Morphus Опубликовано 27 февраля, 2019 (изменено) · Жалоба @epollia можно узнать какой размах сети у вас ? сколько гигабит трафика фильтруется, pps ? у нас сетка небольшая, в пиковую нагрузку гигабита 4 трафика. Это я к выбору проца для фильтра. В целом и старенький 5660 сейчас справляется. Изменено 27 февраля, 2019 пользователем Morphus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 27 февраля, 2019 · Жалоба Чистого исходника у нас в пике до 37 Гбит/с На сервера отправляется офильтрованный трафик, срезаем p2p. Остается примерно 14-15Гбит/с по pps 2.8+1.6Mpps (два сервера) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 27 февраля, 2019 · Жалоба 54 минуты назад, epollia сказал: Этот файл мне прислал Morphus Ресурс до которого блокируеются сообщения нахоится на 109.105.138.1 block.pcapng Видимо ресурс был внесен в черный список. Случайной блокировки не бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 27 февраля, 2019 · Жалоба 2 минуты назад, max1976 сказал: Видимо ресурс был внесен в черный список. Случайной блокировки не бывает. посмотрел по diff, у меня этот домен не проскальзывал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 27 февраля, 2019 · Жалоба 3 минуты назад, max1976 сказал: Видимо ресурс был внесен в черный список не было его там никогда. dig, get, просто в браузере открывается без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 27 февраля, 2019 · Жалоба Только что, epollia сказал: посмотрел по diff, у меня этот домен не проскальзывал У меня не было ложного срабатывания на указанный ресурс. Фильтр работает уже достаточно долго: Цитата Active: active (running) since Вт 2018-10-23 12:01:55 MSK; 4 months 5 days ago Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 28 февраля, 2019 · Жалоба @max1976 у вас, как у автора, фильтр работает лучше по дефолту )) 16 часов назад, max1976 сказал: не было ложного срабатывания на указанный ресурс а у нас есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
luridze Опубликовано 6 марта, 2019 · Жалоба Коллеги, добрый день. Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа. Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему? Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dee Опубликовано 6 марта, 2019 · Жалоба 1 час назад, luridze сказал: Коллеги, добрый день. Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа. Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему? Спасибо /gost-ssl/bin/openssl ciphers | tr ":" "\n" | grep GOST (типа нужны версии 2012) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 7 марта, 2019 · Жалоба 22 часа назад, luridze сказал: Коллеги, добрый день. Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа. Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему? Спасибо -----BEGIN PRIVATE KEY----- xxxx -----END PRIVATE KEY----- Присутствует в pem ? Гост 2012 скомпилен? и версия openssl какая? У меня были проблемы с экспортом в pem. openssl ни в какую не хотел принимать пароль ключа, помогла опция -nomacver Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-pert Опубликовано 17 марта, 2019 · Жалоба On 3/6/2019 at 6:35 PM, luridze said: Коллеги, добрый день. Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа. Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему? Спасибо Поменялся алгоритм хэширования и старая бесплатная утилитка перестала с ним работать. Штатными средствами шиндовс достать контейнер не получится - разные алгоритмы хэширования. У мепня прокатило вот такое: Ставим крипто про 4 (триальная работает пару недель). Используя утилитку из набора 1 раз подписываем запрос командой вида: C:\"Program files"\"Crypto Pro"\CSP\csptest.exe -sfsign -sign -detached -add -in <путь к фалу>request.xml -out <путь к фалу>request.bin -my <имя владельца сертификата>@example.ru Потом перекидываем в нужную дерикторию в линуксе файл request.bin и убираем из скрипта подписывание, которое в перл-скрипте выглядело примерно так: system ("/gost-ssl/bin/openssl smime -sign -in /gost-ssl/rzs/request.xml -out /gost-ssl/rzs/request.bin". " -signer /gost-ssl/rzs/provider.pem -outform DER -nodetach"); После этого у нас остается генерация только XML-файла для запроса, а подпись всегда используем полученную из винды. Никаких проблем. Есть вариант еще сделать это все под виндой - тоже проверно и работает, но это же не наш метод? А покупать утильку за 2990 на 1год + 14 дней совсем не хочется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 марта, 2019 · Жалоба Для тех, у кого проблемы с vtysh -c "show run". my $ip_cidr=new Net::CIDR::Lite; my $ip_cidr_null=new Net::CIDR::Lite; my $ip6_cidr=new Net::CIDR::Lite; my $ip6_cidr_null=new Net::CIDR::Lite; my @ip_list; my @ip6_list; my @ip_list_null; my @ip6_list_null; my $net_file_hash_old=get_md5_sum($bgpd_file); my $n = 0; my @show_run; my $zebra; my $bgpd; my $read; my $Zebra_FILE = '/etc/quagga/zebra.conf'; my $Bgpd_FILE = '/etc/quagga/bgpd.conf'; #if ( $? == -1 ) #{ # $logger->error("Error while executed cmd $cmd: $!, skip soft Quagga reconfiguration"); # $update_soft_quagga=0; #} #Zebra open ($zebra, $Zebra_FILE) or die "Could not open file '$Zebra_FILE' $!"; while ($read=<$zebra>){ $n++; push(@show_run, $read); #$logger->info("$read"); } close $zebra; #Bgpd open ($bgpd, $Bgpd_FILE) or die "Could not open file '$Bgpd_FILE' $!"; while ($read=<$bgpd>){ $n++; push(@show_run, $read); } close $bgpd; $logger->info("Readed $n lines from files"); !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! sub analyse_quagga_networks { my $need_save_config=0; my %ips_to_add = %ip_s; my %ips6_to_add = %ip6_s; my %ips_to_add_null=%ip_s_null; my %ips6_to_add_null=%ip6_s_null; my %ips_to_del; my %ips6_to_del; my %ips_to_del_null; my %ips6_to_del_null; foreach my $line (@show_run) { next if ($line =~ /^\s*\!/); if($line =~ /^\s*network\s+(.+)\/(\d+)/) { diff делать лень Принцип, думаю, понятен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
epollia Опубликовано 20 марта, 2019 · Жалоба 12 минут назад, myth сказал: Для тех, у кого проблемы с vtysh -c "show run". diff делать лень Принцип, думаю, понятен. Я так понял конфиг из файлов берется, а не из консоли. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 марта, 2019 · Жалоба ага Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 20 марта, 2019 · Жалоба а мы перешли на bird Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 марта, 2019 · Жалоба Этож тоже скрипт перепиливать нужно. Как понимаю, серьезно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dee Опубликовано 20 марта, 2019 · Жалоба ну хз чем плох ip rule с отдельной таблицей блекхолов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 20 марта, 2019 · Жалоба тем, что нужно тащить эту хрень на насы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 21 марта, 2019 · Жалоба Не удаляются ip адреса из квагги после удаления ip адреса из локального блэклиста Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morphus Опубликовано 25 марта, 2019 · Жалоба Забавная вещь произошла: в серверной выключался свет, все серваки перезагрузились. И после ребута фильтр заработал идеально (только один сайт не блочится, но это было и раньше, не знаю почему). 1) Могло ли что-то "накопиться" в фильтре, в системе, из-за чего не работало ? 2) Кто сколько хранит дампы и надо ли вообще ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 марта, 2019 · Жалоба 4 часа назад, Morphus сказал: 1) Могло ли что-то "накопиться" в фильтре, в системе, из-за чего не работало ? Исключено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 25 марта, 2019 (изменено) · Жалоба Цитата 2019-03-25 14:08:19.923 [2025] Information ACL - Preparing 156930 rules for IPv4 ACL 2019-03-25 14:08:19.928 [2025] Error ACL - Add rules failed 2019-03-25 14:08:19.928 [2025] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket Пытаюсь протестировать в режиме моста, при ips_to_hosts = true Сыпет ошибку. Помню в теме говорилось что не более 100000 размер acl, т.е. никак не уйти от маршрутов в блэкхол? Или можно смело в исходниках увеличивать лимит? Изменено 25 марта, 2019 пользователем swsn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 25 марта, 2019 · Жалоба 5 часов назад, swsn сказал: Или можно смело в исходниках увеличивать лимит? Можно смело увеличивать. Это приведёт к большему потреблению оперативной памяти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
swsn Опубликовано 26 марта, 2019 · Жалоба При такой активности ркн по блокировке ip может стоит в скрипте реализовать суммаризацию? при суммаризации у меня сейчас получается 94 тыс ip адресов против 158 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
max1976 Опубликовано 26 марта, 2019 · Жалоба 11 часов назад, swsn сказал: При такой активности ркн по блокировке ip может стоит в скрипте реализовать суммаризацию? при суммаризации у меня сейчас получается 94 тыс ip адресов против 158 Добавил агрегацию в скрипт. Обновление на github. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...