1. Для блокировка используем

[myth]

Или, может быть, можно добавить в extfilter возможность работы через nfq, или как еще, но в разрыв

[hsvt]

Пропуски на nfq по IP+port (SSL)

 

 <content id="383265" includeTime="2016-11-14T17:33:39" entryType="1" hash="BFCCD9E7E674688979F7C7C3D5DFF5D7">
   <decision date="2016-11-09" number="2-6-27/2016-10-18-38-È" org="ÍÑ"/>
   <url><![CDATA[https://52.50.87.120:16869/ru/]]></url>
   <domain><![CDATA[52.50.87.120]]></domain>
   <ip>52.50.87.120</ip>
 </content>

 

Как бороться, есть еще у кого такое ?

[apog]

Пропуски на nfq по IP+port (SSL)

 

 <content id="383265" includeTime="2016-11-14T17:33:39" entryType="1" hash="BFCCD9E7E674688979F7C7C3D5DFF5D7">
   <decision date="2016-11-09" number="2-6-27/2016-10-18-38-È" org="ÍÑ"/>
   <url><![CDATA[https://52.50.87.120:16869/ru/]]></url>
   <domain><![CDATA[52.50.87.120]]></domain>
   <ip>52.50.87.120</ip>
 </content>

 

Как бороться, есть еще у кого такое ?

Подтверждаю, есть такое. Сборка от тов. myth

[hsvt]

Через extFilter кто нибудь может проверить эти https://52.50.87.120:16869/ru ?

Изменено 22 июня, 2017 пользователем hsvt

[max1976]

Через extFilter кто нибудь может проверить эти https://52.50.87.120:16869/ru ?

 

Блокируется, фикс был вчера.

[hsvt]

Через extFilter кто нибудь может проверить эти https://52.50.87.120:16869/ru ?

 

Блокируется, фикс был вчера.

 

Что-то не ставится.

 

configure:5094: checking for main in -lboost_regex
configure:5113: g++ -o conftest  -std=c++11 -O3 -Wall -pthread -msse -msse2 -msse3 -mssse3   conftest.cpp -lboost_regex  -lPocoNet -lPocoUtil -lPocoFoundation  >&5
/usr/bin/ld: cannot find -lboost_regex
collect2: error: ld returned 1 exit status
configure:5113: $? = 1
configure: failed program was:

 

Хотя boost и boost-regex установил.

 

P.S. нужен еще boost-devel.

Изменено 22 июня, 2017 пользователем hsvt

[ne-vlezay80]

Через extFilter кто нибудь может проверить эти https://52.50.87.120:16869/ru ?

 

Блокируется, фикс был вчера.

 

Что-то не ставится.

 

configure:5094: checking for main in -lboost_regex
configure:5113: g++ -o conftest  -std=c++11 -O3 -Wall -pthread -msse -msse2 -msse3 -mssse3   conftest.cpp -lboost_regex  -lPocoNet -lPocoUtil -lPocoFoundation  >&5
/usr/bin/ld: cannot find -lboost_regex
collect2: error: ld returned 1 exit status
configure:5113: $? = 1
configure: failed program was:

 

Хотя boost и boost-regex установил.

 

P.S. нужен еще boost-devel.

Это итак понятно.

[Antares]

Что то в логи сыпятся пропуски пакетов на этой версии, на 0.62 не было

[sanyasi]

content id="553710"

[CDATA[https://www.google.ru/aclk?sa=L&ai=DChcSEwjFuIm2nKrUA.....

[myth]

Подтверждаю, есть такое. Сборка от тов. myth

хз

[max1976]

Что то в логи сыпятся пропуски пакетов на этой версии, на 0.62 не было

 

Исправлено.

[Antares]

Что то в логи сыпятся пропуски пакетов на этой версии, на 0.62 не было

 

Исправлено.

Спасибо!!! Помогло.

[arhead]

content id="553710"

[CDATA[https://www.google.r...FuIm2nKrUA.....

Они там походу с ума посходили

[ne-vlezay80]

Дело в том, что реестр запрещённых сайтов заполняют люди. Они могут и ошибаться.

[alibek]

Неграмотные люди. И ошибка это не случайность, а закономерность.

Проблема тут не в том, что это https-ссылка на Гугл - это проблема для оператора, но в принципе это нормально.

Проблема в том, что это динамическая поисковая ссылка, вместо постоянной конечной.

[ne-vlezay80]

А зачем они тогда так делают?

[myth]

https://github.com/ntop/nDPI/issues/410

[ne-vlezay80]

nDPI говна кусок мама...

[KsenZ]

Что то уже второй день не могу ладу дать с extFilter.

Уже вроде се перепроверил, но сервис не стартует.

# systemctl status extfilter
● extfilter.service - extFilter is a daemon for filtering traffic using DPDK
  Loaded: loaded (/etc/systemd/system/extfilter.service; disabled; vendor preset: disabled)
  Active: failed (Result: exit-code) since Fri 2017-06-23 14:15:05 +07; 4s ago
 Process: 24318 ExecStart=/usr/local/bin/extFilter --daemon --pidfile=/var/run/extFilter.pid --config-file /usr/local/etc/extfilter.ini (code=exited, status=0/SUCCESS)
Main PID: 24319 (code=exited, status=1/FAILURE)

Jun 23 14:15:05 zapret.mekad.net systemd[1]: Starting extFilter is a daemon for filtering traffic using DPDK...
Jun 23 14:15:05 zapret.mekad.net systemd[1]: PID file /var/run/extFilter.pid not readable (yet?) after start.
Jun 23 14:15:05 zapret.mekad.net systemd[1]: Started extFilter is a daemon for filtering traffic using DPDK.
Jun 23 14:15:05 zapret.mekad.net systemd[1]: extfilter.service: main process exited, code=exited, status=1/FAILURE
Jun 23 14:15:05 zapret.mekad.net systemd[1]: Unit extfilter.service entered failed state.
Jun 23 14:15:05 zapret.mekad.net systemd[1]: extfilter.service failed.

 

В логе с включенным дебагом, только это:

2017-06-23 14:09:25.773 [24276] Debug Application - HTTP code set to 302 Found
2017-06-23 14:09:25.773 [24276] Debug Application - URL additional info set to none
2017-06-23 14:09:25.773 [24276] Debug Application - DPDK command line: extFilter
2017-06-23 14:09:25.773 [24276] Debug Application - DPDK command line: -n
2017-06-23 14:09:25.773 [24276] Debug Application - DPDK command line: 2
2017-06-23 14:09:25.773 [24276] Debug Application - DPDK command line: -c
2017-06-23 14:09:25.773 [24276] Debug Application - DPDK command line: 0x00
2017-06-23 14:09:25.773 [24276] Debug Application - DPDK command line: --master-lcore
2017-06-23 14:09:25.773 [24276] Debug Application - DPDK command line: 0

 

Может кто знает, куда копать дальше?

Изменено 23 июня, 2017 пользователем KsenZ

[Antares]

конфиг в студию

[Стич]

max1976, в какую сумму вы бы оценили работу по портированию этих изменений в nfqfilter?

Нет смысла добавлять в nfqfilter функционал в виду его низкой производительности.

 

Тут Вы не правы многие используют его и производительности хватает.

А ещё он незаминим для помещения ревизора в песочницу очень помогает когда с основной системой траблы.

[ne-vlezay80]

max1976, в какую сумму вы бы оценили работу по портированию этих изменений в nfqfilter?

Нет смысла добавлять в nfqfilter функционал в виду его низкой производительности.

 

Тут Вы не правы многие используют его и производительности хватает.

А ещё он незаминим для помещения ревизора в песочницу очень помогает когда с основной системой траблы.

Это как сказать:

В nfqfilter есть действительно ряд недостатков.

Что касается производительности, я решил эту проблему так:

iptables -t mangle -A PREROUTING -m connbytes  --connbytes-mode bytes --connbytes-dir both --connbytes ! 100000 -j NFQUEUE --queue-num 20

Конечно, dpdk работает лучше, но беда в том, что он требует процессор с ssse3 ssse4.

[myth]

Я никак не решал, мне хватает

 

покупать сервер с, как минимум, i5 только под государевы хотелки жалко...

[ne-vlezay80]

Я никак не решал, мне хватает

 

покупать сервер с, как минимум, i5 только под государевы хотелки жалко...

Эти инструкции кстати поддерживает любой современный процессор.

[zhenya`]

нфк прекрасно запускается в несколько инстансов на разные очереди, а потом queue-balance.