1. Для блокировка используем

[Morphus]

2 минуты назад, epollia сказал:

вот тут ошибся или не все скопировал?

Не всё скопировано.

4 минуты назад, epollia сказал:

и вопрос: модуль в modprod прописал?

кстати, такого нигде нет в файлах

[epollia]

у меня просто не стартовали сервисы без загрузки модуля

cat /etc/modules-load.d/uio.conf 

uio

 

 

Хотя тут может я сам где не доделал

 

Получается у тебя после ребута сервера сам сервис фильтра не стартует?

Прям после ребута пробовал смотреть состояние интерфейсов?

Изменено 25 октября, 2018 пользователем epollia

[Morphus]

Вы были правы, сервисы без  этого модуля не стартовали

[root@localhost system]# systemctl --type=service | grep failed

Скрытый текст

 UNIT                               LOAD   ACTIVE SUB     DESCRIPTION
● dpdk-devbind.service               loaded failed failed  DPDK device binding
● igb_uio_module.service             loaded failed failed  igb_uio module insertion
● network.service                    loaded failed failed  LSB: Bring up/down networking
● NetworkManager-wait-online.service loaded failed failed  Network Manager Wait Online

 

Прописал загрузку дополнительной строчкой в igb_uio_module.service
 

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/modprobe uio
ExecStart=/sbin/insmod /root/dpdk-stable-17.05.2/x86_64-native-linuxapp-gcc/kmod/igb_uio.ko
ExecStop=/sbin/rmmod igb_uio

Хотя Ваш вариант с "cat /etc/modules-load.d/uio.conf" ,наверное, правильнее.

Однако network.service так же не старутет, но это скорее всего из-за бинда сетевых в dpdk.

Скрытый текст

[root@localhost ~]# journalctl -u network.service -b
-- Logs begin at Чт 2018-10-25 22:33:55 +08, end at Чт 2018-10-25 14:36:06 +08. --
окт 25 14:33:59 localhost.localdomain systemd[1]: Starting LSB: Bring up/down networking...
окт 25 14:33:59 localhost.localdomain network[812]: Bringing up loopback interface:  [  OK  ]
окт 25 14:33:59 localhost.localdomain network[812]: Bringing up interface Wired_connection_1:  Error: Connection activation failed: No suitable device found for this connection.
окт 25 14:33:59 localhost.localdomain network[812]: [FAILED]
окт 25 14:34:05 localhost.localdomain network[812]: Bringing up interface Wired_connection_2:  Error: Connection activation failed: Active connection removed before it was initialized
окт 25 14:34:05 localhost.localdomain network[812]: [FAILED]
окт 25 14:34:15 localhost.localdomain network[812]: Bringing up interface enp6s0f0:  [  OK  ]
окт 25 14:34:15 localhost.localdomain systemd[1]: network.service: control process exited, code=exited status=1
окт 25 14:34:15 localhost.localdomain systemd[1]: Failed to start LSB: Bring up/down networking.
окт 25 14:34:15 localhost.localdomain systemd[1]: Unit network.service entered failed state.
окт 25 14:34:15 localhost.localdomain systemd[1]: network.service failed.
 

Теперь всё запускается как надо! Благодарю за помощь!

[Cramac]

@max1976 проблема видимо осталась, сейчас проверил на такой ссылке

Скрытый текст

http://163.172.112.177/web/index.php

в ревизоре она с 200 ответом, в хроме на рабочем так же, то коннект сбрасывает то выводит страницу.

Записал дамп на NAS что проходит от тестового ПК до этого ИП и обратно.

[max1976]

1 час назад, Cramac сказал:

 проблема видимо осталась, сейчас проверил на такой ссылке

Нет, проблемы нет. Этот ip должен блокироваться как ip адрес, соответственно в режиме зеркала вы либо блокируете его с помощью BGP, либо любым удобным способом.

[Cramac]

Только что, max1976 сказал:

Нет, проблемы нет. Этот ip должен блокироваться как ip адрес, соответственно в режиме зеркала вы либо блокируете его с помощью BGP, либо любым удобным способом.

Даже так. Значит  меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет.

как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables?

[max1976]

Только что, Cramac сказал:

Даже так. Значит  меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет.

как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables?

Я не знаю дизайн вашей сети, поэтому мне сложно предложить подходящий именно вам вариант. Можно запустить фильтр в режиме моста (для резервирования можно поставить 2 сервера параллельно), тогда не понадобится фильтровать ip адреса и сети.

[Cramac]

Не, мост я боюсь делать, а резервирование еще не придумал как.

схема проста, сервак, одна сетевая аплинк, вторая внутренняя сеть, НАТим 

 

п.с. Вопрос тогда, что блокирует сам extfilter? Только по Домену и урлы?

[max1976]

2 минуты назад, Cramac сказал:

п.с. Вопрос тогда, что блокирует сам extfilter? Только по Домену и урлы?

В режиме зеркала http/https. Эффективно заблокировать в режиме зеркала IP адреса и сети невозможно. 

[max1976]

2 часа назад, Cramac сказал:

Не, мост я боюсь делать, а резервирование еще не придумал как.

Простейший вариант для резервирования - LACP. 

[epollia]

10 часов назад, Cramac сказал:

Даже так. Значит  меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет.

как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables?

У меня ревизор ходит через NAT, там для дублирования схемы блокировки по ip (основная через BGP blackhole) сделан ipset с timeout в 2 часа. И каждый час скрипт (переделанный скрипт для кваги) заливает туда ip и сети.

[Cramac]

@epollia а как закрыть ip порт ? Или тупо по ip ?

[epollia]

все что в таблице zap2_only_ips нужно блочить просто по ip

# iptables -nvL -t mangle
Chain PREROUTING (policy ACCEPT 1442G packets, 1363T bytes)
 pkts bytes target     prot opt in     out     source               destination         
1814K  109M DROP       all  --  *      *       x.x.x.x      0.0.0.0/0           match-set revblock-net-timeout

 

 

ipset -L revblock-net-timeout| more
Name: revblock-net-timeout
Type: hash:net
Header: family inet hashsize 16777216 maxelem 16777216 timeout 7200

 

 

Также данные из таблиц zap2_subnets и zap2_ips

[Cramac]

@epollia спасибо, вчера замутил, только 2 позиции в отчет попало и то до запуска блока по ИП.

[Morphus]

Возможно ли время от времени появление пропущенных пакетов по какой-то причине ? Один раз скакануло, после этой метки больше не увеличивалось.

2018-10-30 22:29:10.362 [1029] Information Application - Port 0 input packets 359478609808, input errors: 0, mbuf errors: 0, missed packets: 2567
2018-10-30 22:29:10.362 [1029] Information Application - Port 1 input packets 0, input errors: 0, mbuf errors: 0, missed packets: 0

Ещё: Я думал эти значения обновляются (перезаписываются) через statistic_interval в конфиге. Но выходит что он их копит. Не будет какого-нить переполнения типа или ещё чего. Число то огромное.

 

[max1976]

5 часов назад, Morphus сказал:

Ещё: Я думал эти значения обновляются (перезаписываются) через statistic_interval в конфиге. Но выходит что он их копит. Не будет какого-нить переполнения типа или ещё чего. Число то огромное.

Счетчики 64 бита, максимальное число 9223372036854775807, и если даже переполнится, то начнется с 0.

 

5 часов назад, Morphus сказал:

озможно ли время от времени появление пропущенных пакетов по какой-то причине ? Один раз скакануло, после этой метки больше не увеличивалось.

Если ядра успевают обрабатывать трафик, то missed должен быть 0.

[radiotech]

Подскажите, в логах zapret.pl чем отличаются записи IPv4 ips:  и IPv4 only IPs: 

Когда добавляются IPv4 only IPs: то extfilter не релоадится...

[Antares]

IPv4 only не блокирутся фильтром, их надо блокировать либо bgp либо iptables

[Nickollla]

8 часов назад, max1976 сказал:

Если ядра успевают обрабатывать трафик, то missed должен быть 0.

У меня слабый CPU и иногда понемногу были missed. Отключение debug в конфиге исправило ситуацию

[radiotech]

2 часа назад, Antares сказал:

IPv4 only не блокирутся фильтром, их надо блокировать либо bgp либо iptables

у меня в бридже, так что блокируется.

Понятно надо значит найти где запрет поправить, чтобы релоад делать.

[arhead]

1 час назад, Nickollla сказал:

У меня слабый CPU и иногда понемногу были missed. Отключение debug в конфиге исправило ситуацию

Так max1976 говорил что в режиме debug будут пропуски.

[max1976]

1 час назад, radiotech сказал:

у меня в бридже, так что блокируется.

Понятно надо значит найти где запрет поправить, чтобы релоад делать.

Да, упустил момент обновления hosts файла. Исправление на github'е.

[Davion]

19 минут назад, max1976 сказал:

Да, упустил момент обновления hosts файла. Исправление на github'е.

+1 в карму :-)

[Morphus]

Цитата

Да, упустил момент обновления hosts файла. Исправление на github'е.

Так вот сидишь, думаешь, что всё хорошо, а тут вдруг такое )

[max1976]

2 часа назад, arhead сказал:

Так max1976 говорил что в режиме debug будут пропуски.

Уже раз 100 об этом писал.

 

5 минут назад, Morphus сказал:

Так вот сидишь, думаешь, что всё хорошо, а тут вдруг такое )

Это критично только для работы фильтра в режиме моста.