Jump to content
Калькуляторы
Блокировка веб ресурса  

543 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

2 часа назад, ixi сказал:

Некоторые ресурсы из списка отправляют ответ ещё до получения запроса, так что и в разрыв не всегда поможет

?? еще и подумать не успел, даже комп то не включал, а сайт из списка уже загрузился :) наверное всетаки запрос то должен быть, другой вопрос, что они начинают отправлять ответ не дожидаясь получения всего запроса. ну таких по IP в черный список.

 

ща еще http/3 через UDP приедет... :) 

Share this post


Link to post
Share on other sites
1 час назад, st_re сказал:

наверное всетаки запрос то должен быть, другой вопрос, что они начинают отправлять ответ не дожидаясь получения всего запроса

Не помню совсем уже детали, но в tcpdump ответ был через 2мс после отправки хоста при пинге 200мс

 

1 час назад, st_re сказал:

таких по IP в черный список

А они меняются постоянно, и весьма сильно различаются. Помогает только подмена dns для домена + блокировка IP из соответствующей записи реестра.

 

1 час назад, st_re сказал:

ща еще http/3 через UDP приедет... :) 

вздохнём с облегчением, блокировать кроме как по IP станет невозможно.

Share this post


Link to post
Share on other sites
6 часов назад, ixi сказал:

Не DPI? это давно уже не работает, в списках хватает адресов, постоянно меняющих IP

есть реестр где есть домен-ип, то что меняется ip это уже не моя проблема, а ркн

Share this post


Link to post
Share on other sites

Эээ... штрафов от РКН еще не приходило ? у них другое мнение по этому вопросу. И ревизор ходит и в IP из реестра и в IP из ДНСа.

Share this post


Link to post
Share on other sites
12 часов назад, Troj сказал:

есть реестр где есть домен-ип, то что меняется ip это уже не моя проблема, а ркн 

Если тип блокировки домен, то блокировать надо именно по домену. Пачка IP -- это только довесок к проверке.

Share this post


Link to post
Share on other sites

Network devices using kernel driver
===================================
0000:02:00.0 '88E8056 PCI-E Gigabit Ethernet Controller 4364' if=enp2s0 drv=sky2 unused= *Active*
0000:04:00.0 '82574L Gigabit Network Connection 10d3' if=enp4s0 drv=e1000e unused=
0000:05:00.0 '82574L Gigabit Network Connection 10d3' if=enp5s0 drv=e1000e unused=
Вот в такой конфигурации режим inline не получиться?

Share this post


Link to post
Share on other sites

Кто-нибудь с Урала может подтвердить или опровергнуть, что Роскомнадзор устанавливает именно EcoDPI от rdp.ru для тестирования?

Новости  (1, 2) указывают именно на его, но хотелось бы подтверждения. Можно в ЛС, если не хотите писать публично.

Edited by ValdikSS

Share this post


Link to post
Share on other sites
15 часов назад, ValdikSS сказал:

Кто-нибудь с Урала может подтвердить или опровергнуть, что Роскомнадзор устанавливает именно EcoDPI от rdp.ru для тестирования?

Новости  (1, 2) указывают именно на его, но хотелось бы подтверждения. Можно в ЛС, если не хотите писать публично.

 

Предложений не поступало )))

Share this post


Link to post
Share on other sites

Делается это почти наверняка только у крупняков, поэтому вряд ли вы эту информацию в принципе получите.

Share this post


Link to post
Share on other sites

Вот и кончилась память для маршрутов у меня ASR1002 выдала CEF has been disabled due to a low memory condition. It can be re-enabled by configuring "ip cef [distributed]" и закрыла все интерфейсы

Edited by arhead

Share this post


Link to post
Share on other sites

ipset справляется еще с таким количеством адресов? Думаю перенести  перенести это на gw сервера. А то что главный маршрутизатор падает не есть хорошо.

Share this post


Link to post
Share on other sites
5 минут назад, arhead сказал:

ipset справляется еще с таким количеством адресов? Думаю перенести  перенести это на gw сервера. А то что главный маршрутизатор падает не есть хорошо.

я писал про это чуть раньшге , там при создании таблицы нужен ключ укаать для наибольшего количества записей (переваривает со свистом , но не построчно а через restore)

Скрытый текст

кстати для тех у кого PC роутеры или микротик системы , я в своё время топил прям за ip route blackhole , но в какой то момент увидел как там появилось порядка 400 тыщ маршрутов (меня это расстроило , т.к штатными средствами заливать это приходилось даже не быстрой системе по 15 минут (это в случае очистки таблицы и залития новой (можно обойтись конечно сравнением массивов , но заморачиваться не стал т.к нашел метод на 10 сек) , тот же самый ipset с параметром ipset create revizor hash:net maxelem 999999999 , что бы убрать штатное ограничение в 65535 записей и сперва генерить текстовый фаил вида add revizor х.х.х.х (с кучей строк) , а потом делать ipset restore < ./my_file (заливается где то за 5 сек) . Удобно и всегда актуальный список (можно держать 2 списка для обнуления одного , а потом их менять местами что бы в эти 5 сек ни кто не проскочил). Так же гуглил в сторону ip route save/restore - тоже работет очень быстро , но там заморочка в генерации файла для заливки (бинарник) , нужно поднимать библиотеки  и что то ваять (вроде на питоне было что то , но ipset спас ситуацию).

 

Edited by dee

Share this post


Link to post
Share on other sites

Для статистики:

На старом  CPU E3-1280 V2 с двухголовой сетевой x520, 5 воркеров , блокировки ip гружу в конфиг фильтра

Запустил реальный трафик пользователей вразрыв, загрузил на 9.6 гига. ~1.5М pps

missed_packets=0 , потерь нет,

пока наблюдаю...)

l2fwd из пакета dpdk нибудь использовал для резервирования в случае падения фильтра?
 

 

 

Share this post


Link to post
Share on other sites
On 10/3/2019 at 6:38 PM, arhead said:

Вот и кончилась память для маршрутов у меня ASR1002 выдала CEF has been disabled due to a low memory condition. It can be re-enabled by configuring "ip cef [distributed]" и закрыла все интерфейсы

 

Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд)

Возможно, что такое количество blachole IP и EcoDPI  не прожует.

 

Share this post


Link to post
Share on other sites
4 минуты назад, AN111 сказал:

Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд)

Возможно, что такое количество blachole IP и EcoDPI  не прожует.

 

Я сегодня перенес на gw сервера блокировку с помощью ipset. Не знаю на сколько хватит при таком добавлении адресов.

Share this post


Link to post
Share on other sites
10 минут назад, AN111 сказал:

Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд)

Возможно, что такое количество blachole IP и EcoDPI  не прожует.

 

Да прожует спокойно, все упирается в оперативную память, и extfilter прожует вразрыв.

Share this post


Link to post
Share on other sites
2 hours ago, AN111 said:

Сегодня РКН в реестре прошел отметку 1.100.000 уникальных IP для блокировки. (дбл блд)

Возможно, что такое количество blachole IP и EcoDPI  не прожует.

 

Месяц назад quagga отрабатывала за время до двух часов на грязном конфиге, vtysh иногда зависал, помогала чистка говномаршрутов и запуск. Сегодня - пытается уже четыре часа с чистым конфигом. vtysh явно для таких извращений не предназначался ^_^

Судя по всему, придётся в фаерволл кидать. Есть где-то примерный скрипт генерации конфига для ipset?

Share this post


Link to post
Share on other sites
9 часов назад, Bl_cK сказал:

Судя по всему, придётся в фаерволл кидать. Есть где-то примерный скрипт генерации конфига для ipset?

Можно родной extfilter_quagga.pl от extfilter перепилить под генерацию правил ipset. Работы на 15 минут с кофебрейком.

Share this post


Link to post
Share on other sites

Я сделал так - в сервере 4 интерфейса. Два работают на DPI (в режиме зеркала), другие два - роутер. Анонсирую на бордер все заблокированные IP, но с агрегацией до /24. Получается 100К с копейкам маршрутов. Блокирую в ipset. А все, что не заблокировано форвардю далее на тот же бордер, на интерфейс с PBR и далее в инет.

Share this post


Link to post
Share on other sites

# агрегация отдельных ipv4 адресов в сети
ipv4_aggregate_prefix = 32

Оставить 32 маску или поставить побольше?  У кого как?

Share this post


Link to post
Share on other sites

Посмотрел сейчас уже около 2 недель в отчётах только "Данные обрабатываются. Повторите запрос позже."

Раньше всё нормально было, что это может быть? Слишком адресов много и реестр распух?

Edited by hsvt

Share this post


Link to post
Share on other sites
1 час назад, hsvt сказал:

Посмотрел сейчас уже около 2 недель в отчётах только "Данные обрабатываются. Повторите запрос позже."

Раньше всё нормально было, что это может быть? Слишком адресов много и реестр распух? 

 

А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив.

https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&amp;page=132

Share this post


Link to post
Share on other sites
5 часов назад, bike сказал:

А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив.

https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&amp;page=132

Спасибо за пруф, я думал в основном здесь эту хрень обсуждают, уже и забыл про отдельную ветку форума)

Share this post


Link to post
Share on other sites
15 часов назад, bike сказал:

А Вы посмотрите, внимательно, за провидением данной коробки - пациент больше мертв, чем жив.

https://forum.nag.ru/index.php?/topic/111091-apparatnyy-modul-agent-revizor-ot-rchc/&amp;page=132

Да наверное как сделают сразу начнут искать кому бы штраф впаять. Черноземье вроде отчеты снимаются.

Share this post


Link to post
Share on other sites

@max1976 А не подскажите по блокировке ip. Стоит один из последних extfilter который использовал для отсылки сброса или переадресации сетевой стек Linux. Ему можно задать что бы он блокировал IP? Просто есть клиенты которые работают от центральной циски напрямую. А у нее не хватает памяти для 900 тыс маршрутов. И так 2 FV и пиринг один

Edited by arhead

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now