Jump to content
Калькуляторы
Блокировка веб ресурса  

546 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

7 часов назад, discomaxus сказал:

Один из дампов.
2020-01-23-dump.pcapng

 

У вас используется NAT. Судя по TTL от фильтра - схема включения неправильная. Фильтр должен быть до NAT.

Share this post


Link to post
Share on other sites
10 часов назад, max1976 сказал:

У вас используется NAT. Судя по TTL от фильтра - схема включения неправильная. Фильтр должен быть до NAT.

На фильтр зеркалится до NAT.
Дамп снят от абонента.

Edited by discomaxus

Share this post


Link to post
Share on other sites
3 часа назад, discomaxus сказал:

На фильтр зеркалится до NAT.
Дамп снят от абонента.

 

Чем готовите конфиг блокировки для фильтра?

Share this post


Link to post
Share on other sites
1 минуту назад, max1976 сказал:

Чем готовите конфиг блокировки для фильтра?

zapret.pl + extfilter_maker.pl (все обновлено 14 января)

Share this post


Link to post
Share on other sites
Только что, discomaxus сказал:

zapret.pl + extfilter_maker.pl (все обновлено 14 января)

Скиньте в личку подготовленный файл с url. Посмотрите, действительно ли используется бинарный файл последней версии.

Share this post


Link to post
Share on other sites

пытаюсь запустить на двухядерном процессоре для теста. карта Intel x520 линки 10G мигают, но при старте всё заканчивается вот так:

 

[root@localhost ~]# /usr/local/bin/extFilter --config-file=/usr/local/src/extfilter/etc/extfilter.ini
EAL: Detected 2 lcore(s)
EAL: Probing VFIO support...
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
acl context <extFilter-ipv4-acl0-0>@0x7f187f937f40
  socket_id=0
  alg=2
  max_rules=1
  rule_size=64
  num_rules=1
  num_categories=1
  num_tries=1
PMD: ixgbe_dev_link_status_print():  Port 0: Link Down
PMD: ixgbe_dev_link_status_print():  Port 1: Link Down

по логам старт нормальный, ошибок нет

2020-02-03 07:44:18.084 [9822] Debug Application - Preparing thread 'WorkerThrd_0'
2020-02-03 07:44:18.084 [9822] Information WorkerThrd_0 - Output port for the worker 0 is 0 (tx_queue_id 1) n_tx_port 2
2020-02-03 07:44:18.085 [9822] Debug WorkerThrd_0 - Starting bridge working thread on core 1
2020-02-03 07:44:18.085 [9822] Information WorkerThrd_0 - -- lcoreid=1 portid=0 rxqueueid=0
2020-02-03 07:44:18.085 [9822] Information WorkerThrd_0 - -- lcoreid=1 portid=1 rxqueueid=0
2020-02-03 07:44:18.085 [9822] Debug Application - Starting statistic task...
2020-02-03 07:44:18.085 [9822] Debug ReloadTask - Starting reload task...

в конфиге пробовал и зеркало и бридж, на данный момент вот эти опции правил, остальной конфиг дефолтный

core_mask = 3

operation_mode = inline

[port 0]
queues = 0,1
type = subscriber
mapto = 1

[port 1]
queues = 0,1
type = network
mapto = 0

 

 

на другой железке удалось запустить, но пишет вот так и бридж не работает:

PMD: ixgbe_dev_link_status_print(): Port 0: Link Up - speed 0 Mbps - half-duplex
PMD: ixgbe_dev_link_status_print(): Port 1: Link Up - speed 0 Mbps - half-duplex

 

Edited by ke1evra

Share this post


Link to post
Share on other sites

кто в режиме inline использует, отпишите в личку пожалуйста =\

 

по логам что-то бегает, но IP пакетов не видит, а если и видит, то всё равно ничего не работает

Information Application - All worker threads seen packets: 7472, IP packets: 0 (IPv4 packets: 0, IPv6 packets: 0), seen bytes: 0, traffic throughtput: 18.41 pps

из сетевой dpdk порт subscriber включен в mikrotik, который ругается на петлю

interface,warning sfp-sfpplus1: bridge port received packet with own address as source address (d4:ca:2d:41:91:11), probably loop


 

Share this post


Link to post
Share on other sites
В 03.02.2020 в 15:52, ke1evra сказал:

пытаюсь запустить на двухядерном процессоре для теста. карта Intel x520 линки 10G мигают, но при старте всё заканчивается вот так:

 


[root@localhost ~]# /usr/local/bin/extFilter --config-file=/usr/local/src/extfilter/etc/extfilter.ini
EAL: Detected 2 lcore(s)
EAL: Probing VFIO support...
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:10fb net_ixgbe
acl context <extFilter-ipv4-acl0-0>@0x7f187f937f40
  socket_id=0
  alg=2
  max_rules=1
  rule_size=64
  num_rules=1
  num_categories=1
  num_tries=1
PMD: ixgbe_dev_link_status_print():  Port 0: Link Down
PMD: ixgbe_dev_link_status_print():  Port 1: Link Down

по логам старт нормальный, ошибок нет


2020-02-03 07:44:18.084 [9822] Debug Application - Preparing thread 'WorkerThrd_0'
2020-02-03 07:44:18.084 [9822] Information WorkerThrd_0 - Output port for the worker 0 is 0 (tx_queue_id 1) n_tx_port 2
2020-02-03 07:44:18.085 [9822] Debug WorkerThrd_0 - Starting bridge working thread on core 1
2020-02-03 07:44:18.085 [9822] Information WorkerThrd_0 - -- lcoreid=1 portid=0 rxqueueid=0
2020-02-03 07:44:18.085 [9822] Information WorkerThrd_0 - -- lcoreid=1 portid=1 rxqueueid=0
2020-02-03 07:44:18.085 [9822] Debug Application - Starting statistic task...
2020-02-03 07:44:18.085 [9822] Debug ReloadTask - Starting reload task...

в конфиге пробовал и зеркало и бридж, на данный момент вот эти опции правил, остальной конфиг дефолтный


core_mask = 3

operation_mode = inline

[port 0]
queues = 0,1
type = subscriber
mapto = 1

[port 1]
queues = 0,1
type = network
mapto = 0

 

 

на другой железке удалось запустить, но пишет вот так и бридж не работает:


PMD: ixgbe_dev_link_status_print(): Port 0: Link Up - speed 0 Mbps - half-duplex
PMD: ixgbe_dev_link_status_print(): Port 1: Link Up - speed 0 Mbps - half-duplex

 

 

Может проблема в том что вы пытаетесь прибить очереди с разных портов к одному ядру? 

Share this post


Link to post
Share on other sites

Да. проблема была в одном ядре =) на i7 полетело

Share this post


Link to post
Share on other sites

Всем доброго дня.

У всех сегодня ночью более двух миллионов IP удалили из списка РКН?

Share this post


Link to post
Share on other sites

А как может быть "не у всех"?

Реестр же единый.

Share this post


Link to post
Share on other sites

https://www.vedomosti.ru/technology/news/2020/02/11/822746-roskomnadzor-razblokiroval-mln-ip-adresov

Сейчас снова начнут по тысяче добавлять) Может из-за того что ревизор эту проверку просто не осиливал за один день.

Share this post


Link to post
Share on other sites

crc07.com и еще 3 сайта. Все ни как не могу их победить. IP адреса меняют чуть ли не сразу как спросишь их. Кто как борется не используя DNS?

Share this post


Link to post
Share on other sites
20 часов назад, arhead сказал:

crc07.com и еще 3 сайта. Все ни как не могу их победить. IP адреса меняют чуть ли не сразу как спросишь их. Кто как борется не используя DNS?

Как вариант, заблочить адрес на который он редиректит. А ревизор пускай фиксирует лишь страницу редиректа.

Share this post


Link to post
Share on other sites

а это нормально, что фильтр все используемые цпу в полку загоняет (даже без трафика), у всех так? я бы подумал, что неправильно система определяет загрузку, но температура проца без доп. охлаждения сразу ~80°C

 

и ещё очень хотелось бы указать белый лист, чтоб исключить из проверки какую-нибудь src-net. я конечно понимаю, что это вряд ли в фильтре реализовано, но мало ли... заметки на будущее :)

 

 

изображение_viber_2020-02-13_13-26-49.jpg

Share this post


Link to post
Share on other sites
1 час назад, ke1evra сказал:

а это нормально, что фильтр все используемые цпу в полку загоняет (даже без трафика), у всех так? я бы подумал, что неправильно система определяет загрузку, но температура проца без доп. охлаждения сразу ~80°C

Так работает dpdk. 

 

1 час назад, ke1evra сказал:

и ещё очень хотелось бы указать белый лист, чтоб исключить из проверки какую-нибудь src-net. я конечно понимаю, что это вряд ли в фильтре реализовано, но мало ли... заметки на будущее :)

Всё в ваших руках. Что укажете в конфиге, то и будет фильтровать. 

Share this post


Link to post
Share on other sites
7 minutes ago, max1976 said:

Всё в ваших руках. Что укажете в конфиге, то и будет фильтровать

я имею ввиду клиентские сети. чтоб к примеру 172.16.0.0/24 фильтровались, а 192.168.0.0/24 проходили мимо, как bypass чтоли

Share this post


Link to post
Share on other sites
В 15.02.2020 в 00:53, ke1evra сказал:

я имею ввиду клиентские сети. чтоб к примеру 172.16.0.0/24 фильтровались, а 192.168.0.0/24 проходили мимо, как bypass чтоли

Просто откуда у тебя трафик зеркалится на фильтр, сделай правило, что такая-то подсеть туда не отдаётся. Она и не будет блочится, всё просто :)

Share this post


Link to post
Share on other sites

Добрый день.

Используем nfqfilter + extfilter , последние несколько дней в отчетах появились пропуски crc07.com , bet365taiwan.com  , www.ribo.tw .

В файле urls присутствуют, в чем может быть проблема ?

Share this post


Link to post
Share on other sites
52 минуты назад, flow-control сказал:

Используем nfqfilter + extfilter , последние несколько дней в отчетах появились пропуски crc07.com , bet365taiwan.com  , www.ribo.tw .

Уже обсуждали и ни один раз. Они не могут быть заблокированы никаким DPI, только блокировка по ip.

Share this post


Link to post
Share on other sites
9 минут назад, max1976 сказал:

Уже обсуждали

Не увидел. Спасибо!

Share this post


Link to post
Share on other sites

Коллеги, а кто использует zabbix_data для мониторинга extfilter'а? Собрал, пробую вручную запустить для проверки - zabbix_data extfilter.discovery отрабатывает как надо, а все остальное, к примеру zabbix_data worker.core.2.total_packets вываливается с ошибкой сегментирования. ОС Debian 10, ядро 4.19.0-8-amd64.

Edited by apog

Share this post


Link to post
Share on other sites

как бороться с миксом кириллицы и различными символами, есть какие-то дополнительные опции в extfilter.ini? 

не хочет блокировать, к примеру вот такие ссылки:

www.muzlishko.ru/mp3/Коловрат++Радикальный+голос

muzlishko.ru/mp3/Ночной%20Патруль

allmir.in.ua/video/_osaSOafiRA/УНСОвці-і-quot-Рутенія-quot-Марш-УНСО.html

если руками кодирую кириллицу, то вот так блокирует

 

curl -L http://muzlishko.ru/mp3/%D0%9D%D0%BE%D1%87%D0%BD%D0%BE%D0%B9%20%D0%9F%D0%B0%D1%82%D1%80%D1%83%D0%BB%D1%8C

в конфиге видел url_normalization, но он не работает и в скриптах нигде не фигурирует...

Edited by ke1evra

Share this post


Link to post
Share on other sites
2 часа назад, ke1evra сказал:

как бороться с миксом кириллицы и различными символами, есть какие-то дополнительные опции в extfilter.ini? 

Все необходимые подготовки делает exfilter_maker.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now