dryukov Опубликовано 26 ноября, 2020 · Жалоба https://56.rkn.gov.ru/p20246/p25430/ 5. При наличии в записи выгрузки информации о доменном имени и при отсутствии информации об указателе страницы сайта в сети "Интернет", оператор связи должен осуществлять ограничение доступа ко всему информационному ресурсу по всем сетевым протоколам. Наличие адресов не обязательно if (url =="" && domain !="" ) -> DNS и не важно какой там IP указан. А таких записей немеряно. content: <content id="262911" includeTime="2016-02-01T19:30:12" entryType="1" blockType="domain" hash="300152AA284F50DEE8443B985ED4D3FD"><decision date="2016-01-22" number="2-6-27/ 2015-12-01-67-АИ" org="ФНС"/><domain><![CDATA[www.xxxxxx.com]]></domain><ip>193.200.124.117</ip><ip>104.18.38.90</ip><ip>104.18.39.90</ip></content> blockType="domain" это отсебятина РКН, не зарегистрированная Минюстом. Или я ошибаюсь ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pc045 Опубликовано 30 ноября, 2020 · Жалоба Решил обновить extfilter c 0.86.2 до актуальной с гита. Всё отлично собралось и запустилось, но есть нюанс, перестало фильтровать. конфиг не менялся, трафик заркалированный присутствует, счетчики пакетов растут, а вот счетчики матчинга того что заблокировано по нулям и ответов на порту сендера тоже нет. Запускаю старую версию всё ок фильтруется, новая нет. В чем может быть засада? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 30 ноября, 2020 · Жалоба 1 час назад, pc045 сказал: Решил обновить extfilter c 0.86.2 до актуальной с гита. Всё отлично собралось и запустилось, но есть нюанс, перестало фильтровать. конфиг не менялся, трафик заркалированный присутствует, счетчики пакетов растут, а вот счетчики матчинга того что заблокировано по нулям и ответов на порту сендера тоже нет. Запускаю старую версию всё ок фильтруется, новая нет. В чем может быть засада? А на мак интерфейса верный прописан? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pc045 Опубликовано 30 ноября, 2020 · Жалоба конфиг фильтра не менялся, менялся только бинарник самого фильтра. на версии 0.86.2 - все работает, редиректы/ресеты уходят с сендер порта на версии 0.99.4 - с сендер порта тишина, специально зеркалировал с него трафик посмотреть wireshark'ом, ничего фильтр не шлет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 30 ноября, 2020 · Жалоба 17 минут назад, pc045 сказал: на версии 0.99.4 - с сендер порта тишина, специально зеркалировал с него трафик посмотреть wireshark'ом, ничего фильтр не шлет В дебаг режиме смотрели что в логи пишет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pc045 Опубликовано 30 ноября, 2020 · Жалоба Скрытый текст Debug Application - DPDK command line: extFilter Debug Application - DPDK command line: -n Debug Application - DPDK command line: 2 Debug Application - DPDK command line: -c Debug Application - DPDK command line: 0x07 Debug Application - DPDK command line: --master-lcore Debug Application - DPDK command line: 0 Information ACL - Memory usage before acl read: realmem 8356 peakrealmem: 8356 curVirtMem: 25212960 peakVirtMem: 51400680 Information ACL - Building ACL from file /opt/extfilter/etc/hosts Information ACL - Used 32768 bytes of memory for acl4 rules (334 entries) Information ACL - Used 0 bytes of memory for acl6 rules (0 entries) Information ACL - Memory usage after acl read: realmem 8356 peakrealmem: 8356 curVirtMem: 25212960 peakVirtMem: 51400680 Information ACL - Memory usage bedore acl setup: realmem 8356 peakrealmem: 8356 curVirtMem: 25212960 peakVirtMem: 51400680 Information ACL - Memory usage after acl setup: realmem 9140 peakrealmem: 11192 curVirtMem: 25212960 peakVirtMem: 51400680 Information TriesControl - Loaded 200558 lines from the domains file '/opt/extfilter/etc/domains' Information TriesControl - Loaded 112771 lines from the urls file '/opt/extfilter/etc/urls' Information TriesControl - Masked domains: #keys 68483, #nodes 96738 Information TriesControl - URLS: #keys 313329, #nodes 448464 Information TriesControl - Set active trie in the slot 0 Information TriesControl - Loaded 220157 lines from the domains file '/opt/extfilter/etc/ssl_host' Information TriesControl - Masked domains: #keys 68485, #nodes 96740 Information TriesControl - URLS: #keys 215281, #nodes 303308 Information TriesControl - Set active trie in the slot 0 Information Application - Setting mbuf size to 16384 Information Application - Allocated mbuf pool (16384 entries) on socket 0 Information Application - Set number of entries of the sender buffer to 8192 Information Application - sender port=0 rx_queueid=0 nb_rxd=256 Information Application - sender port=0 tx_queueid=0 tb_rxd=512 Information Application - Port 0 MAC: 6c:b3:11:25:53:04 Information Application - Port 1 creating queues: rx queue=1, tx queue=3 Information Application - port=1 tx_queueid=0 nb_txd=512 core=0 Information Application - port=1 rx_queueid=0 nb_rxd=256 core=1 Information Application - port=1 tx_queueid=1 nb_txd=512 core=1 Information Application - port=1 tx_queueid=2 nb_txd=512 core=2 Information Application - Port 1 MAC: 6c:b3:11:25:53:05 Information Application - Create pool 'DPIHTTPPool' for the http dissector with number of entries: 400000, element size 960 size: 384000000 bytes Information Application - Create pool 'DPISSLPool' for the ssl dissector with number of entries: 800000, element size 320 size: 256000000 bytes Information Application - Allocating 8960000000 bytes (20000000 entries) for ipv4 flow pool Information Application - Allocating 22400000 bytes (50000 entries) for ipv6 flow pool Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV4 - Allocate 20000000 bytes (1250000 entries, element size 16) for flow hash ipv4 Information FlowStorageIPV4 - Allocating 10000000 bytes (1250000 entries) for ipv4_flows Information FlowStorageIPV6 - Allocate 300000 bytes (6250 entries, element size 48) for flow hash ipv6 Information FlowStorageIPV6 - Allocating 50000 bytes (6250 entries) for ipv6_flows Information FlowStorageIPV6 - Allocate 300000 bytes (6250 entries, element size 48) for flow hash ipv6 Information FlowStorageIPV6 - Allocating 50000 bytes (6250 entries) for ipv6_flows Information FlowStorageIPV6 - Allocate 300000 bytes (6250 entries, element size 48) for flow hash ipv6 Information FlowStorageIPV6 - Allocating 50000 bytes (6250 entries) for ipv6_flows Information FlowStorageIPV6 - Allocate 300000 bytes (6250 entries, element size 48) for flow hash ipv6 Information FlowStorageIPV6 - Allocating 50000 bytes (6250 entries) for ipv6_flows Information FlowStorageIPV6 - Allocate 300000 bytes (6250 entries, element size 48) for flow hash ipv6 Information FlowStorageIPV6 - Allocating 50000 bytes (6250 entries) for ipv6_flows Information FlowStorageIPV6 - Allocate 300000 bytes (6250 entries, element size 48) for flow hash ipv6 Information FlowStorageIPV6 - Allocating 50000 bytes (6250 entries) for ipv6_flows Information FlowStorageIPV6 - Allocate 300000 bytes (6250 entries, element size 48) for flow hash ipv6 Information FlowStorageIPV6 - Allocating 50000 bytes (6250 entries) for ipv6_flows Information FlowStorageIPV6 - Allocate 300000 bytes (6250 entries, element size 48) for flow hash ipv6 Information FlowStorageIPV6 - Allocating 50000 bytes (6250 entries) for ipv6_flows Debug Application - Preparing thread 'WorkerThrd_0' Information WorkerThrd_0 - -- lcoreid=1 portid=1 rxqueueid=0 Debug Application - Starting statistic task... Debug ReloadTask - Starting reload task... Information Application - Port 0 input packets 0, input errors: 0, mbuf errors: 0, missed packets: 0 Information Application - Port 1 input packets 27124, input errors: 0, mbuf errors: 0, missed packets: 0 Information Application - Worker thread on core 1 statistics: Information Application - Thread seen packets: 27293, IP packets: 27072 (IPv4 packets: 27068, IPv6 packets: 4), seen bytes: 8203224, Average packet size: 303 bytes, Traffic throughput: 909.76 p Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 Information Application - Thread matched by ip/port: 0, ssl SNI: 0, ssl/ip: 0, http IPv4: 0, http IPv6: 0 Information Application - Thread redirected blocked http IPv4: 0, redirected http IPv6: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0 Information Application - All worker threads seen packets: 27293, IP packets: 27072 (IPv4 packets: 27068, IPv6 packets: 4), seen bytes: 8203224, traffic throughtput: 909.76 pps Information Application - All worker IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 Information Application - All worker threads matched by ip/port: 0, matched by ssl SNI: 0, matched by ssl/ip: 0, matched by HTTP: 0 Information Application - All worker threads redirected blocked http: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0 Information Application - Port 0 input packets 0, input errors: 0, mbuf errors: 0, missed packets: 0 Information Application - Port 1 input packets 57744, input errors: 0, mbuf errors: 0, missed packets: 0 Information Application - Worker thread on core 1 statistics: Information Application - Thread seen packets: 57913, IP packets: 57454 (IPv4 packets: 57446, IPv6 packets: 8), seen bytes: 19828651, Average packet size: 345 bytes, Traffic throughput: 1.02 K Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 Information Application - Thread matched by ip/port: 0, ssl SNI: 0, ssl/ip: 0, http IPv4: 0, http IPv6: 0 Information Application - Thread redirected blocked http IPv4: 0, redirected http IPv6: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0 Information Application - All worker threads seen packets: 57913, IP packets: 57454 (IPv4 packets: 57446, IPv6 packets: 8), seen bytes: 19828651, traffic throughtput: 1.02 K pps Information Application - All worker IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 Information Application - All worker threads matched by ip/port: 0, matched by ssl SNI: 0, matched by ssl/ip: 0, matched by HTTP: 0 Information Application - All worker threads redirected blocked http: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0 Information Application - Port 0 input packets 0, input errors: 0, mbuf errors: 0, missed packets: 0 Information Application - Port 1 input packets 83760, input errors: 0, mbuf errors: 0, missed packets: 0 Information Application - Worker thread on core 1 statistics: Information Application - Thread seen packets: 83929, IP packets: 83243 (IPv4 packets: 83230, IPv6 packets: 13), seen bytes: 27672674, Average packet size: 332 bytes, Traffic throughput: 867.20 Information Application - Thread IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 Information Application - Thread matched by ip/port: 0, ssl SNI: 0, ssl/ip: 0, http IPv4: 0, http IPv6: 0 Information Application - Thread redirected blocked http IPv4: 0, redirected http IPv6: 0, sended forbidden IPv4: 0, sended forbidden IPv6: 0, rst sended IPv4: 0, rst sended IPv6: 0 Information Application - All worker threads seen packets: 83929, IP packets: 83243 (IPv4 packets: 83230, IPv6 packets: 13), seen bytes: 27672674, traffic throughtput: 867.20 pps Information Application - All worker IPv4 fragments: 0, IPv6 fragments: 0, IPv4 short packets: 0 Information Application - All worker threads matched by ip/port: 0, matched by ssl SNI: 0, matched by ssl/ip: 0, matched by HTTP: 0 ничего интересного не пишет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ghost_tel Опубликовано 1 декабря, 2020 · Жалоба On 11/30/2020 at 5:41 PM, pc045 said: конфиг фильтра не менялся, менялся только бинарник самого фильтра. думаю в этом вся проблема. изучите конфиг на новой версии. Там менялись параметры (дополнялись/изменялись) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pc045 Опубликовано 1 декабря, 2020 · Жалоба Скрытый текст ; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения. ;lower_host = false domainlist = /opt/extfilter/etc/domains urllist = /opt/extfilter/etc/urls ssllist = /opt/extfilter/etc/ssl_host ; файл с ip:port для блокировки hostlist = /opt/extfilter/etc/hosts ; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true. sslips = /opt/extfilter/ssl_ips ; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false http_redirect = true # если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://... redirect_url = http://blocked.local/? ; посылать tcp rst в сторону сервера от имени клиента. Default: false rst_to_server = false ; Default: 0 - disable statistic_interval = 30 ; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false block_ssl_no_sni = false ; Какие ядра использовать. Default: все ядра, кроме management. core_mask = 7 ; файл статистики (для extfilter-cacti) statisticsfile = /opt/extfilter/var/extFilter_stat ; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500 ; out_mtu = 1500 ; CLI для управления или сбора статистики extfilter ;cli_port = 9999 ;cli_address = 127.0.0.1 ; Количество каналов памяти (для DPDK) ; memory_channels = 2 ; Количество повторных пакетов в сторону клиента (от 1 до 3) ; answer_duplication = 1 ; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline) ; operation_mode = mirror ; Использовать jumbo frames ; jumbo_frames = false ; Максимальная длина ethernet фрейма при включенном jumbo_frames ; max_pkt_len = 9600 ; здесь задаются порты, с которых необходимо снимать трафик ; формат: ; [port n] ; queues = a,b; a1,b1... ; n - номер порта dpdk ; a - номер очереди ; b - ядро, обрабатывающее очередь a ; Пример: ; Порт для отправки уведомлений через dpdk [port 0] type = sender ; На какой mac адрес отправлять пакеты mac = 00:16:c7:0d:ac:f8 [port 1] queues = 0,1 [dpi] ; Масштабирование количества обрабатываемых потоков 1..10 ;scale = 10 ; Собирать и анализировать фрагментированные пакеты ; fragmentation_ipv6_state = true ; fragmentation_ipv4_state = true ; fragmentation_ipv4_table_size = 512 ; fragmentation_ipv6_table_size = 512 ; Собирать и анализировать tcp потоки с неправильными порядком ; tcp_reordering = true [logging] loggers.root.level = information loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /opt/extfilter/var/extFilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.purgeCount = 4 channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local изменений от дефолтного немного, по сути пути к файлам (domains, urls и т.д.) и мак адрес сендера даже не знаю что там может быть не так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 1 декабря, 2020 · Жалоба 9 минут назад, pc045 сказал: даже не знаю что там может быть не так Попробуйте сделать port 0 - приёмником, а порт 1 - sender. Глупо, но какое-то дежавю есть. Проверьте ещё раз всё по инструкции, может systemd unit изменился, скрипты формирования конфигов. И вроде бы "scale" должен быть указан хоть какой-то. Поставьте единицу. Пробуйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pc045 Опубликовано 1 декабря, 2020 · Жалоба роли портов уже менял, делал port 0 - приемник / порт 1 сендер и наоборот int scale = config().getInt("dpi.scale", 10); в исходниках сказано что если scale не указан то он равен 10, да и пробовал я его менять - он влияет только на количество памяти которое в итоге потребуется странно что с этим конфигом старый фильтр работает, а новый нет, и ошибок никаких не пишет в логе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ghost_tel Опубликовано 2 декабря, 2020 · Жалоба 18 hours ago, pc045 said: странно что с этим конфигом старый фильтр работает, а новый нет, и ошибок никаких не пишет в логе попробуйте раскоментить следующие параметры: lower_host = true operation_mode = mirror memory_channels = 2 [dpi] scale = 3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 3 декабря, 2020 · Жалоба В 01.12.2020 в 23:16, pc045 сказал: странно что с этим конфигом старый фильтр работает, а новый нет, и ошибок никаких не пишет в логе Там в конфиге много изменений, думаю лучше его заново сделать из новых исходников Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wed Опубликовано 18 декабря, 2020 · Жалоба Народ, а что значит " Error WorkerThrd_0 - Unable to extract flow_infos" Это куда лезть вообще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 23 декабря, 2020 · Жалоба В 18.12.2020 в 11:14, wed сказал: Народ, а что значит " Error WorkerThrd_0 - Unable to extract flow_infos" Это куда лезть вообще? Нет свободных flows. Увеличьте scale. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wed Опубликовано 24 декабря, 2020 · Жалоба У меня оказывается стоят параметры вот такие. Видимо с первых версий. Их стереть? max_active_flows_ipv4 = 1000000 max_active_flows_ipv6 = 10000 Какое число scale поставить лучше? Дефолтное - 10? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 2 февраля, 2021 · Жалоба Всем привет. Подскажите по железу. Нужно отфильтровать 5гб аплинка п.с. Кто то как то доп фильтрует только ревизор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 4 февраля, 2021 · Жалоба В 03.02.2021 в 00:18, Cramac сказал: п.с. Кто то как то доп фильтрует только ревизор? Да, карбоном, основной трафик и ревизора разными железками. Карбоновцы дают +1 лицуху на резерв к основной, на неё садишь ревизора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
metalsoft Опубликовано 5 февраля, 2021 · Жалоба Доброго дня всем. Не мог бы кто поделиться скриптом скачивания реестра с помощью request.xml и сертификата reg_cert.pem и складывания результата в MySQL? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ИгорьАА Опубликовано 5 февраля, 2021 · Жалоба @metalsoft https://github.com/max197616/zapret Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
metalsoft Опубликовано 5 февраля, 2021 · Жалоба @ИгорьАА Спасибо, добрый человек! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 7 февраля, 2021 · Жалоба Всем привет. Пытаюсь запустить последнюю версию extfilter на новом железе, но чет пока никак: Скрытый текст /usr/local/bin/extFilter --config-file=/usr/src/extfilter/etc/extfilter.ini EAL: Detected 6 lcore(s) EAL: invalid coremask Usage: extFilter [options] EAL common options: -c COREMASK Hexadecimal bitmask of cores to run on -l CORELIST List of cores to run on The argument format is <c1>[-c2][,c3[-c4],...] where c1, c2, etc are core indexes between 0 and 128 --lcores COREMAP Map lcore set to physical cpu set The argument format is '<lcores[@cpus]>[<,lcores[@cpus]>...]' lcores and cpus list are grouped by '(' and ')' Within the group, '-' is used for range separator, ',' is used for single number separator. '( )' can be omitted for single element group, '@' can be omitted if cpus and lcores have the same value --master-lcore ID Core ID that is used as master -n CHANNELS Number of memory channels -m MB Memory to allocate (see also --socket-mem) -r RANKS Force number of memory ranks (don't detect) -b, --pci-blacklist Add a PCI device in black list. Prevent EAL from using this PCI device. The argument format is <domain:bus:devid.func>. -w, --pci-whitelist Add a PCI device in white list. Only use the specified PCI devices. The argument format is <[domain:]bus:devid.func>. This option can be present several times (once per device). [NOTE: PCI whitelist cannot be used with -b option] --vdev Add a virtual device. The argument format is <driver><id>[,key=val,...] (ex: --vdev=net_pcap0,iface=eth2). -d LIB.so|DIR Add a driver or driver directory (can be used multiple times) --vmware-tsc-map Use VMware TSC map instead of native RDTSC --proc-type Type of this process (primary|secondary|auto) --syslog Set syslog facility --log-level=<int> Set global log level --log-level=<type-regexp>,<int> Set specific log level -v Display version information on startup -h, --help This help EAL options for DEBUG use only: --huge-unlink Unlink hugepage files after init --no-huge Use malloc instead of hugetlbfs --no-pci Disable PCI --no-hpet Disable HPET --no-shconf No shared config (mmap'd files) EAL Linux options: --socket-mem Memory to allocate on sockets (comma separated values) --huge-dir Directory where hugetlbfs is mounted --file-prefix Prefix for hugepage filenames --base-virtaddr Base virtual address --create-uio-dev Create /dev/uioX (usually done by hotplug) --vfio-intr Interrupt mode for VFIO (legacy|msi|msix) --xen-dom0 Support running on Xen dom0 without hugetlbfs EAL: FATAL: Invalid 'command line' arguments. EAL: Invalid 'command line' arguments. Exception: Can't initialize EAL - invalid EAL arguments конфиг: Скрытый текст cat extfilter.ini ; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения. ;lower_host = false domainlist = /home/nqfilter/domains urllist = /home/nqfilter/urls ssllist = /home/nqfilter/ssl_host ; файл с ip:port для блокировки hostlist = /home/nqfilter/hosts ; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true. sslips = /home/nqfilter/ssl_ips ; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false http_redirect = true # если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://... redirect_url = http://block.yotabit.ru ; посылать tcp rst в сторону сервера от имени клиента. Default: false rst_to_server = false ; Default: 0 - disable statistic_interval = 300 ; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false block_ssl_no_sni = false ; Какие ядра использовать. Default: все ядра, кроме management. ; core_mask = 7 ; файл статистики (для extfilter-cacti) ;statisticsfile = /var/run/extFilter_stat ; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500 ; out_mtu = 1500 ; CLI для управления или сбора статистики extfilter ; cli_port = 9999 ; cli_address = 127.0.0.1 ; Количество каналов памяти (для DPDK) ; memory_channels = 2 ; Количество повторных пакетов в сторону клиента (от 1 до 3) ; answer_duplication = 1 ; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline) ; operation_mode = mirror ; Использовать jumbo frames ; jumbo_frames = false ; Максимальная длина ethernet фрейма при включенном jumbo_frames ; max_pkt_len = 9600 ; здесь задаются порты, с которых необходимо снимать трафик ; формат: ; [port n] ; queues = a,b; a1,b1... ; n - номер порта dpdk ; a - номер очереди ; b - ядро, обрабатывающее очередь a ; Пример: [port 0] queues = 0,1; ; Порт для отправки уведомлений через dpdk [port 1] type = sender ; На какой mac адрес отправлять пакеты mac = 00:01:02:03:04:05 [dpi] ; Масштабирование количества обрабатываемых потоков 1..10 ; scale = 10 ; Собирать и анализировать фрагментированные пакеты ; fragmentation_ipv6_state = true ; fragmentation_ipv4_state = true ; fragmentation_ipv4_table_size = 512 ; fragmentation_ipv6_table_size = 512 ; Собирать и анализировать tcp потоки с неправильными порядком ; tcp_reordering = true [logging] loggers.root.level = information ;loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/extFilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.purgeCount = 4 channels.fileChannel.archive = timestamp channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local dpdk Скрытый текст # /usr/src/dpdk-stable-17.05.1/usertools/dpdk-devbind.py --status Network devices using DPDK-compatible driver ============================================ 0000:01:00.0 '82599ES 10-Gigabit SFI/SFP+ Network Connection 10fb' drv=igb_uio unused= 0000:01:00.1 '82599ES 10-Gigabit SFI/SFP+ Network Connection 10fb' drv=igb_uio unused= cpu - Intel(R) Core(TM) i5-9400 CPU @ 2.90GHz Скрытый текст grep Huge /proc/meminfo AnonHugePages: 4096 kB HugePages_Total: 16 HugePages_Free: 16 HugePages_Rsvd: 0 HugePages_Surp: 0 Hugepagesize: 1048576 kB [root@localhost etc]# cat /proc/cmdline BOOT_IMAGE=/vmlinuz-3.10.0-1160.15.2.el7.x86_64 root=/dev/mapper/centos-root ro rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet isolcpus=1,2,3,4 default_hugepagesz=1G hugepagesz=1G hugepages=16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 8 февраля, 2021 (изменено) · Жалоба 9 часов назад, Cramac сказал: Всем привет. Пытаюсь запустить последнюю версию extfilter на новом железе, но чет пока никак: У вас в логе ошибок EAL: Detected 6 lcore(s) EAL: invalid coremask Уберите комментарий в конфиге с параметра core_mask и поставьте 15. Если такая же ошибка то попробуйте число побольше (сам не разобрался как эту маску считать). И запускать Изменено 8 февраля, 2021 пользователем Morphus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 8 февраля, 2021 · Жалоба Изменил, теперь так: Скрытый текст EAL: Detected 6 lcore(s) EAL: Probing VFIO support... EAL: PCI device 0000:01:00.0 on NUMA socket -1 EAL: probe driver: 8086:10fb net_ixgbe EAL: PCI device 0000:01:00.1 on NUMA socket -1 EAL: probe driver: 8086:10fb net_ixgbe Out of range Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 8 февраля, 2021 · Жалоба 13 часов назад, Cramac сказал: [port 0] queues = 0,1; не знаю связано с ошибкой или нет, но точки с запятой в конце не должно быть. Она только как разделитель. У меня так: [port 0] queues = 0,1; 1,2; 2,3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 8 февраля, 2021 · Жалоба Спасибо, запустился. напомните, в сендер надо ставить мак адрес сетевой, которую зеркалю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
