max1976 Опубликовано 8 октября, 2019 · Жалоба Чес 3 часа назад, arhead сказал: @max1976 А не подскажите по блокировке ip. Стоит один из последних extfilter который использовал для отсылки сброса или переадресации сетевой стек Linux. Ему можно задать что бы он блокировал IP? Просто есть клиенты которые работают от центральной циски напрямую. А у нее не хватает памяти для 900 тыс маршрутов. И так 2 FV и пиринг один Често говоря не помню уже. Используйте текущую версию с github, переведя исходящий трафик на dpdk интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 8 октября, 2019 · Жалоба 4 часа назад, arhead сказал: @max1976 А не подскажите по блокировке ip. Стоит один из последних extfilter который использовал для отсылки сброса или переадресации сетевой стек Linux. Ему можно задать что бы он блокировал IP? Просто есть клиенты которые работают от центральной циски напрямую. А у нее не хватает памяти для 900 тыс маршрутов. И так 2 FV и пиринг один Перед тем как грузить ip в фильтр не забудьте лимит увеличить в исходниках (MAX_ACL_RULE_NUM ) на гите версия с 100к лимитом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 8 октября, 2019 · Жалоба 2 часа назад, max1976 сказал: Чес Често говоря не помню уже. Используйте текущую версию с github, переведя исходящий трафик на dpdk интерфейс. В мирроре блокировки ip тоже работают? Я думал только в бридже) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 9 октября, 2019 · Жалоба У меня сначала один агент перестал формировать, потом второй. Ответили так: "Сервер, к которому подключен агент Ревизор XXX, с 25-го не работает, задачи по агенту не идут, а те которые шли находятся в зависшем состоянии, потому отчеты не формируются. Агент YYY покдлючен к другому серверу, на нем задачи идут и отчеты формируются. Москва пока не сообщила когда наладят первый сервер, ждем." А сегодня и второй впал в ступор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 9 октября, 2019 · Жалоба 14 часов назад, swsn сказал: В мирроре блокировки ip тоже работают? Я думал только в бридже) Через quagga и скрипт же только или нет?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 9 октября, 2019 · Жалоба 38 минут назад, hsvt сказал: Через quagga и скрипт же только или нет?) Ну я прочитав последний ответ Макса, спросил. Есть возможность проверить? В hosts добавить запись формата Цитата xxx.xxx.xxx.xxx/32, 6/0xfe И проверить сбрасывает ли курл соединение в режиме миррор) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 9 октября, 2019 · Жалоба 21 час назад, swsn сказал: Перед тем как грузить ip в фильтр не забудьте лимит увеличить в исходниках (MAX_ACL_RULE_NUM ) на гите версия с 100к лимитом Уже давно исправлено, правила создаются динамически. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 9 октября, 2019 · Жалоба 5 часов назад, swsn сказал: Ну я прочитав последний ответ Макса, спросил. Есть возможность проверить? В hosts добавить запись формата Добавьте в конфиг exfilter_maker опцию по добавлению IP адресов и подсетей. Тогда на tcp syn к этим адресам фильтр будет отправлять tcp RST. Для ревизора этого достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 10 октября, 2019 (изменено) · Жалоба Разобрался. scale выставил и пошло. Изменено 10 октября, 2019 пользователем arhead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 10 октября, 2019 · Жалоба А то что на sender появляются missed packets: 625 нормально или что-то я не то сделал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 10 октября, 2019 · Жалоба 6 часов назад, arhead сказал: А то что на sender появляются missed packets: 625 нормально или что-то я не то сделал? Так и должно быть. Данные на этом интерфейсе не принимаются, а только отправляются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 10 октября, 2019 (изменено) · Жалоба Я правильно понимаю, что в случае extfilter может через hosts сам блокировать трафик, но только в том случае если работает в режиме моста/инлайн ? У тех у кого pc routers стоят вы что используете для ускорения подгрузки маршрутов: quagga+iproute save\restore на машине с extfilter ? quagga+подгрузку bgpd.conf сразу на машине с extfilter ? генерите файл со списком на машине с extfilter и передаёте его на pcrouter ? куда вливаете ipset + iptables forward drop ? генерите файл из базы на машине extfiler сразу на pcrouter'e ? куда вливаете ipset + iptables forward drop ? Изменено 10 октября, 2019 пользователем aalexanderr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 11 октября, 2019 · Жалоба 7 часов назад, aalexanderr сказал: Я правильно понимаю, что в случае extfilter может через hosts сам блокировать трафик, но только в том случае если работает в режиме моста/инлайн В случае с tcp и в режиме зеркала будут tcp RST в случае tcp syn на блокированные адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 11 октября, 2019 · Жалоба 7 часов назад, max1976 сказал: В случае с tcp и в режиме зеркала будут tcp RST в случае tcp syn на блокированные адреса. это замечательно, т.е. работать будет, а как быть с UDP и проверяет ли ревизор доступность по каких-то узлов по udp ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 11 октября, 2019 · Жалоба 1 минуту назад, aalexanderr сказал: это замечательно, т.е. работать будет, а как быть с UDP и проверяет ли ревизор доступность по каких-то узлов по udp ? Ревизор проверяет только по tcp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
atdp03 Опубликовано 11 октября, 2019 (изменено) · Жалоба 9 hours ago, max1976 said: В случае с tcp и в режиме зеркала будут tcp RST в случае tcp syn на блокированные адреса. А как бы это подебажить? Обновил фильтр, ресетов не вижу. в hosts 22 мегабайта такого: 217.69.14.132/32, 6/0xfe 217.69.14.176/32, 6/0xfe 217.69.15.108/32, 6/0xfe 217.69.15.223/32, 6/0xfe ресетов не вижу. Редиректы на http и ресеты на https прилетают исправно. В логе: All worker threads matched by ip/port: 0 Плюс, перестаёт блочиться такое как https://18.200.8.105:16869/. Откатываюсь на предыдущую работавшую версию, от августа 18го, этот адрес начинает ресетиться. Изменено 11 октября, 2019 пользователем atdp03 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 11 октября, 2019 · Жалоба 6 часов назад, atdp03 сказал: А как бы это подебажить? В логе extfilter ищем: grep "rules for" extFilter.log Получаем что-то похожее: Цитата 2019-10-11 22:01:10.903 [16000] Information ACL - Preparing 1060594 rules for IPv4 ACL 2019-10-11 22:01:10.930 [16000] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-11 22:31:13.506 [16000] Information ACL - Preparing 1060617 rules for IPv4 ACL 2019-10-11 22:31:13.532 [16000] Information ACL - Preparing 50 rules for IPv6 ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
atdp03 Опубликовано 11 октября, 2019 (изменено) · Жалоба 1 hour ago, max1976 said: В логе extfilter ищем: grep "rules for" extFilter.log Получаем что-то похожее: Ругается, да: 2019-10-11 23:52:02.779 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL 2019-10-11 23:52:02.816 [7328] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-11 23:52:02.822 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket 2019-10-12 00:32:04.250 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL 2019-10-12 00:32:04.287 [7328] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-12 00:32:04.294 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket Чего-то не хватает? Изменено 11 октября, 2019 пользователем atdp03 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
atdp03 Опубликовано 11 октября, 2019 (изменено) · Жалоба 32 minutes ago, atdp03 said: Ругается, да: 2019-10-11 23:52:02.779 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL 2019-10-11 23:52:02.816 [7328] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-11 23:52:02.822 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket 2019-10-12 00:32:04.250 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL 2019-10-12 00:32:04.287 [7328] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-12 00:32:04.294 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket Чего-то не хватает? Перепроверился. Это был старый бинарник. На новом греп ничего не возвращает вообще. Единственное из этой области в логе: 2019-10-12 00:47:36.802 [16288] Information ACL - Building ACL from file /root/reestr/extfilter/configs/hosts UPD: послал -HUP процессу, конфиг влился, заработал. Изменено 11 октября, 2019 пользователем atdp03 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 12 октября, 2019 · Жалоба После перехода на новую версию extfilter 0.99.2 в режиме миррора со включёнными правилами для блокировки ips/nets -> hosts extfilter после 2 часов работы вывалился с ошибкой нехватки памяти: ACL: allocation of 326726080 bytes on socket 0 for extFilter-ipv4-acl0-2 failed в целом в системе есть ещё свободные 10 гигов оперативы.. используется 6 ядер трафика 2 гига в среднем scale=5 hugepages=16 пропусков нет. что лучше сделать - scale опустить до 4 или hugepages увеличить до 20 ? не совсем понимаю какой памяти не хватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 12 октября, 2019 · Жалоба 1 час назад, aalexanderr сказал: не совсем понимаю какой памяти не хватает. Hugepages. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aalexanderr Опубликовано 14 октября, 2019 · Жалоба В 12.10.2019 в 22:00, max1976 сказал: Hugepages. Да, увеличил до 20 гигов, всё работает без провалов. А если бы я уменьшил scale я так понимаю, что это так же бы помогло ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 15 октября, 2019 · Жалоба 6 часов назад, aalexanderr сказал: А если бы я уменьшил scale я так понимаю, что это так же бы помогло ? Возможно да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 15 октября, 2019 · Жалоба Скрытый текст Removed URL http://2ndfl-chelyaba.ru/uslugi.html (id 248725)Removed URL https://getserial.ru/newseries/4708-ip-pirogova-1-sezon-6-serija.html (id 248815)Removed URL http://help-diplomas.com/kupit_diplom_rossiya.php (id 248757)Removed URL http://kupit-diplom-198.com/kupit-diplom-specialista/ (id 248666)Removed URL http://originall-diplomm.com/kupit-diplom-v-volgograde/ (id 248783)Removed URL https://getserial.ru/newseries/4716-ip-pirogova-1-sezon-14-serija.html (id 248822)Removed URL http://russian-diplomm.com/kupit-diplom-vuza-rossii (id 248621)Removed URL https://getserial.ru/newseries/4718-ip-pirogova-1-sezon-16-serija.html (id 248824)Removed URL http://www.online-ege.ru/po-gorodam/diplom-v-permi.html (id 248806)Removed URL https://getserial.ru/newseries/4713-ip-pirogova-1-sezon-11-serija.html (id 248819)Removed URL https://getserial.ru/newseries/4703-ip-pirogova-1-sezon-1-serija.html (id 248810)Removed URL https://tvs.one/9757-volshebnik-1-season.html (id 249021)Removed URL http://kupit-diplom-198.com/купить-диплом-вуза-в-городе-красноярс/ (id 248625)Removed URL https://kinogo.unblocked.asia/10211-arahisovyy-sokol-2019.html (id 229523)Removed URL https://getserial.ru/newseries/4715-ip-pirogova-1-sezon-13-serija.html (id 248821)Removed URL https://svidetelstvo-o-rozhdenii-goznak.ru/svidetelstvo-o-smerti.html (id 248780)Removed URL http://gfilm.club/movies/5288-proklyatie-meri/ (id 248961)Removed URL https://obrazovanievmoskve.ru/kupit-diplom-o-vysshem-obrazovanii/bakalavr.html (id 248712)Removed URL https://www.gipsyteam.ru/ (id 211728)Removed URL http://kupit-diplom-198.com/kupit-diplom-magistra/ (id 248727)Removed URL https://r.fapality.com/categories/milf/fishnets/ (id 249138)Removed URL https://getserial.ru/newseries/4720-ip-pirogova-1-sezon-18-serija.html (id 248826)Removed URL https://getserial.ru/newseries/4710-ip-pirogova-1-sezon-8-serija.html (id 248817)Removed URL https://f.prostitutki-open.com/nationalities/russkie/ (id 248631)Removed URL https://getserial.ru/newseries/4704-ip-pirogova-1-sezon-2-serija.html (id 248811)Removed URL http://rudiplomm.com/купить-диплом-смоленск (id 248746)Removed URL http://kupi2ndfl.ru/kupit-spravku-o-dohodah-po-forme-2-ndfl/ (id 248754)Removed URL https://diplomy-onliner.com/birobidzhan (id 248696)Removed URL http://1pornofoto.com/14695-muzhik-s-zhenoy-ustroili-troynichok-s-medsestroy-v-chulkah.html (id 248722)Removed URL https://getserial.ru/newseries/4709-ip-pirogova-1-sezon-7-serija.html (id 248816)Removed URL https://kinogo.unblocked.asia/10112-dvoe-protiv-smerti-serial-2019.html (id 235508)Removed URL http://diplomsproffy.com/gorod/diplom-v-smolenske.html (id 248715)Removed URL https://getserial.ru/newseries/4717-ip-pirogova-1-sezon-15-serija.html (id 248823)Removed URL http://ruprono.com/konipor/146-telki-zahlebyvayutsya-konskoy-spermoy.html (id 213920)Removed URL http://sxdiplomy.com/kupit-diplom-master-sporta (id 248756)Removed URL http://kupit-diplom-198.com/kupit-diplom-bakalavra/ (id 248622)Removed URL http://diplomsrussians.com/geograpchy/kupit-diplom-v-novosibirske.html (id 248735)Removed URL https://getserial.ru/newseries/4719-ip-pirogova-1-sezon-17-serija.html (id 248825)Removed URL http://arti-diplom.com/vuz/164/ (id 204079)Removed URL https://getserial.ru/newseries/4714-ip-pirogova-1-sezon-12-serija.html (id 248820)Removed URL http://nergu.ru/page/million-bezdepozitnij-bonus-500-rublej/ (id 224846)Removed URL http://sex-gorod.club (id 248779)Removed URL https://wikicasino.info/2-2/casinootzyv/casinobooi/ (id 223909)Removed URL https://getserial.ru/newseries/4721-ip-pirogova-1-sezon-19-serija.html (id 248827)Removed URL http://diplomsrussian.com/obrazovanie/kupit-diplom-s-zaneseniem-v-reestr.html (id 248671)Removed URL http://sex-gorod.club/straponschicy/ (id 248664)Removed URL http://brazzers-porno.net/anal (id 248774)Removed URL https://ru-docs.com/ohrana-truda/ (id 248654)Removed URL https://svoekino.biz/15452-ebigeyl-2019.html (id 249118)Removed URL https://getserial.ru/newseries/4707-ip-pirogova-1-sezon-5-serija.html (id 248814)Removed URL http://kino-top1.net/13740-proklyatie-meri-film-2019.html (id 249128)Removed URL https://zooporno.info/zoofilki-porno/ (id 248644)Removed URL http://gdediplomt.com/diplom-v-gorodah/kupit-diplom-v-smolenske (id 248795)Removed URL https://getserial.ru/newseries/4712-ip-pirogova-1-sezon-10-serija.html (id 248818)Removed URL http://mnogofilmov.online/5693-temnaya-storona.html (id 248928)Removed URL http://diplomanrus.com/diplom-kapitana (id 248692)Removed URL http://moidiplom.com/doc/svidetelstva/svidetelstvo-ege/ (id 235026)Removed URL https://education-moscow.ru/stati/goznak/ (id 248785)Removed URL http://smotrim1080.net/2350-kokainovyy-baron-2019.html (id 249096)Removed URL https://volgogradki.mobi/ (id 248683)Removed URL https://2hdkino.vip/filmy/filmy_2019/anna_2019/27-1-0-1860 (id 249089)Removed URL https://getserial.ru/newseries/4722-ip-pirogova-1-sezon-20-serija.html (id 248828)Removed URL https://avtomaty-b.info/onlajn-kazino (id 249153)Removed URL http://diploms-on-lines.com/kupit-diplom-surgut (id 248637)Removed URL http://dipmul.ru/oformit-zakaz (id 248616)Removed URL https://www.betchaser.com/ru (id 249149)Removed URL http://rdiploman24.com/kupit-spravka-v-voenkomat (id 248650)Removed URL http://med-spravca.co/v-gibdd/ (id 248713)Removed URL http://diplomans-russian.com/diplom-o-vyshem-obrazovanii (id 248751)Removed URL http://arti-diplom.com/vuz/show/16/ (id 238067)Removed URL https://getserial.ru/newseries/4706-ip-pirogova-1-sezon-4-serija.html (id 248813)Removed URL http://titki.net/sex-c-konamu/79-loshad-zhahaet-v-pizdu-shalavu.html (id 208530)Removed URL http://arti-diplom.com/vuz/show/920/ (id 237585)Removed URL http://kaluga.diplommliike.com (id 193171)Removed URL https://getserial.ru/newseries/4705-ip-pirogova-1-sezon-3-serija.html (id 248812)Removed URL http://medspravki.cloud/medkomissiya-migrantam (id 248669)Removed URL http://diplomybest.com/kislovodsk/ (id 248700)Removed URL http://onlinia.mobi/podborki-porno-rolikov/chulki-v-setochku/ (id 246450)Removed URL https://devka-devka.ru/city/volgodonsk/ (id 248801)Removed URL http://blackforum.cc (id 248794)Removed URL https://kypit-ydostoverenie.net/document/prosmotr/udostoverenie-po-okhrane-truda (id 248750)Removed URL http://diploms-v-cheliabinske.com/diplom-o-vysshem-obrazovanii.html (id 248758)Removed URL http://kinogo.unblocked.asia/10112-dvoe-protiv-smerti-serial-2019.html (id 235507)Removed URL http://trahadrom.club/pyanye (id 248705) Странные типы, url живые а из реестра удалили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 15 октября, 2019 · Жалоба 1 час назад, swsn сказал: Странные типы, url живые а из реестра удалили Они по домену закрыты. Зачем добавляли url - хз... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...