Jump to content
Калькуляторы
Блокировка веб ресурса  

538 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

@epollia можно узнать какой размах сети у вас ? сколько гигабит трафика фильтруется, pps ?

у нас сетка небольшая, в пиковую нагрузку гигабита 4 трафика.

Это я к выбору проца для фильтра. В целом и старенький 5660 сейчас справляется.

Edited by Morphus

Share this post


Link to post
Share on other sites

Чистого исходника у нас в пике до 37 Гбит/с

На сервера отправляется офильтрованный трафик, срезаем p2p. Остается примерно 14-15Гбит/с

по pps 2.8+1.6Mpps (два сервера)

Share this post


Link to post
Share on other sites
54 минуты назад, epollia сказал:

Этот файл мне прислал Morphus

Ресурс до которого блокируеются сообщения нахоится на 109.105.138.1

block.pcapng

Видимо ресурс был внесен в черный список. Случайной блокировки не бывает.

Share this post


Link to post
Share on other sites
2 минуты назад, max1976 сказал:

Видимо ресурс был внесен в черный список. Случайной блокировки не бывает.

посмотрел по diff, у меня этот домен не проскальзывал

Share this post


Link to post
Share on other sites
3 минуты назад, max1976 сказал:

Видимо ресурс был внесен в черный список

не было его там никогда. dig, get, просто в браузере открывается без проблем.

Share this post


Link to post
Share on other sites
Только что, epollia сказал:

посмотрел по diff, у меня этот домен не проскальзывал

У меня не было ложного срабатывания на указанный ресурс. Фильтр работает уже достаточно долго:

Цитата

Active: active (running) since Вт 2018-10-23 12:01:55 MSK; 4 months 5 days ago

 

Share this post


Link to post
Share on other sites

@max1976 у вас, как у автора, фильтр работает лучше по дефолту ))

 

16 часов назад, max1976 сказал:

не было ложного срабатывания на указанный ресурс

а у нас есть

Share this post


Link to post
Share on other sites

Коллеги, добрый день.

Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа.

Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему?

Спасибо

Share this post


Link to post
Share on other sites
1 час назад, luridze сказал:

Коллеги, добрый день.

Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа.

Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему?

Спасибо

/gost-ssl/bin/openssl ciphers | tr ":" "\n" | grep GOST
(типа нужны версии 2012) 

Share this post


Link to post
Share on other sites
22 часа назад, luridze сказал:

Коллеги, добрый день.

Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа.

Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему?

Спасибо

-----BEGIN PRIVATE KEY-----

xxxx

-----END PRIVATE KEY-----

Присутствует в pem ?

Гост 2012 скомпилен? и версия openssl какая?

 

У меня были проблемы с экспортом в pem. openssl ни в какую не хотел принимать пароль ключа, помогла опция -nomacver

Share this post


Link to post
Share on other sites
On 3/6/2019 at 6:35 PM, luridze said:

Коллеги, добрый день.

Недавно получили новый токен из УЦ с ЭП для выгрузки, но что-то пошло не так. Через инструмент @max1976 пытались прикрутить выгруженную подпись, которую конвертнули в .pem, но постоянно ругается на неизвестный алгоритм приватного ключа.

Читал тему, многие получали новые ключи в ноябре прошлого года. Кто-нибудь смог решить проблему?

Спасибо

Поменялся алгоритм хэширования и старая бесплатная утилитка перестала с ним работать. Штатными средствами шиндовс достать контейнер не получится - разные алгоритмы хэширования.

 

У мепня прокатило вот такое:

Ставим крипто про 4 (триальная работает пару недель).

Используя утилитку из набора 1 раз подписываем запрос командой вида:

C:\"Program files"\"Crypto Pro"\CSP\csptest.exe -sfsign -sign -detached -add -in <путь к фалу>request.xml -out <путь к фалу>request.bin -my <имя владельца сертификата>@example.ru

Потом перекидываем в нужную дерикторию в линуксе файл request.bin и убираем из скрипта подписывание, которое в перл-скрипте выглядело примерно так:
system ("/gost-ssl/bin/openssl smime -sign -in /gost-ssl/rzs/request.xml -out /gost-ssl/rzs/request.bin". " -signer /gost-ssl/rzs/provider.pem -outform DER -nodetach");

 

После этого у нас остается генерация только XML-файла для запроса, а подпись всегда используем полученную из винды.

Никаких проблем.

Есть вариант еще сделать это все под виндой - тоже проверно и работает, но это же не наш метод? А покупать утильку за 2990 на 1год + 14 дней совсем не хочется.

 

Share this post


Link to post
Share on other sites

Для тех, у кого проблемы с vtysh -c "show run".

my $ip_cidr=new Net::CIDR::Lite;
my $ip_cidr_null=new Net::CIDR::Lite;
my $ip6_cidr=new Net::CIDR::Lite;
my $ip6_cidr_null=new Net::CIDR::Lite;

my @ip_list;
my @ip6_list;
my @ip_list_null;
my @ip6_list_null;

my $net_file_hash_old=get_md5_sum($bgpd_file);

my $n = 0;
my @show_run;
my $zebra;
my $bgpd;
my $read;
my $Zebra_FILE = '/etc/quagga/zebra.conf';
my $Bgpd_FILE = '/etc/quagga/bgpd.conf';

#if ( $? == -1 )
#{
#       $logger->error("Error while executed cmd $cmd: $!, skip soft Quagga reconfiguration");
#       $update_soft_quagga=0;
#}

#Zebra
open ($zebra, $Zebra_FILE) or die "Could not open file '$Zebra_FILE' $!";

        while ($read=<$zebra>){
                $n++;
                push(@show_run, $read);
                #$logger->info("$read");
        }
close $zebra;

#Bgpd
open ($bgpd, $Bgpd_FILE) or die "Could not open file '$Bgpd_FILE' $!";

        while ($read=<$bgpd>){
                $n++;
                push(@show_run, $read);
        }
close $bgpd;

$logger->info("Readed $n lines from files");


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

sub analyse_quagga_networks
{
        my $need_save_config=0;

        my %ips_to_add = %ip_s;
        my %ips6_to_add = %ip6_s;
        my %ips_to_add_null=%ip_s_null;
        my %ips6_to_add_null=%ip6_s_null;

        my %ips_to_del;
        my %ips6_to_del;
        my %ips_to_del_null;
        my %ips6_to_del_null;

        foreach my $line (@show_run)
        {
                next if ($line =~ /^\s*\!/);
                if($line =~ /^\s*network\s+(.+)\/(\d+)/)
                {


 

diff делать лень

 

Принцип, думаю, понятен.

Share this post


Link to post
Share on other sites
12 минут назад, myth сказал:

Для тех, у кого проблемы с vtysh -c "show run".

 

diff делать лень

 

Принцип, думаю, понятен.

Я так понял конфиг из файлов берется, а не из консоли. :)

Share this post


Link to post
Share on other sites

Этож тоже скрипт перепиливать нужно. Как понимаю, серьезно.

Share this post


Link to post
Share on other sites

ну хз чем плох ip rule с отдельной таблицей блекхолов

Share this post


Link to post
Share on other sites

тем, что нужно тащить эту хрень на насы

Share this post


Link to post
Share on other sites

Не удаляются ip адреса из квагги после удаления ip адреса из локального блэклиста

Share this post


Link to post
Share on other sites

Забавная вещь произошла: в серверной выключался свет, все серваки перезагрузились. И после ребута фильтр заработал идеально (только один сайт не блочится, но это было и раньше, не знаю почему).

1) Могло ли что-то "накопиться" в фильтре, в системе, из-за чего не работало ?

2) Кто сколько хранит дампы и надо ли вообще ?

Share this post


Link to post
Share on other sites
4 часа назад, Morphus сказал:

1) Могло ли что-то "накопиться" в фильтре, в системе, из-за чего не работало ?

Исключено.

Share this post


Link to post
Share on other sites
Цитата

2019-03-25 14:08:19.923 [2025] Information ACL - Preparing 156930 rules for IPv4 ACL
2019-03-25 14:08:19.928 [2025] Error ACL - Add rules failed
2019-03-25 14:08:19.928 [2025] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket

  Пытаюсь протестировать в режиме моста,

при ips_to_hosts = true 

Сыпет ошибку.

Помню в теме говорилось что не более 100000 размер acl, т.е. никак не уйти от  маршрутов в блэкхол?

Или можно смело в исходниках увеличивать лимит?

Edited by swsn

Share this post


Link to post
Share on other sites
5 часов назад, swsn сказал:

Или можно смело в исходниках увеличивать лимит?

Можно смело увеличивать. Это приведёт к большему потреблению оперативной памяти. 

Share this post


Link to post
Share on other sites

При такой активности ркн по блокировке ip может стоит в скрипте реализовать суммаризацию?

при суммаризации у меня сейчас получается 94 тыс ip адресов против 158

Share this post


Link to post
Share on other sites
11 часов назад, swsn сказал:

При такой активности ркн по блокировке ip может стоит в скрипте реализовать суммаризацию?

при суммаризации у меня сейчас получается 94 тыс ip адресов против 158

Добавил агрегацию в скрипт. Обновление на github.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now