nevsik Опубликовано 28 декабря, 2022 (изменено) · Жалоба Да я выяснил, что если запрос идет к 443, при обращении по этим ссылкам, то фильтр даже не пытается отправить ответ. Выходит что ссылки из этого списка (urls), смотрятся фильтром только по http((( и это печально, т.к. счетчики на фильтре (за которым стоит ревизор), почти не прибавляются. Изменено 28 декабря, 2022 пользователем nevsik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 28 декабря, 2022 · Жалоба 443 порт это не http а https. если в выгрузке http то с какого будуна это надо блочить.. если на https тоже запрещенная информация, то пусть специально обученные люди внесут сие в списки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
1boris Опубликовано 29 декабря, 2022 (изменено) · Жалоба Есть ли требования к карточке, которая будет отдавать ответы? Network devices using DPDK-compatible driver ============================================ 0000:01:00.0 '82599ES 10-Gigabit SFI/SFP+ Network Connection 10fb' drv=igb_uio unused= 0000:02:00.0 '82574L Gigabit Network Connection 10d3' drv=igb_uio unused= [port 0] queues = 0,0; 1,1; 2,2; 3,3 [port 1] type = sender mac = 00:11:22:33:44:55 Получаю ошибку: Fatal Application - Cannot initialize port 1 С RTL8168 заработало, но порт не линкует. Изменено 29 декабря, 2022 пользователем 1boris Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
1boris Опубликовано 29 декабря, 2022 (изменено) · Жалоба Есть очень много вопросов. Кто разбирается, ответьте, пожалуйста. Если запускать в режиме бриджа и пропускать трафик насквозь, влияет на качество сервиса? Может быть пинги растут? Или есть дропы? Что будет если демон упадет? Трафик продолжит проходить насквозь? Какое железо надо, чтобы обрабатывать в пике до 10гбит/сек трафика? Что лучше для фильтрации - много ядер или частота? Подойдут ли сетевые x520? Стоит брать сервер с двумя сокетами, навешивая прерывания одной сетевой на один проц, а прерывания другой на другой проц? Или достаточно односокетного сервера? Если так, то прерывания одного порта вешать на 50% ядер и прерывания другого порта вешать на остальные 50% ядер? Стоит ли навешивать прерывания на 0 ядро? Есть ли смысл брать ddr4 (выбираю между сокетам 2011 и 2011-3)? На каком дистрибутиве и версии ядра на данный момент лучше собирать (на последней версии centos 7 собралось без проблем)? Заранее спасибо! Изменено 10 января, 2023 пользователем 1boris Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
toropyga Опубликовано 16 января, 2023 · Жалоба Пользуемся больше года в режиме бриджа. На качество, пинги и дропы никак не повлияло. Если демон падает, трафик не проходит. Сетевухи 520 используем, проблем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
1boris Опубликовано 23 января, 2023 (изменено) · Жалоба Спасибо за ответ Часто падает демон? Вернулся сегодня к тестам, настроил в режиме бриджа Правильно я понимаю, что по https можно блокировать только весь домен? URL заблокировать нельзя (например, https://site.ru/test/123)? Изменено 23 января, 2023 пользователем 1boris Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 23 января, 2023 · Жалоба да, нельзя, трафик зашифрован, и вы не узнаете что там было внутри. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitry76 Опубликовано 27 января, 2023 (изменено) · Жалоба Добрый день. Помогите с extfilter/DPDK. Коротко по сути: два одинаковых по железу сервера. Один сервер работает, второй как бы тоже работает (в логах пишет про отсылку ресетов), но пакеты с уведомлениями с порта сендера по факту не отправляются. В дампе ничего. Карточка (intel I350) точно рабочая. выводил ее с dpdk, пинги ходят. Пробовал использовать другой интерфейс (встроенных две) - та же беда. Сервер выключал по питанию, не помогло. Куда копать, что делать? Отсылка не работает. UPD. testpmd показывает дропы: ---------------------- Forward statistics for port 2 ---------------------- RX-packets: 1 RX-dropped: 0 RX-total: 1 TX-packets: 26517880 TX-dropped: 40341723 TX-total: 66859603 UPD2. Разобрался. Мой затуп. Перепутал в конфиге порты интерфейсов. Было несоответствие: интерфейс отправки был прописан как приемный, а один из двух интерйейсов приема был прописан как передающий. Привет порты в порядок и работает. Изменено 31 января, 2023 пользователем Dmitry76 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 31 января, 2023 · Жалоба А кто-то пользовался таким решением ? Вроде выглядит как рабочий вполне вариант https://www.zapretservice.ru/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 февраля, 2023 · Жалоба ZapretService путем dns-запросов вычисляет ip-адреса серверов, где располагаются запрещенные url-адреса/сайты, а так же использует ip-адреса из самого реестра список вычисленных ip-адресов анонсируются на Ваш BRAS через протокол OSPF/BGP, устанавливая адрес сервера с ZapretService в качестве наилучшего маршрута модуль ZapretService сравнивает url-адреса из http/https-пакетов* перенаправленного интернет-трафика с url-адресами из реестра при совпадении url-адреса происходит перенаправление на информационную страницу сервера, а остальной трафик отправляется на пограничный маршрутизатор ненадежно в случае облаков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 8 февраля, 2023 · Жалоба В 31.01.2023 в 07:43, Morphus сказал: А кто-то пользовался таким решением ? Вроде выглядит как рабочий вполне вариант https://www.zapretservice.ru/ Очень давно с ними. Отличное решение, к тому же совершенно недорогое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 9 февраля, 2023 (изменено) · Жалоба Цитата Отличное решение, к тому же совершенно недорогое. @vurd, сколько /32 анонсирует по BGP (с учетом того, что система сама нарезольвила)? Изменено 9 февраля, 2023 пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 9 февраля, 2023 · Жалоба Кто в курсе, на какой трафик можно ставить extfilter в разрыв? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 10 февраля, 2023 · Жалоба В 09.02.2023 в 08:09, Умник сказал: @vurd, сколько /32 анонсирует по BGP (с учетом того, что система сама нарезольвила)? Агрегирует до /24, есть такая опция, чтобы поменьше было _итого Около 45к Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 16 февраля, 2023 · Жалоба Есть проблема что иногда фильтр делает редирект там, где по идее этого не должен делать. Просто работая в zabbix-e, может иногда вылетать заглушка, несколько раз подряд, а потом прекратить. Сейчас ещё один сервис страдает от такого поведения массово. Сайты с википедиями тоже иногда начинают блокироваться с редиректом. Дебаг показывает только ип куда отправился ответ, но больше ничего. Отключение фильтра проблему решает. 1) Можно как-то узнать причину почему был отправлен редирект, какое правило сработало ? Очень было бы интересно увидеть на "какой запрос" и "какое правило" фильтр так посчитал. 2) Может это быть аппаратный глюк? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 16 февраля, 2023 · Жалоба не замечал такого поведения. Версия 0.99.4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 20 февраля, 2023 · Жалоба Цитата Очень давно с ними. Отличное решение, к тому же совершенно недорогое. @vurd а можете сказать какое железо у вас и какое кол-во трафика оно фильтрует? 1 или 2 процессорная плата? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 20 февраля, 2023 · Жалоба @Morphus, учитывая, что решение заворачивает на себя трафик только для адресов, которые есть в реестре (+ пусть даже само что-то резольвит), то даже при суммарном интернет-трафике в несколько гигов, через железку будут проходить десятки мегабит. Подойдет любой комп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 февраля, 2023 · Жалоба Учитывая, что при распространении HTTPS и облаков заворачивать нужно будет весь трафик для больших подсетей, лучше все же заложить резерв производительности под рост трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 21 февраля, 2023 · Жалоба В 20.02.2023 в 07:27, Morphus сказал: @vurd а можете сказать какое железо у вас и какое кол-во трафика оно фильтрует? 1 или 2 процессорная плата? вы материнку имеете в виду? вообще пофигу, у меня в виртуалках работает. 6-8 ядер E5-v1 и 8-12 гб оперативы. диск только ему дайте пошустрее, оно в базу активно писать любит. при абонентском трафике около 10гбит через виртуалку c ZS в чнн проходит около 100 мбит. крайне долго стартует после свежей инсталляции (сужу по числу анонсированных маршрутов в bgp, где-то неделю добирает с 300к до 550к /32), больше никаких минусов не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 21 февраля, 2023 · Жалоба Цитата где-то неделю добирает с 300к до 550к /32 @nixx, какое количество пропусков за эту неделю фиксирует Ревизор? РКН не напрягается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 21 февраля, 2023 · Жалоба 3 часа назад, Умник сказал: @nixx, какое количество пропусков за эту неделю фиксирует Ревизор? РКН не напрягается? честный "чистый" запуск без фильтрации свыше у меня был лет пять назад, там уже хз, как что было. а сейчас у всех договоры с аплинками, на момент перехода на ZS просто оповещаем РКН, что "система фильтрации меняется, имейте снисхождение". ну и не пинали пока ни разу. тут наоборот - один аплинк ни в какую не хочет/не может фильтрацию отключить. вот бодаться пытаюсь, а то его перехват dns-запросов ни к чему хорошему не приведет когда-нибудь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 21 февраля, 2023 · Жалоба В 21.02.2023 в 18:17, nixx сказал: честный "чистый" запуск без фильтрации свыше у меня был лет пять назад, там уже хз, как что было. а сейчас у всех договоры с аплинками, на момент перехода на ZS просто оповещаем РКН, что "система фильтрации меняется, имейте снисхождение". ну и не пинали пока ни разу. тут наоборот - один аплинк ни в какую не хочет/не может фильтрацию отключить. вот бодаться пытаюсь, а то его перехват dns-запросов ни к чему хорошему не приведет когда-нибудь. Так напишите итог - чисто спортивный интерес. Ноль, 1-2, 3-5, более. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 21 февраля, 2023 · Жалоба если интересует именно итог давно работающего ZS, а не пропуски в процессе установки/всасывания дампов, то вот сейчас за один и тот же день в одном отчете - один пропуск, в другом отчете - три пропуска. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 22 февраля, 2023 · Жалоба Цитата если интересует именно итог давно работающего ZS, а не пропуски в процессе установки/всасывания дампов @nixx, то есть решили, что можно пренебречь пропусками за несколько дней, так как машина/виртуалка с ZS перезагружается крайне редко? Или он где-то запоминает, что нарезольвил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...