на патч дпдк для сборки под сентос 7 diff --git a/lib/librte_eal/linuxapp/kni/compat.h b/lib/librte_eal/linuxapp/kni/compat.h index 3f8c0bc..6a6968d 100644 --- a/lib/librte_eal/linuxapp/kni/compat.h +++ b/lib/librte_eal/linuxapp/kni/compat.h @@ -101,6 +101,11 @@ #undef NET_NAME_UNKNOWN #endif +#if (defined(RHEL_RELEASE_CODE) && \ + (RHEL_RELEASE_CODE >= RHEL_RELEASE_VERSION(7, 5))) +#define ndo_change_mtu ndo_change_mtu_rh74 +#endif + #if LINUX_VERSION_CODE >= KERNEL_VERSION(4, 11, 0) #define HAVE_SIGNAL_FUNCTIONS_OWN_HEADER #endif Вроде это Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...