Перейти к содержимому
Калькуляторы
Блокировка веб ресурса  

565 пользователей проголосовало

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

@epollia можно узнать какой размах сети у вас ? сколько гигабит трафика фильтруется, pps ?

у нас сетка небольшая, в пиковую нагрузку гигабита 4 трафика.

Это я к выбору проца для фильтра. В целом и старенький 5660 сейчас справляется.

Изменено пользователем Morphus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чистого исходника у нас в пике до 37 Гбит/с

На сервера отправляется офильтрованный трафик, срезаем p2p. Остается примерно 14-15Гбит/с

по pps 2.8+1.6Mpps (два сервера)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

54 минуты назад, epollia сказал:

Этот файл мне прислал Morphus

Ресурс до которого блокируеются сообщения нахоится на 109.105.138.1

block.pcapng

Видимо ресурс был внесен в черный список. Случайной блокировки не бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, max1976 сказал:

Видимо ресурс был внесен в черный список. Случайной блокировки не бывает.

посмотрел по diff, у меня этот домен не проскальзывал

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, max1976 сказал:

Видимо ресурс был внесен в черный список

не было его там никогда. dig, get, просто в браузере открывается без проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, epollia сказал:

посмотрел по diff, у меня этот домен не проскальзывал

У меня не было ложного срабатывания на указанный ресурс. Фильтр работает уже достаточно долго:

Цитата

Active: active (running) since Вт 2018-10-23 12:01:55 MSK; 4 months 5 days ago

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@max1976 у вас, как у автора, фильтр работает лучше по дефолту ))

 

16 часов назад, max1976 сказал:

не было ложного срабатывания на указанный ресурс

а у нас есть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, добрый день.

Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа.

Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему?

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, luridze сказал:

Коллеги, добрый день.

Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа.

Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему?

Спасибо

/gost-ssl/bin/openssl ciphers | tr ":" "\n" | grep GOST
(типа нужны версии 2012) 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, luridze сказал:

Коллеги, добрый день.

Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа.

Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему?

Спасибо

-----BEGIN PRIVATE KEY-----

xxxx

-----END PRIVATE KEY-----

Присутствует в pem ?

Гост 2012 скомпилен? и версия openssl какая?

 

У меня были проблемы с экспортом в pem. openssl ни в какую не хотел принимать пароль ключа, помогла опция -nomacver

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 3/6/2019 at 6:35 PM, luridze said:

Коллеги, добрый день.

Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа.

Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему?

Спасибо

Поменялся алгоритм хэширования и старая бесплатная утилитка перестала с ним работать. Штатными средствами шиндовс достать контейнер не получится - разные алгоритмы хэширования.

 

У мепня прокатило вот такое:

Ставим крипто про 4 (триальная работает пару недель).

Используя утилитку из набора 1 раз подписываем запрос командой вида:

C:\"Program files"\"Crypto Pro"\CSP\csptest.exe -sfsign -sign -detached -add -in <путь к фалу>request.xml -out <путь к фалу>request.bin -my <имя владельца сертификата>@example.ru

Потом перекидываем в нужную дерикторию в линуксе файл request.bin и убираем из скрипта подписывание, которое в перл-скрипте выглядело примерно так:
system ("/gost-ssl/bin/openssl smime -sign -in /gost-ssl/rzs/request.xml -out /gost-ssl/rzs/request.bin". " -signer /gost-ssl/rzs/provider.pem -outform DER -nodetach");

 

После этого у нас остается генерация только XML-файла для запроса, а подпись всегда используем полученную из винды.

Никаких проблем.

Есть вариант еще сделать это все под виндой - тоже проверно и работает, но это же не наш метод? А покупать утильку за 2990 на 1год + 14 дней совсем не хочется.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для тех, у кого проблемы с vtysh -c "show run".

my $ip_cidr=new Net::CIDR::Lite;
my $ip_cidr_null=new Net::CIDR::Lite;
my $ip6_cidr=new Net::CIDR::Lite;
my $ip6_cidr_null=new Net::CIDR::Lite;

my @ip_list;
my @ip6_list;
my @ip_list_null;
my @ip6_list_null;

my $net_file_hash_old=get_md5_sum($bgpd_file);

my $n = 0;
my @show_run;
my $zebra;
my $bgpd;
my $read;
my $Zebra_FILE = '/etc/quagga/zebra.conf';
my $Bgpd_FILE = '/etc/quagga/bgpd.conf';

#if ( $? == -1 )
#{
#       $logger->error("Error while executed cmd $cmd: $!, skip soft Quagga reconfiguration");
#       $update_soft_quagga=0;
#}

#Zebra
open ($zebra, $Zebra_FILE) or die "Could not open file '$Zebra_FILE' $!";

        while ($read=<$zebra>){
                $n++;
                push(@show_run, $read);
                #$logger->info("$read");
        }
close $zebra;

#Bgpd
open ($bgpd, $Bgpd_FILE) or die "Could not open file '$Bgpd_FILE' $!";

        while ($read=<$bgpd>){
                $n++;
                push(@show_run, $read);
        }
close $bgpd;

$logger->info("Readed $n lines from files");


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

sub analyse_quagga_networks
{
        my $need_save_config=0;

        my %ips_to_add = %ip_s;
        my %ips6_to_add = %ip6_s;
        my %ips_to_add_null=%ip_s_null;
        my %ips6_to_add_null=%ip6_s_null;

        my %ips_to_del;
        my %ips6_to_del;
        my %ips_to_del_null;
        my %ips6_to_del_null;

        foreach my $line (@show_run)
        {
                next if ($line =~ /^\s*\!/);
                if($line =~ /^\s*network\s+(.+)\/(\d+)/)
                {


 

diff делать лень

 

Принцип, думаю, понятен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, myth сказал:

Для тех, у кого проблемы с vtysh -c "show run".

 

diff делать лень

 

Принцип, думаю, понятен.

Я так понял конфиг из файлов берется, а не из консоли. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этож тоже скрипт перепиливать нужно. Как понимаю, серьезно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну хз чем плох ip rule с отдельной таблицей блекхолов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не удаляются ip адреса из квагги после удаления ip адреса из локального блэклиста

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забавная вещь произошла: в серверной выключался свет, все серваки перезагрузились. И после ребута фильтр заработал идеально (только один сайт не блочится, но это было и раньше, не знаю почему).

1) Могло ли что-то "накопиться" в фильтре, в системе, из-за чего не работало ?

2) Кто сколько хранит дампы и надо ли вообще ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, Morphus сказал:

1) Могло ли что-то "накопиться" в фильтре, в системе, из-за чего не работало ?

Исключено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

2019-03-25 14:08:19.923 [2025] Information ACL - Preparing 156930 rules for IPv4 ACL
2019-03-25 14:08:19.928 [2025] Error ACL - Add rules failed
2019-03-25 14:08:19.928 [2025] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket

  Пытаюсь протестировать в режиме моста,

при ips_to_hosts = true 

Сыпет ошибку.

Помню в теме говорилось что не более 100000 размер acl, т.е. никак не уйти от  маршрутов в блэкхол?

Или можно смело в исходниках увеличивать лимит?

Изменено пользователем swsn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, swsn сказал:

Или можно смело в исходниках увеличивать лимит?

Можно смело увеличивать. Это приведёт к большему потреблению оперативной памяти. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При такой активности ркн по блокировке ip может стоит в скрипте реализовать суммаризацию?

при суммаризации у меня сейчас получается 94 тыс ip адресов против 158

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, swsn сказал:

При такой активности ркн по блокировке ip может стоит в скрипте реализовать суммаризацию?

при суммаризации у меня сейчас получается 94 тыс ip адресов против 158

Добавил агрегацию в скрипт. Обновление на github.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.