Jump to content
Калькуляторы
Блокировка веб ресурса  

553 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

29 минут назад, alexwin сказал:

А если было аварийное завершение и файл,содержащий pid не удален?

Что бы аварийно не завершался за этим каждую минуту скрипт проверяет запущен ли extfilter

Edited by arhead

Share this post


Link to post
Share on other sites

Конфиги с nfqfilter. Получаемые zapret => nfqfilter-config/make_files.pl то бишь? Но там же прописывание маршрутов на квагге в бордере в скрипте. Просто выпиливать это?

С конфигами как быть? Получать их тем же мейк_файлс.пиэль? Квагга extfilter больше не нужна же?

 

Больше спасибо за разъяснения. Буду пробовать.

Share this post


Link to post
Share on other sites
15 минут назад, daltech сказал:

Квагга extfilter больше не нужна же?

Квага нужна! Я все те же самые вопросы задавал почти один в один. Перечитайте тему с 142 страницы. Опять же в проекте есть extfilter_maker.pl который создает необходимые файлы и посылает -HUP.

Share this post


Link to post
Share on other sites
23 минуты назад, daltech сказал:

Конфиги с nfqfilter. Получаемые zapret => nfqfilter-config/make_files.pl то бишь? Но там же прописывание маршрутов на квагге в бордере в скрипте. Просто выпиливать это?

С конфигами как быть? Получать их тем же мейк_файлс.пиэль? Квагга extfilter больше не нужна же?

 

Больше спасибо за разъяснения. Буду пробовать.

https://github.com/max197616/extfilter/tree/master/scripts/extfilter-maker

Edited by alexwin

Share this post


Link to post
Share on other sites

nfqfilter-config создает анонсы запрещенных IP на сервер с фильтром, создает анонсы в Null, наполняет файлы со списками.

extfilter-maker только наполняет файлы со списками

extfilter-quagga только создает анонсы в Null

 

Формат файлов со списками у nfqfilter и extfilter одинаковый

Share this post


Link to post
Share on other sites

Кто-нибудь растолкуйте как привязывается конкретная сетевая карта к конкретному порту в extfilter

Скажем забиндел я в dpdk 2 сетевые. Одну хочу под зеркало вторую под ответы.

Не пойму как он понимает, что port0<->сетевая карта №1 с зеркалом, а port1<->сетевая2 sender

Share this post


Link to post
Share on other sites
1 минуту назад, Nickollla сказал:

Кто-нибудь растолкуйте как привязывается конкретная сетевая карта к конкретному порту в extfilter

Скажем забиндел я в dpdk 2 сетевые. Одну хочу под зеркало вторую под ответы.

Не пойму как он понимает, что port0<->сетевая карта №1 с зеркалом, а port1<->сетевая2 sender

Где-то выше отвечали на этот вопрос.

В порядке бинда. Первая - порт 0

вторая порт 1

Share this post


Link to post
Share on other sites

Тут уже спрашивали, но ответов не нашёл. 10G пока не нужно, но 1G уже не хватает. Можно ли настроить на свиче бондинг и слать в тупую трафик на анализ на 2 карты сразу, либо как-то через dpdk сбондить 2 карты?

Edited by pavelgloba

Share this post


Link to post
Share on other sites
1 час назад, pavelgloba сказал:

Тут уже спрашивали, но ответов не нашёл. 10G пока не нужно, но 1G уже не хватает. Можно ли настроить на свиче бондинг и слать в тупую трафик на анализ на 2 карты сразу, либо как-то через dpdk сбондить 2 карты?

Если аплинков несколько, то можно зеркалить каждого на отдельный порт. Это точно работает. Так же могу предположить, что LACP сделать не получится т.к. карты выведены из под управления ОС. Не совсем понятно как балансировку трафика делать.

 

Edited by SokolovS

Share this post


Link to post
Share on other sites
7 минут назад, myth сказал:

статический lag?

Как вариант. Балансировка по src-dst-ip там доступна? Там еще остается вопрос. При балансировке пара src-dst-ip всегда на один и тот же порт зеркалятся? Иначе возникает вопрос умеет ли extFilter собирать сессию с разных портов.

Edited by SokolovS

Share this post


Link to post
Share on other sites
2 минуты назад, Bat сказал:

LACP работает без проблем, если extfilter поднят на виртуальной машине.

Ну это понятно. Вы LACP делаете на хост-машине, а гостевая получает уже готовый трафик.

Share this post


Link to post
Share on other sites
1 час назад, SokolovS сказал:

Как вариант. Балансировка по src-dst-ip там доступна? Там еще остается вопрос. При балансировке пара src-dst-ip всегда на один и тот же порт зеркалятся? Иначе возникает вопрос умеет ли extFilter собирать сессию с разных портов.

 

Вот меня и беспокоит на сколько корректно это всё будет работать. 

 

1 час назад, Bat сказал:

LACP работает без проблем, если extfilter поднят на виртуальной машине.

 

А на сколько сильно это ударяет по производительности? Я так понимаю, что толк от dpdk пропадает полностью.

Edited by pavelgloba

Share this post


Link to post
Share on other sites

Ходит инфа про подсети, которые улетели в блок:

52.58.0.0/15

18.196.0.0/15

18.194.0.0/15

35.156.0.0/14

Правда или нет? В выгрузке пока их нет.

Edited by arhead

Share this post


Link to post
Share on other sites
58 минут назад, arhead сказал:

Правда или нет? В выгрузке пока их нет.

Они там уже с 17:35.

Share this post


Link to post
Share on other sites

Ох и правда. Не внимательно логи просмотрел. Смотрю они там разошлись прям хорошо.

Скрытый текст

 

18.184.0.0/15
18.194.0.0/15
18.196.0.0/15
35.156.0.0/14
35.192.0.0/12
52.58.0.0/15
68.171.224.0/19
74.82.64.0/19
91.108.4.0/22

91.108.8.0/21
91.108.16.0/22
91.108.56.0/22
103.246.200.0/22
109.239.140.0/24
149.154.160.0/20
178.239.88.0/21
203.104.144.0/21
203.104.152.0/22

 

 

Share this post


Link to post
Share on other sites

Не удивлюсь что скоро  и  8 маски пойдут.

от этих дебилов можно чего угодно ожидать)

Share this post


Link to post
Share on other sites

Мне интересно, оператор реестра анализирует отсутствие критически важных сервисов на таких огромных подсетях как /12?  Так можно половину Рунета уронить.

Share this post


Link to post
Share on other sites

Оператор реестра борется со скверной, а не обеспечивает работоспособность интернета. они неоднократно присылали письма, что наши IP попали в их базу... просто "добрые люди" вносили наши IP в свои DNSы, когда сами попадали в базу.. т.е. единичные IP они не в состоянии проверить, отдается ди там хоть чтото запрещенное. Вон яндекс недавно не просто письмо получил, а таки в выгрузку приехал. 

 

А Вы про десяток сетей проверить, размера /15 и больше. Да еще в режииме отработки команды сверху... Они бы себя не заблочили в пылу борьбы, уже хорошо . (ну для них хорошо...)

Share this post


Link to post
Share on other sites

Чего то перестал blacklist-rkn-tool (version 2.1.1) реестр выгружать.

 

2018-04-17 10:08:50,205  New dump is available.
2018-04-17 10:08:50,214  Sending request.
2018-04-17 10:08:50,257  Checking request status.
2018-04-17 10:08:50,257  Got code 08882f87aaf4b5f2d4aa9504ae96fd13
2018-04-17 10:08:50,269  Save code in History
2018-04-17 10:08:50,278  Waiting for a 90 sec.
2018-04-17 10:10:20,368  Trying to get result...
2018-04-17 10:10:20,396  <suds.sax.document.Document object at 0x7f2f42509b38>

 

Share this post


Link to post
Share on other sites

Возможно размера буферов не хватает, реестр то растет, в нем 123к записей.

Подправьте настройки вашего XML-процессора.

Share this post


Link to post
Share on other sites
1 час назад, alibek сказал:

Возможно размера буферов не хватает, реестр то растет, в нем 123к записей.

Подправьте настройки вашего XML-процессора.

Спасибо. Но, не успел что либо предпринять, само пошло.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now