Jump to content
Калькуляторы
Блокировка веб ресурса  

536 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

2 минуты назад, epollia сказал:

вот тут ошибся или не все скопировал?

Не всё скопировано.

4 минуты назад, epollia сказал:

и вопрос: модуль в modprod прописал?

кстати, такого нигде нет в файлах

Share this post


Link to post
Share on other sites

у меня просто не стартовали сервисы без загрузки модуля

cat /etc/modules-load.d/uio.conf 

uio

 

 

Хотя тут может я сам где не доделал

 

Получается у тебя после ребута сервера сам сервис фильтра не стартует?

Прям после ребута пробовал смотреть состояние интерфейсов?

Edited by epollia

Share this post


Link to post
Share on other sites

Вы были правы, сервисы без  этого модуля не стартовали

[root@localhost system]# systemctl --type=service | grep failed

Скрытый текст

 UNIT                               LOAD   ACTIVE SUB     DESCRIPTION
● dpdk-devbind.service               loaded failed failed  DPDK device binding
● igb_uio_module.service             loaded failed failed  igb_uio module insertion
● network.service                    loaded failed failed  LSB: Bring up/down networking
● NetworkManager-wait-online.service loaded failed failed  Network Manager Wait Online

 

Прописал загрузку дополнительной строчкой в igb_uio_module.service
 

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/modprobe uio
ExecStart=/sbin/insmod /root/dpdk-stable-17.05.2/x86_64-native-linuxapp-gcc/kmod/igb_uio.ko
ExecStop=/sbin/rmmod igb_uio

Хотя Ваш вариант с "cat /etc/modules-load.d/uio.conf" ,наверное, правильнее.

Однако network.service так же не старутет, но это скорее всего из-за бинда сетевых в dpdk.

Скрытый текст

[root@localhost ~]# journalctl -u network.service -b
-- Logs begin at Чт 2018-10-25 22:33:55 +08, end at Чт 2018-10-25 14:36:06 +08. --
окт 25 14:33:59 localhost.localdomain systemd[1]: Starting LSB: Bring up/down networking...
окт 25 14:33:59 localhost.localdomain network[812]: Bringing up loopback interface:  [  OK  ]
окт 25 14:33:59 localhost.localdomain network[812]: Bringing up interface Wired_connection_1:  Error: Connection activation failed: No suitable device found for this connection.
окт 25 14:33:59 localhost.localdomain network[812]: [FAILED]
окт 25 14:34:05 localhost.localdomain network[812]: Bringing up interface Wired_connection_2:  Error: Connection activation failed: Active connection removed before it was initialized
окт 25 14:34:05 localhost.localdomain network[812]: [FAILED]
окт 25 14:34:15 localhost.localdomain network[812]: Bringing up interface enp6s0f0:  [  OK  ]
окт 25 14:34:15 localhost.localdomain systemd[1]: network.service: control process exited, code=exited status=1
окт 25 14:34:15 localhost.localdomain systemd[1]: Failed to start LSB: Bring up/down networking.
окт 25 14:34:15 localhost.localdomain systemd[1]: Unit network.service entered failed state.
окт 25 14:34:15 localhost.localdomain systemd[1]: network.service failed.
 

Теперь всё запускается как надо! Благодарю за помощь!

Share this post


Link to post
Share on other sites

@max1976 проблема видимо осталась, сейчас проверил на такой ссылке

Скрытый текст

в ревизоре она с 200 ответом, в хроме на рабочем так же, то коннект сбрасывает то выводит страницу.

Записал дамп на NAS что проходит от тестового ПК до этого ИП и обратно.

Share this post


Link to post
Share on other sites
1 час назад, Cramac сказал:

 проблема видимо осталась, сейчас проверил на такой ссылке

Нет, проблемы нет. Этот ip должен блокироваться как ip адрес, соответственно в режиме зеркала вы либо блокируете его с помощью BGP, либо любым удобным способом.

Share this post


Link to post
Share on other sites
Только что, max1976 сказал:

Нет, проблемы нет. Этот ip должен блокироваться как ip адрес, соответственно в режиме зеркала вы либо блокируете его с помощью BGP, либо любым удобным способом.

Даже так. Значит  меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет.

как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables?

Share this post


Link to post
Share on other sites
Только что, Cramac сказал:

Даже так. Значит  меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет.

как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables?

Я не знаю дизайн вашей сети, поэтому мне сложно предложить подходящий именно вам вариант. Можно запустить фильтр в режиме моста (для резервирования можно поставить 2 сервера параллельно), тогда не понадобится фильтровать ip адреса и сети.

Share this post


Link to post
Share on other sites

Не, мост я боюсь делать, а резервирование еще не придумал как.

схема проста, сервак, одна сетевая аплинк, вторая внутренняя сеть, НАТим 

 

п.с. Вопрос тогда, что блокирует сам extfilter? Только по Домену и урлы?

Share this post


Link to post
Share on other sites
2 минуты назад, Cramac сказал:

п.с. Вопрос тогда, что блокирует сам extfilter? Только по Домену и урлы?

В режиме зеркала http/https. Эффективно заблокировать в режиме зеркала IP адреса и сети невозможно. 

Share this post


Link to post
Share on other sites
2 часа назад, Cramac сказал:

Не, мост я боюсь делать, а резервирование еще не придумал как.

Простейший вариант для резервирования - LACP. 

Share this post


Link to post
Share on other sites
10 часов назад, Cramac сказал:

Даже так. Значит  меня все что по ип, вообще не блокируются. Но ревизор вроде как ссылку проверяет.

как быть тогда? Если у меня нет BGP. Ставить его? Или костылями через ipset и iptables?

У меня ревизор ходит через NAT, там для дублирования схемы блокировки по ip (основная через BGP blackhole) сделан ipset с timeout в 2 часа. И каждый час скрипт (переделанный скрипт для кваги) заливает туда ip и сети.

Share this post


Link to post
Share on other sites

все что в таблице zap2_only_ips нужно блочить просто по ip

# iptables -nvL -t mangle
Chain PREROUTING (policy ACCEPT 1442G packets, 1363T bytes)
 pkts bytes target     prot opt in     out     source               destination         
1814K  109M DROP       all  --  *      *       x.x.x.x      0.0.0.0/0           match-set revblock-net-timeout

 

 

ipset -L revblock-net-timeout| more
Name: revblock-net-timeout
Type: hash:net
Header: family inet hashsize 16777216 maxelem 16777216 timeout 7200

 

 

Также данные из таблиц zap2_subnets и zap2_ips

Share this post


Link to post
Share on other sites

@epollia спасибо, вчера замутил, только 2 позиции в отчет попало и то до запуска блока по ИП.

Share this post


Link to post
Share on other sites

Возможно ли время от времени появление пропущенных пакетов по какой-то причине ? Один раз скакануло, после этой метки больше не увеличивалось.

2018-10-30 22:29:10.362 [1029] Information Application - Port 0 input packets 359478609808, input errors: 0, mbuf errors: 0, missed packets: 2567
2018-10-30 22:29:10.362 [1029] Information Application - Port 1 input packets 0, input errors: 0, mbuf errors: 0, missed packets: 0

Ещё: Я думал эти значения обновляются (перезаписываются) через statistic_interval в конфиге. Но выходит что он их копит. Не будет какого-нить переполнения типа или ещё чего. Число то огромное.

 

Share this post


Link to post
Share on other sites
5 часов назад, Morphus сказал:

Ещё: Я думал эти значения обновляются (перезаписываются) через statistic_interval в конфиге. Но выходит что он их копит. Не будет какого-нить переполнения типа или ещё чего. Число то огромное.

Счетчики 64 бита, максимальное число 9223372036854775807, и если даже переполнится, то начнется с 0.

 

5 часов назад, Morphus сказал:

озможно ли время от времени появление пропущенных пакетов по какой-то причине ? Один раз скакануло, после этой метки больше не увеличивалось.

Если ядра успевают обрабатывать трафик, то missed должен быть 0.

Share this post


Link to post
Share on other sites

Подскажите, в логах zapret.pl чем отличаются записи IPv4 ips:  и IPv4 only IPs: 

Когда добавляются IPv4 only IPs: то extfilter не релоадится...

Share this post


Link to post
Share on other sites

IPv4 only не блокирутся фильтром, их надо блокировать либо bgp либо iptables

Share this post


Link to post
Share on other sites
8 часов назад, max1976 сказал:

Если ядра успевают обрабатывать трафик, то missed должен быть 0.

У меня слабый CPU и иногда понемногу были missed. Отключение debug в конфиге исправило ситуацию

Share this post


Link to post
Share on other sites
2 часа назад, Antares сказал:

IPv4 only не блокирутся фильтром, их надо блокировать либо bgp либо iptables

у меня в бридже, так что блокируется.

Понятно надо значит найти где запрет поправить, чтобы релоад делать.

Share this post


Link to post
Share on other sites
1 час назад, Nickollla сказал:

У меня слабый CPU и иногда понемногу были missed. Отключение debug в конфиге исправило ситуацию

Так max1976 говорил что в режиме debug будут пропуски.

Share this post


Link to post
Share on other sites
1 час назад, radiotech сказал:

у меня в бридже, так что блокируется.

Понятно надо значит найти где запрет поправить, чтобы релоад делать.

Да, упустил момент обновления hosts файла. Исправление на github'е.

Share this post


Link to post
Share on other sites
19 минут назад, max1976 сказал:

Да, упустил момент обновления hosts файла. Исправление на github'е.

+1 в карму :-)

Share this post


Link to post
Share on other sites
Цитата

Да, упустил момент обновления hosts файла. Исправление на github'е.

Так вот сидишь, думаешь, что всё хорошо, а тут вдруг такое )

Share this post


Link to post
Share on other sites
2 часа назад, arhead сказал:

Так max1976 говорил что в режиме debug будут пропуски.

Уже раз 100 об этом писал.

 

5 минут назад, Morphus сказал:

Так вот сидишь, думаешь, что всё хорошо, а тут вдруг такое )

Это критично только для работы фильтра в режиме моста.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now