st_re Опубликовано 25 сентября, 2019 · Жалоба 2 часа назад, ixi сказал: Некоторые ресурсы из списка отправляют ответ ещё до получения запроса, так что и в разрыв не всегда поможет ?? еще и подумать не успел, даже комп то не включал, а сайт из списка уже загрузился :) наверное всетаки запрос то должен быть, другой вопрос, что они начинают отправлять ответ не дожидаясь получения всего запроса. ну таких по IP в черный список. ща еще http/3 через UDP приедет... :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 25 сентября, 2019 · Жалоба 1 час назад, st_re сказал: наверное всетаки запрос то должен быть, другой вопрос, что они начинают отправлять ответ не дожидаясь получения всего запроса Не помню совсем уже детали, но в tcpdump ответ был через 2мс после отправки хоста при пинге 200мс 1 час назад, st_re сказал: таких по IP в черный список А они меняются постоянно, и весьма сильно различаются. Помогает только подмена dns для домена + блокировка IP из соответствующей записи реестра. 1 час назад, st_re сказал: ща еще http/3 через UDP приедет... :) вздохнём с облегчением, блокировать кроме как по IP станет невозможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Troj Опубликовано 25 сентября, 2019 · Жалоба 6 часов назад, ixi сказал: Не DPI? это давно уже не работает, в списках хватает адресов, постоянно меняющих IP есть реестр где есть домен-ип, то что меняется ip это уже не моя проблема, а ркн Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 сентября, 2019 · Жалоба Эээ... штрафов от РКН еще не приходило ? у них другое мнение по этому вопросу. И ревизор ходит и в IP из реестра и в IP из ДНСа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 26 сентября, 2019 · Жалоба 12 часов назад, Troj сказал: есть реестр где есть домен-ип, то что меняется ip это уже не моя проблема, а ркн Если тип блокировки домен, то блокировать надо именно по домену. Пачка IP -- это только довесок к проверке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nevsik Опубликовано 26 сентября, 2019 · Жалоба Network devices using kernel driver =================================== 0000:02:00.0 '88E8056 PCI-E Gigabit Ethernet Controller 4364' if=enp2s0 drv=sky2 unused= *Active* 0000:04:00.0 '82574L Gigabit Network Connection 10d3' if=enp4s0 drv=e1000e unused= 0000:05:00.0 '82574L Gigabit Network Connection 10d3' if=enp5s0 drv=e1000e unused= Вот в такой конфигурации режим inline не получиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ValdikSS Опубликовано 1 октября, 2019 (изменено) · Жалоба Кто-нибудь с Урала может подтвердить или опровергнуть, что Роскомнадзор устанавливает именно EcoDPI от rdp.ru для тестирования? Новости (1, 2) указывают именно на его, но хотелось бы подтверждения. Можно в ЛС, если не хотите писать публично. Изменено 1 октября, 2019 пользователем ValdikSS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 2 октября, 2019 · Жалоба 15 часов назад, ValdikSS сказал: Кто-нибудь с Урала может подтвердить или опровергнуть, что Роскомнадзор устанавливает именно EcoDPI от rdp.ru для тестирования? Новости (1, 2) указывают именно на его, но хотелось бы подтверждения. Можно в ЛС, если не хотите писать публично. Предложений не поступало ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rivia Опубликовано 3 октября, 2019 · Жалоба Делается это почти наверняка только у крупняков, поэтому вряд ли вы эту информацию в принципе получите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 3 октября, 2019 (изменено) · Жалоба Вот и кончилась память для маршрутов у меня ASR1002 выдала CEF has been disabled due to a low memory condition. It can be re-enabled by configuring "ip cef [distributed]" и закрыла все интерфейсы Изменено 3 октября, 2019 пользователем arhead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 3 октября, 2019 · Жалоба ipset справляется еще с таким количеством адресов? Думаю перенести перенести это на gw сервера. А то что главный маршрутизатор падает не есть хорошо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dee Опубликовано 3 октября, 2019 (изменено) · Жалоба 5 минут назад, arhead сказал: ipset справляется еще с таким количеством адресов? Думаю перенести перенести это на gw сервера. А то что главный маршрутизатор падает не есть хорошо. я писал про это чуть раньшге , там при создании таблицы нужен ключ укаать для наибольшего количества записей (переваривает со свистом , но не построчно а через restore) Скрытый текст кстати для тех у кого PC роутеры или микротик системы , я в своё время топил прям за ip route blackhole , но в какой то момент увидел как там появилось порядка 400 тыщ маршрутов (меня это расстроило , т.к штатными средствами заливать это приходилось даже не быстрой системе по 15 минут (это в случае очистки таблицы и залития новой (можно обойтись конечно сравнением массивов , но заморачиваться не стал т.к нашел метод на 10 сек) , тот же самый ipset с параметром ipset create revizor hash:net maxelem 999999999 , что бы убрать штатное ограничение в 65535 записей и сперва генерить текстовый фаил вида add revizor х.х.х.х (с кучей строк) , а потом делать ipset restore < ./my_file (заливается где то за 5 сек) . Удобно и всегда актуальный список (можно держать 2 списка для обнуления одного , а потом их менять местами что бы в эти 5 сек ни кто не проскочил). Так же гуглил в сторону ip route save/restore - тоже работет очень быстро , но там заморочка в генерации файла для заливки (бинарник) , нужно поднимать библиотеки и что то ваять (вроде на питоне было что то , но ipset спас ситуацию). Изменено 3 октября, 2019 пользователем dee Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 4 октября, 2019 · Жалоба Для статистики: На старом CPU E3-1280 V2 с двухголовой сетевой x520, 5 воркеров , блокировки ip гружу в конфиг фильтра Запустил реальный трафик пользователей вразрыв, загрузил на 9.6 гига. ~1.5М pps missed_packets=0 , потерь нет, пока наблюдаю...) l2fwd из пакета dpdk нибудь использовал для резервирования в случае падения фильтра? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 4 октября, 2019 · Жалоба On 10/3/2019 at 6:38 PM, arhead said: Вот и кончилась память для маршрутов у меня ASR1002 выдала CEF has been disabled due to a low memory condition. It can be re-enabled by configuring "ip cef [distributed]" и закрыла все интерфейсы Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд) Возможно, что такое количество blachole IP и EcoDPI не прожует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 4 октября, 2019 · Жалоба 4 минуты назад, AN111 сказал: Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд) Возможно, что такое количество blachole IP и EcoDPI не прожует. Я сегодня перенес на gw сервера блокировку с помощью ipset. Не знаю на сколько хватит при таком добавлении адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 4 октября, 2019 · Жалоба 10 минут назад, AN111 сказал: Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд) Возможно, что такое количество blachole IP и EcoDPI не прожует. Да прожует спокойно, все упирается в оперативную память, и extfilter прожует вразрыв. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bl_cK Опубликовано 4 октября, 2019 · Жалоба 2 hours ago, AN111 said: Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд) Возможно, что такое количество blachole IP и EcoDPI не прожует. Месяц назад quagga отрабатывала за время до двух часов на грязном конфиге, vtysh иногда зависал, помогала чистка говномаршрутов и запуск. Сегодня - пытается уже четыре часа с чистым конфигом. vtysh явно для таких извращений не предназначался ^_^ Судя по всему, придётся в фаерволл кидать. Есть где-то примерный скрипт генерации конфига для ipset? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 5 октября, 2019 · Жалоба 9 часов назад, Bl_cK сказал: Судя по всему, придётся в фаерволл кидать. Есть где-то примерный скрипт генерации конфига для ipset? Можно родной extfilter_quagga.pl от extfilter перепилить под генерацию правил ipset. Работы на 15 минут с кофебрейком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marsellus Опубликовано 5 октября, 2019 · Жалоба Я сделал так - в сервере 4 интерфейса. Два работают на DPI (в режиме зеркала), другие два - роутер. Анонсирую на бордер все заблокированные IP, но с агрегацией до /24. Получается 100К с копейкам маршрутов. Блокирую в ipset. А все, что не заблокировано форвардю далее на тот же бордер, на интерфейс с PBR и далее в инет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 7 октября, 2019 · Жалоба # агрегация отдельных ipv4 адресов в сети ipv4_aggregate_prefix = 32 Оставить 32 маску или поставить побольше? У кого как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 7 октября, 2019 (изменено) · Жалоба Посмотрел сейчас уже около 2 недель в отчётах только "Данные обрабатываются. Повторите запрос позже." Раньше всё нормально было, что это может быть? Слишком адресов много и реестр распух? Изменено 7 октября, 2019 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 7 октября, 2019 · Жалоба 1 час назад, hsvt сказал: Посмотрел сейчас уже около 2 недель в отчётах только "Данные обрабатываются. Повторите запрос позже." Раньше всё нормально было, что это может быть? Слишком адресов много и реестр распух? А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив. https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&page=132 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 7 октября, 2019 · Жалоба 5 часов назад, bike сказал: А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив. https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&page=132 Спасибо за пруф, я думал в основном здесь эту хрень обсуждают, уже и забыл про отдельную ветку форума) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 8 октября, 2019 · Жалоба 15 часов назад, bike сказал: А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив. https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&page=132 Да наверное как сделают сразу начнут искать кому бы штраф впаять. Черноземье вроде отчеты снимаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 8 октября, 2019 (изменено) · Жалоба @max1976 А не подскажите по блокировке ip. Стоит один из последних extfilter который использовал для отсылки сброса или переадресации сетевой стек Linux. Ему можно задать что бы он блокировал IP? Просто есть клиенты которые работают от центральной циски напрямую. А у нее не хватает памяти для 900 тыс маршрутов. И так 2 FV и пиринг один Изменено 8 октября, 2019 пользователем arhead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...