Jump to content
Калькуляторы
Блокировка веб ресурса  

538 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

Добрый день!

Решил установить nfqfilter на физический сервер с Centos 7 и зеркалить трафик с коммутатора. Все настроил, пакеты бегут, но на nfqfilter не попадают, и в iptables, видимо, тоже, так как счетчики не растут. В чем может быть проблема?

 

4: enp13s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000

link/ether 90:e2:ba:02:a7:99 brd ff:ff:ff:ff:ff:ff

Настройте интерфейс, и должно заработать.

Share this post


Link to post
Share on other sites

Добрый день!

Решил установить nfqfilter на физический сервер с Centos 7 и зеркалить трафик с коммутатора. Все настроил, пакеты бегут, но на nfqfilter не попадают, и в iptables, видимо, тоже, так как счетчики не растут. В чем может быть проблема?

 

4: enp13s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000

link/ether 90:e2:ba:02:a7:99 brd ff:ff:ff:ff:ff:ff

Настройте интерфейс, и должно заработать.

 

Тестили какое-то время другие системы блокировки, коммерческие, так там только на исходящем интерфейсе настраивался IP адрес, на входящем не было адреса, и все работало. Неужели тут не так? Обязательно надо на входящем интерфейсе указывать адрес? Пакеты же видно что идут

Share this post


Link to post
Share on other sites

Оно рассчитано на перехват роутящегося трафика, а не на зеркалирование. Правила в iptables у вас что перехватывать-то будут, по вашему?

Share this post


Link to post
Share on other sites

Несколько раз в этой теме мне рекомендовали зеркалировать трафик - настроил зеркало. Теперь говорят, что не рассчитано на зеркалирование. Чему верить то?

 

Вот нашел мануал по настройке интерфейсов centos с редуктором для работы с зеркалированным трафиком, если настроить по нему - должен будет трафик попадать на iptables и дальше на nfqfilter?

Share this post


Link to post
Share on other sites

Софт разный, для разного софта - разные советы. Редуктор, видимо, умеет работать с зеркалированным трафиком, если так написано в его мануалах, но причём тут nfqfilter?

 

Или Вы действительно искренне считаете, что ман одного софта должен подходить для совершенно другого софта? :)

Share this post


Link to post
Share on other sites

парни, вопрос по nfqfilter_config, что-то не взлетает

Can't open '': Нет такого файла или каталога at ./make_files.pl line 362.

 

секция [bGP] в конфиге закрыта

Share this post


Link to post
Share on other sites

Софт разный, для разного софта - разные советы. Редуктор, видимо, умеет работать с зеркалированным трафиком, если так написано в его мануалах, но причём тут nfqfilter?

 

Или Вы действительно искренне считаете, что ман одного софта должен подходить для совершенно другого софта? :)

 

Ну я искренне надеюсь, что совет делать зеркалку был дан не просто так, поэтому пришлось искать, как же все таки настроить интерфейсы на центосе, чтоб он принимал трафик. Но так и быть, раз уж с зеркалированием не вышло - буду ковыряться с маршрутизированием тэтого трафика...

 

Покажи таблицу маршрутизации ZAPRET

 

С маршрутами все в порядке, там только маршрут по умолчанию, отправляющий на бордер, и маршрут до сети, в которой находятся оба сервера.

 

# ip r
default via XXX.XXX.XXX.246 {IP бордера} dev vlan761  proto static  metric 400 
XXX.XXX.XXX.240/29 dev vlan761  proto kernel  scope link  src XXX.XXX.XXX.243  metric 400

 

Делай зеркалку

 

То есть надо зеркалить трафик на коммутаторе?

 

Да

Share this post


Link to post
Share on other sites

парни, вопрос по nfqfilter_config, что-то не взлетает

Can't open '': Нет такого файла или каталога at ./make_files.pl line 362.

 

секция [bGP] в конфиге закрыта

 

Так делать нельзя. Секция BGP обязательна.

Share this post


Link to post
Share on other sites

парни, вопрос по nfqfilter_config, что-то не взлетает

Can't open '': Нет такого файла или каталога at ./make_files.pl line 362.

 

секция [bGP] в конфиге закрыта

 

Так делать нельзя. Секция BGP обязательна.

а как же быть если bgp+as подняты на микротике

Share this post


Link to post
Share on other sites

а как же быть если у меня bgp+as подтяны на на микротике?

 

Пускай программа создает файлы, вы просто не запускайте bgpd.

Share this post


Link to post
Share on other sites

m-work nfqfilter # make
Making all in src
make[1]: Вход в каталог `/srv/scripts/rzs/nfqfilter/src'
 CXX      main.o
 CXX      nfqstatistictask.o
nfqstatistictask.cpp: In member function ‘void NFQStatisticTask::OutStatistic()’:
nfqstatistictask.cpp:60:99: error: invalid application of ‘sizeof’ to incomplete type ‘ndpi_detection_module_struct’
 app.logger().information("nDPI memory (once): %s",formatBytes(sizeof(ndpi_detection_module_struct)));
                                                                                                  ^
make[1]: *** [nfqstatistictask.o] Ошибка 1
make[1]: Выход из каталога `/srv/scripts/rzs/nfqfilter/src'
make: *** [all-recursive] Ошибка 1

 

не собирается что-то...

Share this post


Link to post
Share on other sites

Пускай программа создает файлы, вы просто не запускайте bgpd.

./make_files.pl
Exiting: failed to connect to any daemons.
Could not open file '' Нет такого файла или каталога at ./make_files.pl line 92.

Edited by yKpon

Share this post


Link to post
Share on other sites

m-work nfqfilter # make
Making all in src
make[1]: Вход в каталог `/srv/scripts/rzs/nfqfilter/src'
 CXX      main.o
 CXX      nfqstatistictask.o
nfqstatistictask.cpp: In member function ‘void NFQStatisticTask::OutStatistic()’:
nfqstatistictask.cpp:60:99: error: invalid application of ‘sizeof’ to incomplete type ‘ndpi_detection_module_struct’
 app.logger().information("nDPI memory (once): %s",formatBytes(sizeof(ndpi_detection_module_struct)));
                                                                                                  ^
make[1]: *** [nfqstatistictask.o] Ошибка 1
make[1]: Выход из каталога `/srv/scripts/rzs/nfqfilter/src'
make: *** [all-recursive] Ошибка 1

 

не собирается что-то...

 

Какая ОС ?

Share this post


Link to post
Share on other sites

 

а как же быть если bgp+as подняты на микротике

 

Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю...

 

Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет

 

 

Какая ОС ?

Linux m-work 3.16.0-38-generic #52~14.04.1-Ubuntu SMP Fri May 8 09:43:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Share this post


Link to post
Share on other sites

Пускай программа создает файлы, вы просто не запускайте bgpd.

./make_files.pl
Exiting: failed to connect to any daemons.
Could not open file '' Нет такого файла или каталога at ./make_files.pl line 92.

 

В APP.protocols не указан путь к файлу.

Share this post


Link to post
Share on other sites

Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю...

 

Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет

да я не хочу блокировать микротиком, он у меня пограничный и BGP, я хочу фильтровать на брасе с дебианом =)

Share this post


Link to post
Share on other sites

Linux m-work 3.16.0-38-generic #52~14.04.1-Ubuntu SMP Fri May 8 09:43:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

 

Какая версия nDPI установлена?

Share this post


Link to post
Share on other sites

Если у вас микротик пограничный - то придется к тому же маршрутизацию от источника делать, иначе получите петлю...

 

Если нет - то вроде как есть API у микротика, не знаю только на счет BGP в нем, но если оно там есть - допилить 15 минут будет

да я не хочу блокировать микротиком, он у меня пограничный и BGP, я хочу фильтровать на брасе с дебианом =)

 

Так фильтруйте, если он там один и через него весь трафик идет... Вам квагу надо "выкосить" из генератора и в таблесы правило добавить

 

Какая версия nDPI установлена?

 

 

с репо? 1.4.0

 

А какую надо?

 

Все, нашел. Сам дурак... Ушел качать 1.7

Edited by micol

Share this post


Link to post
Share on other sites

с репо? 1.4.0

 

А какую надо?

Из README:

 

Для сборки программы необходимы следующие библиотеки:

 

libnetfilter_queue

libnfnetlink

Poco >= 1.6

nDPI = 1.7

Share this post


Link to post
Share on other sites

max1976, большое спасибо за проделанный труд и помощь! =)

 

всё отрабатывает, но почему то плюётся много строк

Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.

попробую выпилить квагу их скрипта =)

Edited by yKpon

Share this post


Link to post
Share on other sites

всё отрабатывает, но почему то плюётся много строк

 

 

это попытки добавить через vtysh ip адреса для анонса через BGP

а у вас кваги то нет), вот и ругает

Share this post


Link to post
Share on other sites

для 443 порта какие должны быть правила? как написано в мане чтото не блокирует

 

ещё когда делаю выгрузку часто ругается

./zapret.pl
Subroutine _call redefined at (eval 129) line 50.
Subroutine OperatorRequestService::want_som redefined at (eval 129) line 92.
Subroutine AUTOLOAD redefined at (eval 129) line 109.
Subroutine OperatorRequestService::sendRequest redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getLastDumpDateEx redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getLastDumpDate redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getResult redefined at (eval 129) line 107.

Edited by yKpon

Share this post


Link to post
Share on other sites

 

ещё когда делаю выгрузку часто ругается

./zapret.pl
Subroutine _call redefined at (eval 129) line 50.
Subroutine OperatorRequestService::want_som redefined at (eval 129) line 92.
Subroutine AUTOLOAD redefined at (eval 129) line 109.
Subroutine OperatorRequestService::sendRequest redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getLastDumpDateEx redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getLastDumpDate redefined at (eval 129) line 107.
Subroutine OperatorRequestService::getResult redefined at (eval 129) line 107.

 

Посмотрите здесь

Share this post


Link to post
Share on other sites

max1976, большое спасибо за проделанный труд и помощь! =)

 

всё отрабатывает, но почему то плюётся много строк

Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.
Exiting: failed to connect to any daemons.

попробую выпилить квагу их скрипта =)

 

Можете поделиться вариантом без кваги? Тоже хочу фильтровать на брасе с дебиан.

Share this post


Link to post
Share on other sites

max1976, коллеги помогли найти решение.

Внесение следующего дополнения в скрипт:

$XML::Simple::PREFERRED_PARSER = 'XML::Parser';

Решает проблему.

Протестирвоано на CentOS и Fedora 23.

куда именно вставили то, в перле я далеко не гуру

 

Можете поделиться вариантом без кваги? Тоже хочу фильтровать на брасе с дебиан.

да я просто квагу поставил, ничего не настраивал в ней, всё по дефолту как в примере конфига, ну по сути она просто так стоит =)

 

знал бы перл выпилил бы её и email

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now