Morphus Опубликовано 25 октября, 2018 · Жалоба 2 минуты назад, epollia сказал: вот тут ошибся или не все скопировал? Не всё скопировано. 4 минуты назад, epollia сказал: и вопрос: модуль в modprod прописал? кстати, такого нигде нет в файлах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 25 октября, 2018 (изменено) · Жалоба у меня просто не стартовали сервисы без загрузки модуля cat /etc/modules-load.d/uio.conf uio Хотя тут может я сам где не доделал Получается у тебя после ребута сервера сам сервис фильтра не стартует? Прям после ребута пробовал смотреть состояние интерфейсов? Изменено 25 октября, 2018 пользователем epollia Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 25 октября, 2018 · Жалоба Вы были правы, сервисы без этого модуля не стартовали [root@localhost system]# systemctl --type=service | grep failed Скрытый текст UNIT LOAD ACTIVE SUB DESCRIPTION ● dpdk-devbind.service loaded failed failed DPDK device binding ● igb_uio_module.service loaded failed failed igb_uio module insertion ● network.service loaded failed failed LSB: Bring up/down networking ● NetworkManager-wait-online.service loaded failed failed Network Manager Wait Online Прописал загрузку дополнительной строчкой в igb_uio_module.service [Service] Type=oneshot RemainAfterExit=yes ExecStart=/usr/sbin/modprobe uio ExecStart=/sbin/insmod /root/dpdk-stable-17.05.2/x86_64-native-linuxapp-gcc/kmod/igb_uio.ko ExecStop=/sbin/rmmod igb_uio Хотя Ваш вариант с "cat /etc/modules-load.d/uio.conf" ,наверное, правильнее. Однако network.service так же не старутет, но это скорее всего из-за бинда сетевых в dpdk. Скрытый текст [root@localhost ~]# journalctl -u network.service -b -- Logs begin at Чт 2018-10-25 22:33:55 +08, end at Чт 2018-10-25 14:36:06 +08. -- окт 25 14:33:59 localhost.localdomain systemd[1]: Starting LSB: Bring up/down networking... окт 25 14:33:59 localhost.localdomain network[812]: Bringing up loopback interface: [ OK ] окт 25 14:33:59 localhost.localdomain network[812]: Bringing up interface Wired_connection_1: Error: Connection activation failed: No suitable device found for this connection. окт 25 14:33:59 localhost.localdomain network[812]: [FAILED] окт 25 14:34:05 localhost.localdomain network[812]: Bringing up interface Wired_connection_2: Error: Connection activation failed: Active connection removed before it was initialized окт 25 14:34:05 localhost.localdomain network[812]: [FAILED] окт 25 14:34:15 localhost.localdomain network[812]: Bringing up interface enp6s0f0: [ OK ] окт 25 14:34:15 localhost.localdomain systemd[1]: network.service: control process exited, code=exited status=1 окт 25 14:34:15 localhost.localdomain systemd[1]: Failed to start LSB: Bring up/down networking. окт 25 14:34:15 localhost.localdomain systemd[1]: Unit network.service entered failed state. окт 25 14:34:15 localhost.localdomain systemd[1]: network.service failed. Теперь всё запускается как надо! Благодарю за помощь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 25 октября, 2018 · Жалоба @max1976 проблема видимо осталась, сейчас проверил на такой ссылке Скрытый текст http://163.172.112.177/web/index.php в ревизоре она с 200 ответом, в хроме на рабочем так же, то коннект сбрасывает то выводит страницу. Записал дамп на NAS что проходит от тестового ПК до этого ИП и обратно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 октября, 2018 · Жалоба 1 час назад, Cramac сказал: проблема видимо осталась, сейчас проверил на такой ссылке Нет, проблемы нет. Этот ip должен блокироваться как ip адрес, соответственно в режиме зеркала вы либо блокируете его с помощью BGP, либо любым удобным способом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 25 октября, 2018 · Жалоба Только что, max1976 сказал: Нет, проблемы нет. Этот ip должен блокироваться как ip адрес, соответственно в режиме зеркала вы либо блокируете его с помощью BGP, либо любым удобным способом. Даже так. Значит меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет. как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 октября, 2018 · Жалоба Только что, Cramac сказал: Даже так. Значит меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет. как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables? Я не знаю дизайн вашей сети, поэтому мне сложно предложить подходящий именно вам вариант. Можно запустить фильтр в режиме моста (для резервирования можно поставить 2 сервера параллельно), тогда не понадобится фильтровать ip адреса и сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 25 октября, 2018 · Жалоба Не, мост я боюсь делать, а резервирование еще не придумал как. схема проста, сервак, одна сетевая аплинк, вторая внутренняя сеть, НАТим п.с. Вопрос тогда, что блокирует сам extfilter? Только по Домену и урлы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 октября, 2018 · Жалоба 2 минуты назад, Cramac сказал: п.с. Вопрос тогда, что блокирует сам extfilter? Только по Домену и урлы? В режиме зеркала http/https. Эффективно заблокировать в режиме зеркала IP адреса и сети невозможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 октября, 2018 · Жалоба 2 часа назад, Cramac сказал: Не, мост я боюсь делать, а резервирование еще не придумал как. Простейший вариант для резервирования - LACP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 26 октября, 2018 · Жалоба 10 часов назад, Cramac сказал: Даже так. Значит меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет. как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables? У меня ревизор ходит через NAT, там для дублирования схемы блокировки по ip (основная через BGP blackhole) сделан ipset с timeout в 2 часа. И каждый час скрипт (переделанный скрипт для кваги) заливает туда ip и сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 26 октября, 2018 · Жалоба @epollia а как закрыть ip порт ? Или тупо по ip ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 26 октября, 2018 · Жалоба все что в таблице zap2_only_ips нужно блочить просто по ip # iptables -nvL -t mangle Chain PREROUTING (policy ACCEPT 1442G packets, 1363T bytes) pkts bytes target prot opt in out source destination 1814K 109M DROP all -- * * x.x.x.x 0.0.0.0/0 match-set revblock-net-timeout ipset -L revblock-net-timeout| more Name: revblock-net-timeout Type: hash:net Header: family inet hashsize 16777216 maxelem 16777216 timeout 7200 Также данные из таблиц zap2_subnets и zap2_ips Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 28 октября, 2018 · Жалоба @epollia спасибо, вчера замутил, только 2 позиции в отчет попало и то до запуска блока по ИП. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 30 октября, 2018 · Жалоба Возможно ли время от времени появление пропущенных пакетов по какой-то причине ? Один раз скакануло, после этой метки больше не увеличивалось. 2018-10-30 22:29:10.362 [1029] Information Application - Port 0 input packets 359478609808, input errors: 0, mbuf errors: 0, missed packets: 2567 2018-10-30 22:29:10.362 [1029] Information Application - Port 1 input packets 0, input errors: 0, mbuf errors: 0, missed packets: 0 Ещё: Я думал эти значения обновляются (перезаписываются) через statistic_interval в конфиге. Но выходит что он их копит. Не будет какого-нить переполнения типа или ещё чего. Число то огромное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 30 октября, 2018 · Жалоба 5 часов назад, Morphus сказал: Ещё: Я думал эти значения обновляются (перезаписываются) через statistic_interval в конфиге. Но выходит что он их копит. Не будет какого-нить переполнения типа или ещё чего. Число то огромное. Счетчики 64 бита, максимальное число 9223372036854775807, и если даже переполнится, то начнется с 0. 5 часов назад, Morphus сказал: озможно ли время от времени появление пропущенных пакетов по какой-то причине ? Один раз скакануло, после этой метки больше не увеличивалось. Если ядра успевают обрабатывать трафик, то missed должен быть 0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 30 октября, 2018 · Жалоба Подскажите, в логах zapret.pl чем отличаются записи IPv4 ips: и IPv4 only IPs: Когда добавляются IPv4 only IPs: то extfilter не релоадится... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 31 октября, 2018 · Жалоба IPv4 only не блокирутся фильтром, их надо блокировать либо bgp либо iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickollla Опубликовано 31 октября, 2018 · Жалоба 8 часов назад, max1976 сказал: Если ядра успевают обрабатывать трафик, то missed должен быть 0. У меня слабый CPU и иногда понемногу были missed. Отключение debug в конфиге исправило ситуацию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 31 октября, 2018 · Жалоба 2 часа назад, Antares сказал: IPv4 only не блокирутся фильтром, их надо блокировать либо bgp либо iptables у меня в бридже, так что блокируется. Понятно надо значит найти где запрет поправить, чтобы релоад делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 31 октября, 2018 · Жалоба 1 час назад, Nickollla сказал: У меня слабый CPU и иногда понемногу были missed. Отключение debug в конфиге исправило ситуацию Так max1976 говорил что в режиме debug будут пропуски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 31 октября, 2018 · Жалоба 1 час назад, radiotech сказал: у меня в бридже, так что блокируется. Понятно надо значит найти где запрет поправить, чтобы релоад делать. Да, упустил момент обновления hosts файла. Исправление на github'е. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 31 октября, 2018 · Жалоба 19 минут назад, max1976 сказал: Да, упустил момент обновления hosts файла. Исправление на github'е. +1 в карму :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 31 октября, 2018 · Жалоба Цитата Да, упустил момент обновления hosts файла. Исправление на github'е. Так вот сидишь, думаешь, что всё хорошо, а тут вдруг такое ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 31 октября, 2018 · Жалоба 2 часа назад, arhead сказал: Так max1976 говорил что в режиме debug будут пропуски. Уже раз 100 об этом писал. 5 минут назад, Morphus сказал: Так вот сидишь, думаешь, что всё хорошо, а тут вдруг такое ) Это критично только для работы фильтра в режиме моста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...