1. Для блокировка используем

[st_re]

2 часа назад, ixi сказал:

Некоторые ресурсы из списка отправляют ответ ещё до получения запроса, так что и в разрыв не всегда поможет

?? еще и подумать не успел, даже комп то не включал, а сайт из списка уже загрузился :) наверное всетаки запрос то должен быть, другой вопрос, что они начинают отправлять ответ не дожидаясь получения всего запроса. ну таких по IP в черный список.

 

ща еще http/3 через UDP приедет... :) 

[ixi]

1 час назад, st_re сказал:

наверное всетаки запрос то должен быть, другой вопрос, что они начинают отправлять ответ не дожидаясь получения всего запроса

Не помню совсем уже детали, но в tcpdump ответ был через 2мс после отправки хоста при пинге 200мс

 

1 час назад, st_re сказал:

таких по IP в черный список

А они меняются постоянно, и весьма сильно различаются. Помогает только подмена dns для домена + блокировка IP из соответствующей записи реестра.

 

1 час назад, st_re сказал:

ща еще http/3 через UDP приедет... :) 

вздохнём с облегчением, блокировать кроме как по IP станет невозможно.

[Troj]

6 часов назад, ixi сказал:

Не DPI? это давно уже не работает, в списках хватает адресов, постоянно меняющих IP

есть реестр где есть домен-ип, то что меняется ip это уже не моя проблема, а ркн

[st_re]

Эээ... штрафов от РКН еще не приходило ? у них другое мнение по этому вопросу. И ревизор ходит и в IP из реестра и в IP из ДНСа.

[ixi]

12 часов назад, Troj сказал:

есть реестр где есть домен-ип, то что меняется ip это уже не моя проблема, а ркн 

Если тип блокировки домен, то блокировать надо именно по домену. Пачка IP -- это только довесок к проверке.

[nevsik]

Network devices using kernel driver
===================================
0000:02:00.0 '88E8056 PCI-E Gigabit Ethernet Controller 4364' if=enp2s0 drv=sky2 unused= *Active*
0000:04:00.0 '82574L Gigabit Network Connection 10d3' if=enp4s0 drv=e1000e unused=
0000:05:00.0 '82574L Gigabit Network Connection 10d3' if=enp5s0 drv=e1000e unused=
Вот в такой конфигурации режим inline не получиться?

[ValdikSS]

Кто-нибудь с Урала может подтвердить или опровергнуть, что Роскомнадзор устанавливает именно EcoDPI от rdp.ru для тестирования?

Новости  (1, 2) указывают именно на его, но хотелось бы подтверждения. Можно в ЛС, если не хотите писать публично.

Изменено 1 октября, 2019 пользователем ValdikSS

[Antares]

15 часов назад, ValdikSS сказал:

Кто-нибудь с Урала может подтвердить или опровергнуть, что Роскомнадзор устанавливает именно EcoDPI от rdp.ru для тестирования?

Новости  (1, 2) указывают именно на его, но хотелось бы подтверждения. Можно в ЛС, если не хотите писать публично.

 

Предложений не поступало )))

[Rivia]

Делается это почти наверняка только у крупняков, поэтому вряд ли вы эту информацию в принципе получите.

[arhead]

Вот и кончилась память для маршрутов у меня ASR1002 выдала CEF has been disabled due to a low memory condition. It can be re-enabled by configuring "ip cef [distributed]" и закрыла все интерфейсы

Изменено 3 октября, 2019 пользователем arhead

[arhead]

ipset справляется еще с таким количеством адресов? Думаю перенести  перенести это на gw сервера. А то что главный маршрутизатор падает не есть хорошо.

[dee]

5 минут назад, arhead сказал:

ipset справляется еще с таким количеством адресов? Думаю перенести  перенести это на gw сервера. А то что главный маршрутизатор падает не есть хорошо.

я писал про это чуть раньшге , там при создании таблицы нужен ключ укаать для наибольшего количества записей (переваривает со свистом , но не построчно а через restore)

Скрытый текст

кстати для тех у кого PC роутеры или микротик системы , я в своё время топил прям за ip route blackhole , но в какой то момент увидел как там появилось порядка 400 тыщ маршрутов (меня это расстроило , т.к штатными средствами заливать это приходилось даже не быстрой системе по 15 минут (это в случае очистки таблицы и залития новой (можно обойтись конечно сравнением массивов , но заморачиваться не стал т.к нашел метод на 10 сек) , тот же самый ipset с параметром ipset create revizor hash:net maxelem 999999999 , что бы убрать штатное ограничение в 65535 записей и сперва генерить текстовый фаил вида add revizor х.х.х.х (с кучей строк) , а потом делать ipset restore < ./my_file (заливается где то за 5 сек) . Удобно и всегда актуальный список (можно держать 2 списка для обнуления одного , а потом их менять местами что бы в эти 5 сек ни кто не проскочил). Так же гуглил в сторону ip route save/restore - тоже работет очень быстро , но там заморочка в генерации файла для заливки (бинарник) , нужно поднимать библиотеки  и что то ваять (вроде на питоне было что то , но ipset спас ситуацию).

 

Изменено 3 октября, 2019 пользователем dee

[swsn]

Для статистики:

На старом  CPU E3-1280 V2 с двухголовой сетевой x520, 5 воркеров , блокировки ip гружу в конфиг фильтра

Запустил реальный трафик пользователей вразрыв, загрузил на 9.6 гига. ~1.5М pps

missed_packets=0 , потерь нет,

пока наблюдаю...)

l2fwd из пакета dpdk нибудь использовал для резервирования в случае падения фильтра?
 

 

 

[AN111]

On 10/3/2019 at 6:38 PM, arhead said:

Вот и кончилась память для маршрутов у меня ASR1002 выдала CEF has been disabled due to a low memory condition. It can be re-enabled by configuring "ip cef [distributed]" и закрыла все интерфейсы

 

Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд)

Возможно, что такое количество blachole IP и EcoDPI  не прожует.

 

[arhead]

4 минуты назад, AN111 сказал:

Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд)

Возможно, что такое количество blachole IP и EcoDPI  не прожует.

 

Я сегодня перенес на gw сервера блокировку с помощью ipset. Не знаю на сколько хватит при таком добавлении адресов.

[swsn]

10 минут назад, AN111 сказал:

Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд)

Возможно, что такое количество blachole IP и EcoDPI  не прожует.

 

Да прожует спокойно, все упирается в оперативную память, и extfilter прожует вразрыв.

[Bl_cK]

2 hours ago, AN111 said:

Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд)

Возможно, что такое количество blachole IP и EcoDPI  не прожует.

 

Месяц назад quagga отрабатывала за время до двух часов на грязном конфиге, vtysh иногда зависал, помогала чистка говномаршрутов и запуск. Сегодня - пытается уже четыре часа с чистым конфигом. vtysh явно для таких извращений не предназначался ^_^

Судя по всему, придётся в фаерволл кидать. Есть где-то примерный скрипт генерации конфига для ipset?

[taf_321]

9 часов назад, Bl_cK сказал:

Судя по всему, придётся в фаерволл кидать. Есть где-то примерный скрипт генерации конфига для ipset?

Можно родной extfilter_quagga.pl от extfilter перепилить под генерацию правил ipset. Работы на 15 минут с кофебрейком.

[marsellus]

Я сделал так - в сервере 4 интерфейса. Два работают на DPI (в режиме зеркала), другие два - роутер. Анонсирую на бордер все заблокированные IP, но с агрегацией до /24. Получается 100К с копейкам маршрутов. Блокирую в ipset. А все, что не заблокировано форвардю далее на тот же бордер, на интерфейс с PBR и далее в инет.

[arhead]

# агрегация отдельных ipv4 адресов в сети
ipv4_aggregate_prefix = 32

Оставить 32 маску или поставить побольше?  У кого как?

[hsvt]

Посмотрел сейчас уже около 2 недель в отчётах только "Данные обрабатываются. Повторите запрос позже."

Раньше всё нормально было, что это может быть? Слишком адресов много и реестр распух?

Изменено 7 октября, 2019 пользователем hsvt

[bike]

1 час назад, hsvt сказал:

Посмотрел сейчас уже около 2 недель в отчётах только "Данные обрабатываются. Повторите запрос позже."

Раньше всё нормально было, что это может быть? Слишком адресов много и реестр распух? 

 

А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив.

https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&amp;page=132

[hsvt]

5 часов назад, bike сказал:

А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив.

https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&amp;page=132

Спасибо за пруф, я думал в основном здесь эту хрень обсуждают, уже и забыл про отдельную ветку форума)

[arhead]

15 часов назад, bike сказал:

А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив.

https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&amp;page=132

Да наверное как сделают сразу начнут искать кому бы штраф впаять. Черноземье вроде отчеты снимаются.

[arhead]

@max1976 А не подскажите по блокировке ip. Стоит один из последних extfilter который использовал для отсылки сброса или переадресации сетевой стек Linux. Ему можно задать что бы он блокировал IP? Просто есть клиенты которые работают от центральной циски напрямую. А у нее не хватает памяти для 900 тыс маршрутов. И так 2 FV и пиринг один

Изменено 8 октября, 2019 пользователем arhead