Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Чес

3 часа назад, arhead сказал:

@max1976 А не подскажите по блокировке ip. Стоит один из последних extfilter который использовал для отсылки сброса или переадресации сетевой стек Linux. Ему можно задать что бы он блокировал IP? Просто есть клиенты которые работают от центральной циски напрямую. А у нее не хватает памяти для 900 тыс маршрутов. И так 2 FV и пиринг один

Често говоря не помню уже. Используйте текущую версию с github, переведя исходящий трафик на dpdk интерфейс. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, arhead сказал:

@max1976 А не подскажите по блокировке ip. Стоит один из последних extfilter который использовал для отсылки сброса или переадресации сетевой стек Linux. Ему можно задать что бы он блокировал IP? Просто есть клиенты которые работают от центральной циски напрямую. А у нее не хватает памяти для 900 тыс маршрутов. И так 2 FV и пиринг один

 

Перед тем как грузить ip в фильтр не забудьте лимит увеличить в исходниках (MAX_ACL_RULE_NUM ) на гите версия с 100к лимитом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, max1976 сказал:

Чес

Често говоря не помню уже. Используйте текущую версию с github, переведя исходящий трафик на dpdk интерфейс. 

В мирроре  блокировки ip тоже работают? Я думал только в бридже) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня сначала один агент перестал формировать, потом второй. Ответили так:
"Сервер, к которому подключен агент Ревизор XXX, с 25-го не работает, задачи по агенту не идут, а те которые шли находятся в зависшем состоянии, потому отчеты не формируются.

Агент YYY покдлючен к другому серверу, на нем задачи идут и отчеты формируются.

Москва пока не сообщила когда наладят первый сервер, ждем."

А сегодня и второй впал в ступор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, swsn сказал:

В мирроре  блокировки ip тоже работают? Я думал только в бридже) 

Через quagga и скрипт же только или нет?) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

38 минут назад, hsvt сказал:

Через quagga и скрипт же только или нет?) 

Ну я прочитав последний ответ Макса, спросил.

Есть возможность проверить? В hosts  добавить  запись формата

Цитата

xxx.xxx.xxx.xxx/32, 6/0xfe

И проверить сбрасывает ли курл соединение в режиме миррор)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 час назад, swsn сказал:

Перед тем как грузить ip в фильтр не забудьте лимит увеличить в исходниках (MAX_ACL_RULE_NUM ) на гите версия с 100к лимитом

Уже давно исправлено, правила создаются динамически. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, swsn сказал:

Ну я прочитав последний ответ Макса, спросил.

Есть возможность проверить? В hosts  добавить  запись формата

Добавьте в конфиг exfilter_maker опцию по добавлению IP адресов и подсетей. Тогда на tcp syn к этим адресам фильтр будет отправлять tcp RST. Для ревизора этого достаточно. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разобрался. scale выставил и пошло.

Изменено пользователем arhead

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А то что на sender появляются missed packets: 625 нормально или что-то я не то сделал?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, arhead сказал:

А то что на sender появляются missed packets: 625 нормально или что-то я не то сделал?

Так и должно быть. Данные на этом интерфейсе не принимаются, а только отправляются. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я правильно понимаю, что в случае extfilter может через hosts сам блокировать трафик, но только в том случае если работает в режиме моста/инлайн ?

 

У тех у кого pc routers стоят вы что используете для ускорения подгрузки маршрутов:

quagga+iproute save\restore на машине с extfilter ?

quagga+подгрузку bgpd.conf сразу на машине с extfilter ?

генерите файл со списком на машине с extfilter и передаёте его на pcrouter ? куда вливаете ipset + iptables forward drop ?

генерите файл из базы на машине extfiler сразу на pcrouter'e ? куда вливаете ipset + iptables forward drop ?

 

Изменено пользователем aalexanderr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, aalexanderr сказал:

Я правильно понимаю, что в случае extfilter может через hosts сам блокировать трафик, но только в том случае если работает в режиме моста/инлайн

В случае с tcp и в режиме зеркала будут tcp RST в случае tcp syn на блокированные адреса. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, max1976 сказал:

В случае с tcp и в режиме зеркала будут tcp RST в случае tcp syn на блокированные адреса. 

это замечательно, т.е. работать будет, а как быть с UDP и проверяет ли ревизор доступность по каких-то узлов по udp ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, aalexanderr сказал:

это замечательно, т.е. работать будет, а как быть с UDP и проверяет ли ревизор доступность по каких-то узлов по udp ?

Ревизор проверяет только по tcp. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 hours ago, max1976 said:

В случае с tcp и в режиме зеркала будут tcp RST в случае tcp syn на блокированные адреса. 

А как бы это подебажить?

Обновил фильтр, ресетов не вижу.

в hosts 22 мегабайта такого:

217.69.14.132/32, 6/0xfe
217.69.14.176/32, 6/0xfe
217.69.15.108/32, 6/0xfe
217.69.15.223/32, 6/0xfe

ресетов не вижу.

Редиректы на http и ресеты на https прилетают исправно.
В логе: All worker threads matched by ip/port: 0

 

Плюс, перестаёт блочиться такое как https://18.200.8.105:16869/.

Откатываюсь на предыдущую работавшую версию, от августа 18го, этот адрес начинает ресетиться.

Изменено пользователем atdp03

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, atdp03 сказал:

А как бы это подебажить?

В логе extfilter ищем:

grep "rules for" extFilter.log

Получаем что-то похожее:

Цитата

2019-10-11 22:01:10.903 [16000] Information ACL - Preparing 1060594 rules for IPv4 ACL
2019-10-11 22:01:10.930 [16000] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-11 22:31:13.506 [16000] Information ACL - Preparing 1060617 rules for IPv4 ACL
2019-10-11 22:31:13.532 [16000] Information ACL - Preparing 50 rules for IPv6 ACL

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, max1976 said:

В логе extfilter ищем:


grep "rules for" extFilter.log

Получаем что-то похожее:

 

Ругается, да:

 

2019-10-11 23:52:02.779 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL
2019-10-11 23:52:02.816 [7328] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-11 23:52:02.822 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
2019-10-12 00:32:04.250 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL
2019-10-12 00:32:04.287 [7328] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-12 00:32:04.294 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket

Чего-то не хватает?

Изменено пользователем atdp03

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 minutes ago, atdp03 said:

Ругается, да:

 


2019-10-11 23:52:02.779 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL
2019-10-11 23:52:02.816 [7328] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-11 23:52:02.822 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
2019-10-12 00:32:04.250 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL
2019-10-12 00:32:04.287 [7328] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-12 00:32:04.294 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket

Чего-то не хватает?

 

Перепроверился. Это был старый бинарник.

На новом греп ничего не возвращает вообще.

Единственное из этой области в логе:


2019-10-12 00:47:36.802 [16288] Information ACL - Building ACL from file /root/reestr/extfilter/configs/hosts

 

UPD: послал -HUP процессу, конфиг влился, заработал.

Изменено пользователем atdp03

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

После перехода на новую версию extfilter 0.99.2 в режиме миррора со включёнными правилами для блокировки ips/nets -> hosts

extfilter после 2 часов работы вывалился с ошибкой нехватки памяти:

ACL: allocation of 326726080 bytes on socket 0 for extFilter-ipv4-acl0-2 failed

в целом в системе есть ещё свободные 10 гигов оперативы..

используется 6 ядер

трафика 2 гига в среднем

scale=5

hugepages=16

 

пропусков нет.

что лучше сделать - scale опустить до 4 или hugepages увеличить до 20 ? не совсем понимаю какой памяти не хватает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, aalexanderr сказал:

не совсем понимаю какой памяти не хватает.

Hugepages. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 12.10.2019 в 22:00, max1976 сказал:

Hugepages. 

Да, увеличил до 20 гигов, всё работает без провалов.

 

А если бы я уменьшил scale я так понимаю, что это так же бы помогло ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, aalexanderr сказал:

А если бы я уменьшил scale я так понимаю, что это так же бы помогло ?

Возможно да. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скрытый текст

Removed URL http://2ndfl-chelyaba.ru/uslugi.html (id 248725)
Removed URL https://getserial.ru/newseries/4708-ip-pirogova-1-sezon-6-serija.html (id 248815)
Removed URL http://help-diplomas.com/kupit_diplom_rossiya.php (id 248757)
Removed URL http://kupit-diplom-198.com/kupit-diplom-specialista/ (id 248666)
Removed URL http://originall-diplomm.com/kupit-diplom-v-volgograde/ (id 248783)
Removed URL https://getserial.ru/newseries/4716-ip-pirogova-1-sezon-14-serija.html (id 248822)
Removed URL http://russian-diplomm.com/kupit-diplom-vuza-rossii (id 248621)
Removed URL https://getserial.ru/newseries/4718-ip-pirogova-1-sezon-16-serija.html (id 248824)
Removed URL http://www.online-ege.ru/po-gorodam/diplom-v-permi.html (id 248806)
Removed URL https://getserial.ru/newseries/4713-ip-pirogova-1-sezon-11-serija.html (id 248819)
Removed URL https://getserial.ru/newseries/4703-ip-pirogova-1-sezon-1-serija.html (id 248810)
Removed URL https://tvs.one/9757-volshebnik-1-season.html (id 249021)
Removed URL http://kupit-diplom-198.com/купить-диплом-вуза-в-городе-красноярс/ (id 248625)
Removed URL https://kinogo.unblocked.asia/10211-arahisovyy-sokol-2019.html (id 229523)
Removed URL https://getserial.ru/newseries/4715-ip-pirogova-1-sezon-13-serija.html (id 248821)
Removed URL https://svidetelstvo-o-rozhdenii-goznak.ru/svidetelstvo-o-smerti.html (id 248780)
Removed URL http://gfilm.club/movies/5288-proklyatie-meri/ (id 248961)
Removed URL https://obrazovanievmoskve.ru/kupit-diplom-o-vysshem-obrazovanii/bakalavr.html (id 248712)
Removed URL https://www.gipsyteam.ru/ (id 211728)
Removed URL http://kupit-diplom-198.com/kupit-diplom-magistra/ (id 248727)
Removed URL https://r.fapality.com/categories/milf/fishnets/ (id 249138)
Removed URL https://getserial.ru/newseries/4720-ip-pirogova-1-sezon-18-serija.html (id 248826)
Removed URL https://getserial.ru/newseries/4710-ip-pirogova-1-sezon-8-serija.html (id 248817)
Removed URL https://f.prostitutki-open.com/nationalities/russkie/ (id 248631)
Removed URL https://getserial.ru/newseries/4704-ip-pirogova-1-sezon-2-serija.html (id 248811)
Removed URL http://rudiplomm.com/купить-диплом-смоленск (id 248746)
Removed URL http://kupi2ndfl.ru/kupit-spravku-o-dohodah-po-forme-2-ndfl/ (id 248754)
Removed URL https://diplomy-onliner.com/birobidzhan (id 248696)
Removed URL http://1pornofoto.com/14695-muzhik-s-zhenoy-ustroili-troynichok-s-medsestroy-v-chulkah.html (id 248722)
Removed URL https://getserial.ru/newseries/4709-ip-pirogova-1-sezon-7-serija.html (id 248816)
Removed URL https://kinogo.unblocked.asia/10112-dvoe-protiv-smerti-serial-2019.html (id 235508)
Removed URL http://diplomsproffy.com/gorod/diplom-v-smolenske.html (id 248715)
Removed URL https://getserial.ru/newseries/4717-ip-pirogova-1-sezon-15-serija.html (id 248823)
Removed URL http://ruprono.com/konipor/146-telki-zahlebyvayutsya-konskoy-spermoy.html (id 213920)
Removed URL http://sxdiplomy.com/kupit-diplom-master-sporta (id 248756)
Removed URL http://kupit-diplom-198.com/kupit-diplom-bakalavra/ (id 248622)
Removed URL http://diplomsrussians.com/geograpchy/kupit-diplom-v-novosibirske.html (id 248735)
Removed URL https://getserial.ru/newseries/4719-ip-pirogova-1-sezon-17-serija.html (id 248825)
Removed URL http://arti-diplom.com/vuz/164/ (id 204079)
Removed URL https://getserial.ru/newseries/4714-ip-pirogova-1-sezon-12-serija.html (id 248820)
Removed URL http://nergu.ru/page/million-bezdepozitnij-bonus-500-rublej/ (id 224846)
Removed URL http://sex-gorod.club (id 248779)
Removed URL https://wikicasino.info/2-2/casinootzyv/casinobooi/ (id 223909)
Removed URL https://getserial.ru/newseries/4721-ip-pirogova-1-sezon-19-serija.html (id 248827)
Removed URL http://diplomsrussian.com/obrazovanie/kupit-diplom-s-zaneseniem-v-reestr.html (id 248671)
Removed URL http://sex-gorod.club/straponschicy/ (id 248664)
Removed URL http://brazzers-porno.net/anal (id 248774)
Removed URL https://ru-docs.com/ohrana-truda/ (id 248654)
Removed URL https://svoekino.biz/15452-ebigeyl-2019.html (id 249118)
Removed URL https://getserial.ru/newseries/4707-ip-pirogova-1-sezon-5-serija.html (id 248814)
Removed URL http://kino-top1.net/13740-proklyatie-meri-film-2019.html (id 249128)
Removed URL https://zooporno.info/zoofilki-porno/ (id 248644)
Removed URL http://gdediplomt.com/diplom-v-gorodah/kupit-diplom-v-smolenske (id 248795)
Removed URL https://getserial.ru/newseries/4712-ip-pirogova-1-sezon-10-serija.html (id 248818)
Removed URL http://mnogofilmov.online/5693-temnaya-storona.html (id 248928)
Removed URL http://diplomanrus.com/diplom-kapitana (id 248692)
Removed URL http://moidiplom.com/doc/svidetelstva/svidetelstvo-ege/ (id 235026)
Removed URL https://education-moscow.ru/stati/goznak/ (id 248785)
Removed URL http://smotrim1080.net/2350-kokainovyy-baron-2019.html (id 249096)
Removed URL https://volgogradki.mobi/ (id 248683)
Removed URL https://2hdkino.vip/filmy/filmy_2019/anna_2019/27-1-0-1860 (id 249089)
Removed URL https://getserial.ru/newseries/4722-ip-pirogova-1-sezon-20-serija.html (id 248828)
Removed URL https://avtomaty-b.info/onlajn-kazino (id 249153)
Removed URL http://diploms-on-lines.com/kupit-diplom-surgut (id 248637)
Removed URL http://dipmul.ru/oformit-zakaz (id 248616)
Removed URL https://www.betchaser.com/ru (id 249149)
Removed URL http://rdiploman24.com/kupit-spravka-v-voenkomat (id 248650)
Removed URL http://med-spravca.co/v-gibdd/ (id 248713)
Removed URL http://diplomans-russian.com/diplom-o-vyshem-obrazovanii (id 248751)
Removed URL http://arti-diplom.com/vuz/show/16/ (id 238067)
Removed URL https://getserial.ru/newseries/4706-ip-pirogova-1-sezon-4-serija.html (id 248813)
Removed URL http://titki.net/sex-c-konamu/79-loshad-zhahaet-v-pizdu-shalavu.html (id 208530)
Removed URL http://arti-diplom.com/vuz/show/920/ (id 237585)
Removed URL http://kaluga.diplommliike.com (id 193171)
Removed URL https://getserial.ru/newseries/4705-ip-pirogova-1-sezon-3-serija.html (id 248812)
Removed URL http://medspravki.cloud/medkomissiya-migrantam (id 248669)
Removed URL http://diplomybest.com/kislovodsk/ (id 248700)
Removed URL http://onlinia.mobi/podborki-porno-rolikov/chulki-v-setochku/ (id 246450)
Removed URL https://devka-devka.ru/city/volgodonsk/ (id 248801)
Removed URL http://blackforum.cc (id 248794)
Removed URL https://kypit-ydostoverenie.net/document/prosmotr/udostoverenie-po-okhrane-truda (id 248750)
Removed URL http://diploms-v-cheliabinske.com/diplom-o-vysshem-obrazovanii.html (id 248758)
Removed URL http://kinogo.unblocked.asia/10112-dvoe-protiv-smerti-serial-2019.html (id 235507)
Removed URL http://trahadrom.club/pyanye (id 248705)

 

Странные типы, url живые а из реестра удалили

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, swsn сказал:

Странные типы, url живые а из реестра удалили

Они по домену закрыты. Зачем добавляли url - хз...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.