1. Для блокировка используем

[nevsik]

Да я выяснил, что если запрос идет к 443, при обращении по этим ссылкам, то фильтр даже не пытается отправить ответ.
Выходит что ссылки из этого списка (urls), смотрятся фильтром только по http((( и это печально, т.к. счетчики на фильтре (за которым стоит ревизор), почти не прибавляются.

Изменено 28 декабря, 2022 пользователем nevsik

[st_re]

443 порт это не http а https. если в выгрузке http то с какого будуна это надо блочить.. если на https тоже запрещенная информация, то пусть специально обученные люди внесут сие в списки.

 

[1boris]

Есть ли требования к карточке, которая будет отдавать ответы?
 

Network devices using DPDK-compatible driver
============================================
0000:01:00.0 '82599ES 10-Gigabit SFI/SFP+ Network Connection 10fb' drv=igb_uio unused=
0000:02:00.0 '82574L Gigabit Network Connection 10d3' drv=igb_uio unused=

 

[port 0]
queues = 0,0; 1,1; 2,2; 3,3

[port 1]
type = sender
mac = 00:11:22:33:44:55

Получаю ошибку:

Fatal Application - Cannot initialize port 1

С RTL8168 заработало, но порт не линкует.

Изменено 29 декабря, 2022 пользователем 1boris

[1boris]

Есть очень много вопросов. Кто разбирается, ответьте, пожалуйста.

 

Если запускать в режиме бриджа и пропускать трафик насквозь, влияет на качество сервиса?

Может быть пинги растут? Или есть дропы?

Что будет если демон упадет? Трафик продолжит проходить насквозь?

Какое железо надо, чтобы обрабатывать в пике до 10гбит/сек трафика?

Что лучше для фильтрации - много ядер или частота?

Подойдут ли сетевые x520?

Стоит брать сервер с двумя сокетами, навешивая прерывания одной сетевой на один проц, а прерывания другой на другой проц?

Или достаточно односокетного сервера? Если так, то прерывания одного порта вешать на 50% ядер и прерывания другого порта вешать на остальные 50% ядер?

Стоит ли навешивать прерывания на 0 ядро?

Есть ли смысл брать ddr4 (выбираю между сокетам 2011 и 2011-3)?

На каком дистрибутиве и версии ядра на данный момент лучше собирать (на последней версии centos 7 собралось без проблем)?

 

Заранее спасибо!

Изменено 10 января, 2023 пользователем 1boris

[toropyga]

Пользуемся больше года в режиме бриджа. На качество, пинги и дропы никак не повлияло. Если демон падает, трафик не проходит. Сетевухи 520 используем, проблем нет.

[1boris]

Спасибо за ответ
Часто падает демон?

Вернулся сегодня к тестам, настроил в режиме бриджа
Правильно я понимаю, что по https можно блокировать только весь домен? URL заблокировать нельзя (например, https://site.ru/test/123)?

Изменено 23 января, 2023 пользователем 1boris

[st_re]

да, нельзя, трафик зашифрован, и вы не узнаете что там было внутри.

[Dmitry76]

Добрый день. Помогите с extfilter/DPDK. Коротко по сути: два одинаковых по железу сервера. Один сервер работает, второй как бы тоже работает (в логах пишет про отсылку ресетов), но пакеты с уведомлениями с порта сендера по факту не отправляются. В дампе ничего. Карточка (intel I350) точно рабочая. выводил ее с dpdk, пинги ходят. Пробовал использовать другой интерфейс (встроенных две) - та же беда. Сервер выключал по питанию, не помогло. Куда копать, что делать? Отсылка не работает.

 

UPD.

testpmd показывает дропы:

 ---------------------- Forward statistics for port 2  ----------------------
 RX-packets: 1              RX-dropped: 0             RX-total: 1
 TX-packets: 26517880       TX-dropped: 40341723      TX-total: 66859603

UPD2. Разобрался. Мой затуп. Перепутал в конфиге порты интерфейсов. Было несоответствие: интерфейс отправки был прописан как приемный, а один из двух интерйейсов приема был прописан как передающий. Привет порты в порядок и работает.

Изменено 31 января, 2023 пользователем Dmitry76

[Morphus]

А кто-то пользовался таким решением ? Вроде выглядит как рабочий вполне вариант
https://www.zapretservice.ru/

[myth]

• ZapretService путем dns-запросов вычисляет ip-адреса серверов, где располагаются запрещенные url-адреса/сайты, а так же использует ip-адреса из самого реестра
• список вычисленных ip-адресов анонсируются на Ваш BRAS через протокол OSPF/BGP, устанавливая адрес сервера с ZapretService в качестве наилучшего маршрута
• модуль ZapretService сравнивает url-адреса из http/https-пакетов* перенаправленного интернет-трафика с url-адресами из реестра
• при совпадении url-адреса происходит перенаправление на информационную страницу сервера, а остальной трафик отправляется на пограничный маршрутизатор

 

ненадежно в случае облаков

[vurd]

В 31.01.2023 в 07:43, Morphus сказал:

А кто-то пользовался таким решением ? Вроде выглядит как рабочий вполне вариант
https://www.zapretservice.ru/

Очень давно с ними. Отличное решение, к тому же совершенно недорогое.

[Умник]

Цитата

Отличное решение, к тому же совершенно недорогое.

@vurd, сколько /32 анонсирует по BGP (с учетом того, что система сама нарезольвила)?

Изменено 9 февраля, 2023 пользователем Умник

[myth]

Кто в курсе, на какой трафик можно ставить extfilter в разрыв?

[vurd]

В 09.02.2023 в 08:09, Умник сказал:

@vurd, сколько /32 анонсирует по BGP (с учетом того, что система сама нарезольвила)?

Агрегирует до /24, есть такая опция, чтобы поменьше было _итого

Около 45к

[Morphus]

Есть проблема что иногда фильтр делает редирект там, где по идее этого не должен делать. Просто работая в zabbix-e, может иногда вылетать заглушка, несколько раз подряд, а потом прекратить. Сейчас ещё один сервис страдает от такого поведения массово. Сайты с википедиями тоже иногда начинают блокироваться с редиректом. Дебаг показывает только ип куда отправился ответ, но больше ничего. Отключение фильтра проблему решает.

1) Можно как-то узнать причину почему был отправлен редирект, какое правило сработало ? Очень было бы интересно увидеть на "какой запрос" и "какое правило" фильтр так посчитал.

2) Может это быть аппаратный глюк?

[myth]

не замечал такого поведения. Версия 0.99.4

[Morphus]

Цитата

Очень давно с ними. Отличное решение, к тому же совершенно недорогое.

@vurd а можете сказать какое железо у вас и какое кол-во трафика оно фильтрует?  1 или 2 процессорная плата?

[Умник]

@Morphus, учитывая, что решение заворачивает на себя трафик только для адресов, которые есть в реестре (+ пусть даже само что-то резольвит), то даже при суммарном интернет-трафике в несколько гигов, через железку будут проходить десятки мегабит. Подойдет любой комп.

[alibek]

Учитывая, что при распространении HTTPS и облаков заворачивать нужно будет весь трафик для больших подсетей, лучше все же заложить резерв производительности под рост трафика.

[nixx]

В 20.02.2023 в 07:27, Morphus сказал:

@vurd а можете сказать какое железо у вас и какое кол-во трафика оно фильтрует?  1 или 2 процессорная плата?

вы материнку имеете в виду? вообще пофигу, у меня в виртуалках работает. 6-8 ядер E5-v1 и 8-12 гб оперативы. диск только ему дайте пошустрее, оно в базу активно писать любит.

при абонентском трафике около 10гбит через виртуалку c ZS в чнн проходит около 100 мбит.

 

крайне долго стартует после свежей инсталляции (сужу по числу анонсированных маршрутов в bgp, где-то неделю добирает с 300к до 550к /32), больше никаких минусов не знаю.

[Умник]

Цитата

где-то неделю добирает с 300к до 550к /32

@nixx, какое количество пропусков за эту неделю фиксирует Ревизор? РКН не напрягается?

[nixx]

3 часа назад, Умник сказал:

@nixx, какое количество пропусков за эту неделю фиксирует Ревизор? РКН не напрягается?

честный "чистый" запуск без фильтрации свыше у меня был лет пять назад, там уже хз, как что было.

а сейчас у всех договоры с аплинками, на момент перехода на ZS просто оповещаем РКН, что "система фильтрации меняется, имейте снисхождение". ну и не пинали пока ни разу.

 

тут наоборот - один аплинк ни в какую не хочет/не может фильтрацию отключить. вот бодаться пытаюсь, а то его перехват dns-запросов ни к чему хорошему не приведет когда-нибудь.

[bike]

В 21.02.2023 в 18:17, nixx сказал:

честный "чистый" запуск без фильтрации свыше у меня был лет пять назад, там уже хз, как что было.

а сейчас у всех договоры с аплинками, на момент перехода на ZS просто оповещаем РКН, что "система фильтрации меняется, имейте снисхождение". ну и не пинали пока ни разу.

 

тут наоборот - один аплинк ни в какую не хочет/не может фильтрацию отключить. вот бодаться пытаюсь, а то его перехват dns-запросов ни к чему хорошему не приведет когда-нибудь.

Так напишите итог - чисто спортивный интерес.

Ноль, 1-2, 3-5, более.

[nixx]

если интересует именно итог давно работающего ZS, а не пропуски в процессе установки/всасывания дампов, то вот сейчас за один и тот же день в одном отчете - один пропуск, в другом отчете - три пропуска.

[Умник]

Цитата

если интересует именно итог давно работающего ZS, а не пропуски в процессе установки/всасывания дампов

@nixx, то есть решили, что можно пренебречь пропусками за несколько дней, так как машина/виртуалка с ZS перезагружается крайне редко?

 

Или он где-то запоминает, что нарезольвил?