1. Для блокировка используем

[discomaxus]

Один из дампов.
2020-01-23-dump.pcapng

Изменено 29 января, 2020 пользователем discomaxus

[max1976]

7 часов назад, discomaxus сказал:

Один из дампов.
2020-01-23-dump.pcapng

 

У вас используется NAT. Судя по TTL от фильтра - схема включения неправильная. Фильтр должен быть до NAT.

[discomaxus]

10 часов назад, max1976 сказал:

У вас используется NAT. Судя по TTL от фильтра - схема включения неправильная. Фильтр должен быть до NAT.

На фильтр зеркалится до NAT.
Дамп снят от абонента.

Изменено 30 января, 2020 пользователем discomaxus

[max1976]

3 часа назад, discomaxus сказал:

На фильтр зеркалится до NAT.
Дамп снят от абонента.

 

Чем готовите конфиг блокировки для фильтра?

[discomaxus]

1 минуту назад, max1976 сказал:

Чем готовите конфиг блокировки для фильтра?

zapret.pl + extfilter_maker.pl (все обновлено 14 января)

[max1976]

Только что, discomaxus сказал:

zapret.pl + extfilter_maker.pl (все обновлено 14 января)

Скиньте в личку подготовленный файл с url. Посмотрите, действительно ли используется бинарный файл последней версии.

[ke1evra]

пытаюсь запустить на двухядерном процессоре для теста. карта Intel x520 линки 10G мигают, но при старте всё заканчивается вот так:

 

[root@localhost ~]# /usr/local/bin/extFilter --config-file=/usr/local/src/extfilter/etc/extfilter.ini
EAL: Detected 2 lcore(s)
EAL: Probing VFIO support...
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
acl context <extFilter-ipv4-acl0-0>@0x7f187f937f40
  socket_id=0
  alg=2
  max_rules=1
  rule_size=64
  num_rules=1
  num_categories=1
  num_tries=1
PMD: ixgbe_dev_link_status_print():  Port 0: Link Down
PMD: ixgbe_dev_link_status_print():  Port 1: Link Down

по логам старт нормальный, ошибок нет

2020-02-03 07:44:18.084 [9822] Debug Application - Preparing thread 'WorkerThrd_0'
2020-02-03 07:44:18.084 [9822] Information WorkerThrd_0 - Output port for the worker 0 is 0 (tx_queue_id 1) n_tx_port 2
2020-02-03 07:44:18.085 [9822] Debug WorkerThrd_0 - Starting bridge working thread on core 1
2020-02-03 07:44:18.085 [9822] Information WorkerThrd_0 - -- lcoreid=1 portid=0 rxqueueid=0
2020-02-03 07:44:18.085 [9822] Information WorkerThrd_0 - -- lcoreid=1 portid=1 rxqueueid=0
2020-02-03 07:44:18.085 [9822] Debug Application - Starting statistic task...
2020-02-03 07:44:18.085 [9822] Debug ReloadTask - Starting reload task...

в конфиге пробовал и зеркало и бридж, на данный момент вот эти опции правил, остальной конфиг дефолтный

core_mask = 3

operation_mode = inline

[port 0]
queues = 0,1
type = subscriber
mapto = 1

[port 1]
queues = 0,1
type = network
mapto = 0

 

 

на другой железке удалось запустить, но пишет вот так и бридж не работает:

PMD: ixgbe_dev_link_status_print(): Port 0: Link Up - speed 0 Mbps - half-duplex
PMD: ixgbe_dev_link_status_print(): Port 1: Link Up - speed 0 Mbps - half-duplex

 

Изменено 3 февраля, 2020 пользователем ke1evra

[ke1evra]

кто в режиме inline использует, отпишите в личку пожалуйста =\

 

по логам что-то бегает, но IP пакетов не видит, а если и видит, то всё равно ничего не работает

Information Application - All worker threads seen packets: 7472, IP packets: 0 (IPv4 packets: 0, IPv6 packets: 0), seen bytes: 0, traffic throughtput: 18.41 pps

из сетевой dpdk порт subscriber включен в mikrotik, который ругается на петлю

interface,warning sfp-sfpplus1: bridge port received packet with own address as source address (d4:ca:2d:41:91:11), probably loop

 

[swsn]

В 03.02.2020 в 15:52, ke1evra сказал:

пытаюсь запустить на двухядерном процессоре для теста. карта Intel x520 линки 10G мигают, но при старте всё заканчивается вот так:

 

[root@localhost ~]# /usr/local/bin/extFilter --config-file=/usr/local/src/extfilter/etc/extfilter.ini
EAL: Detected 2 lcore(s)
EAL: Probing VFIO support...
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
acl context <extFilter-ipv4-acl0-0>@0x7f187f937f40
  socket_id=0
  alg=2
  max_rules=1
  rule_size=64
  num_rules=1
  num_categories=1
  num_tries=1
PMD: ixgbe_dev_link_status_print():  Port 0: Link Down
PMD: ixgbe_dev_link_status_print():  Port 1: Link Down

по логам старт нормальный, ошибок нет

2020-02-03 07:44:18.084 [9822] Debug Application - Preparing thread 'WorkerThrd_0'
2020-02-03 07:44:18.084 [9822] Information WorkerThrd_0 - Output port for the worker 0 is 0 (tx_queue_id 1) n_tx_port 2
2020-02-03 07:44:18.085 [9822] Debug WorkerThrd_0 - Starting bridge working thread on core 1
2020-02-03 07:44:18.085 [9822] Information WorkerThrd_0 - -- lcoreid=1 portid=0 rxqueueid=0
2020-02-03 07:44:18.085 [9822] Information WorkerThrd_0 - -- lcoreid=1 portid=1 rxqueueid=0
2020-02-03 07:44:18.085 [9822] Debug Application - Starting statistic task...
2020-02-03 07:44:18.085 [9822] Debug ReloadTask - Starting reload task...

в конфиге пробовал и зеркало и бридж, на данный момент вот эти опции правил, остальной конфиг дефолтный

core_mask = 3

operation_mode = inline

[port 0]
queues = 0,1
type = subscriber
mapto = 1

[port 1]
queues = 0,1
type = network
mapto = 0

 

 

на другой железке удалось запустить, но пишет вот так и бридж не работает:

PMD: ixgbe_dev_link_status_print(): Port 0: Link Up - speed 0 Mbps - half-duplex
PMD: ixgbe_dev_link_status_print(): Port 1: Link Up - speed 0 Mbps - half-duplex

 

 

Может проблема в том что вы пытаетесь прибить очереди с разных портов к одному ядру? 

[ke1evra]

Да. проблема была в одном ядре =) на i7 полетело

[nevsik]

Всем доброго дня.

У всех сегодня ночью более двух миллионов IP удалили из списка РКН?

[alibek]

А как может быть "не у всех"?

Реестр же единый.

[arhead]

https://www.vedomosti.ru/technology/news/2020/02/11/822746-roskomnadzor-razblokiroval-mln-ip-adresov

Сейчас снова начнут по тысяче добавлять) Может из-за того что ревизор эту проверку просто не осиливал за один день.

[arhead]

crc07.com и еще 3 сайта. Все ни как не могу их победить. IP адреса меняют чуть ли не сразу как спросишь их. Кто как борется не используя DNS?

[max1976]

20 часов назад, arhead сказал:

crc07.com и еще 3 сайта. Все ни как не могу их победить. IP адреса меняют чуть ли не сразу как спросишь их. Кто как борется не используя DNS?

Как вариант, заблочить адрес на который он редиректит. А ревизор пускай фиксирует лишь страницу редиректа.

[ke1evra]

а это нормально, что фильтр все используемые цпу в полку загоняет (даже без трафика), у всех так? я бы подумал, что неправильно система определяет загрузку, но температура проца без доп. охлаждения сразу ~80°C

 

и ещё очень хотелось бы указать белый лист, чтоб исключить из проверки какую-нибудь src-net. я конечно понимаю, что это вряд ли в фильтре реализовано, но мало ли... заметки на будущее :)

 

 

[max1976]

1 час назад, ke1evra сказал:

а это нормально, что фильтр все используемые цпу в полку загоняет (даже без трафика), у всех так? я бы подумал, что неправильно система определяет загрузку, но температура проца без доп. охлаждения сразу ~80°C

Так работает dpdk. 

 

1 час назад, ke1evra сказал:

и ещё очень хотелось бы указать белый лист, чтоб исключить из проверки какую-нибудь src-net. я конечно понимаю, что это вряд ли в фильтре реализовано, но мало ли... заметки на будущее :)

Всё в ваших руках. Что укажете в конфиге, то и будет фильтровать. 

[ke1evra]

7 minutes ago, max1976 said:

Всё в ваших руках. Что укажете в конфиге, то и будет фильтровать. 

я имею ввиду клиентские сети. чтоб к примеру 172.16.0.0/24 фильтровались, а 192.168.0.0/24 проходили мимо, как bypass чтоли

[Morphus]

В 15.02.2020 в 00:53, ke1evra сказал:

я имею ввиду клиентские сети. чтоб к примеру 172.16.0.0/24 фильтровались, а 192.168.0.0/24 проходили мимо, как bypass чтоли

Просто откуда у тебя трафик зеркалится на фильтр, сделай правило, что такая-то подсеть туда не отдаётся. Она и не будет блочится, всё просто :)

[flow-control]

Добрый день.

Используем nfqfilter + extfilter , последние несколько дней в отчетах появились пропуски crc07.com , bet365taiwan.com  , www.ribo.tw .

В файле urls присутствуют, в чем может быть проблема ?

[max1976]

52 минуты назад, flow-control сказал:

Используем nfqfilter + extfilter , последние несколько дней в отчетах появились пропуски crc07.com , bet365taiwan.com  , www.ribo.tw .

Уже обсуждали и ни один раз. Они не могут быть заблокированы никаким DPI, только блокировка по ip.

[flow-control]

9 минут назад, max1976 сказал:

Уже обсуждали

Не увидел. Спасибо!

[apog]

Коллеги, а кто использует zabbix_data для мониторинга extfilter'а? Собрал, пробую вручную запустить для проверки - zabbix_data extfilter.discovery отрабатывает как надо, а все остальное, к примеру zabbix_data worker.core.2.total_packets вываливается с ошибкой сегментирования. ОС Debian 10, ядро 4.19.0-8-amd64.

Изменено 26 февраля, 2020 пользователем apog

[ke1evra]

как бороться с миксом кириллицы и различными символами, есть какие-то дополнительные опции в extfilter.ini? 

не хочет блокировать, к примеру вот такие ссылки:

www.muzlishko.ru/mp3/Коловрат++Радикальный+голос

muzlishko.ru/mp3/Ночной%20Патруль

allmir.in.ua/video/_osaSOafiRA/УНСОвці-і-quot-Рутенія-quot-Марш-УНСО.html

если руками кодирую кириллицу, то вот так блокирует

 

curl -L http://muzlishko.ru/mp3/%D0%9D%D0%BE%D1%87%D0%BD%D0%BE%D0%B9%20%D0%9F%D0%B0%D1%82%D1%80%D1%83%D0%BB%D1%8C

в конфиге видел url_normalization, но он не работает и в скриптах нигде не фигурирует...

Изменено 21 февраля, 2020 пользователем ke1evra

[max1976]

2 часа назад, ke1evra сказал:

как бороться с миксом кириллицы и различными символами, есть какие-то дополнительные опции в extfilter.ini? 

Все необходимые подготовки делает exfilter_maker.