1. Для блокировка используем

[max1976]

Всю тему перекурил, не нашёл подобной проблемы ни у кого. Ось CentOS 7

 

Некорректный путь /usr/src/dpdk/dpdk-16.07/include. При вызове configure неправильно указали параметр --with-dpdk_target.

[Antares]

указывал так

./configure --with-dpdk_target=/usr/src/dpdk/dpdk-16.07 --with-dpdk_home=build

[max1976]

указывал так

./configure --with-dpdk_target=/usr/src/dpdk/dpdk-16.07 --with-dpdk_home=build

 

Ну вообще-то надо наоборот:

./configure --with-dpdk_home=/usr/src/dpdk/dpdk-16.07 --with-dpdk_target=build

[Antares]

указывал так

./configure --with-dpdk_target=/usr/src/dpdk/dpdk-16.07 --with-dpdk_home=build

 

Ну вообще-то надо наоборот:

./configure --with-dpdk_home=/usr/src/dpdk/dpdk-16.07 --with-dpdk_target=build

Спасибо, скомпилилось

Просто скопипастил из какого-то сообщения на форуме, а сам головой не подумал )))

[oborot.bolta]

Коллеги а extfilter сам засовывает интерфей в DPDK, или его перед стартом extfilter надо сначало из системы перенести в dpdk?

В конфиге указаваеться номер по порядку интерфейса?

[dnvk]

oborot.bolta, интерфейс нужно настраивать вручную.

[Antares]

сейчас вылезла другая проблема, которую решить не получатся, а именно с dpdk

 

./dpdk-devbind.py --status
Traceback (most recent call last):
 File "./dpdk-devbind.py", line 576, in <module>
   main()
 File "./dpdk-devbind.py", line 572, in main
   get_nic_details()
 File "./dpdk-devbind.py", line 248, in get_nic_details
   dev_lines = check_output(["lspci", "-Dvmmn"]).splitlines()
 File "./dpdk-devbind.py", line 125, in check_output
   stderr=stderr).communicate()[0]
 File "/usr/lib64/python2.7/subprocess.py", line 711, in __init__
   errread, errwrite)
 File "/usr/lib64/python2.7/subprocess.py", line 1327, in _execute_child
   raise child_exception
OSError: [Errno 2] No such file or directory

 

Сетевая 4-х головая на I350, при загрузке модуля

 

insmod igb_uio.ko
insmod: ERROR: could not insert module igb_uio.ko: Unknown symbol in module

[max1976]

./dpdk-devbind.py --status

Traceback (most recent call last):

  File "./dpdk-devbind.py", line 576, in <module>

    main()

  File "./dpdk-devbind.py", line 572, in main

    get_nic_details()

  File "./dpdk-devbind.py", line 248, in get_nic_details

    dev_lines = check_output(["lspci", "-Dvmmn"]).splitlines()

  File "./dpdk-devbind.py", line 125, in check_output

    stderr=stderr).communicate()[0]

  File "/usr/lib64/python2.7/subprocess.py", line 711, in __init__

    errread, errwrite)

  File "/usr/lib64/python2.7/subprocess.py", line 1327, in _execute_child

    raise child_exception

OSError: [Errno 2] No such file or directory

 

Установите lspci.

[Antares]

да, это и помогло )))

[Antares]

я дико извиняюсь, вроде всё работает, но не редиректит на страницу блокировки

есть где-то подводные камни??

[zhenya`]

Поди урпф где-то мешает.

[Antares]

Поди урпф где-то мешает.

что-что мешает? )))

[arhead]

я дико извиняюсь, вроде всё работает, но не редиректит на страницу блокировки

есть где-то подводные камни??

Как настроен интерфейс который смотрит в Сеть?

Опция http_redirect = true ?

Изменено 20 октября, 2016 пользователем arhead

[Antares]

Как настроен интерфейс который смотрит в Сеть?

Опция http_redirect = true ?

В каком смысле как??? Получение ip по dhcp, доступ до страницы блокировки есть

В конфиге так и стоит http_redirect = true

Изменено 20 октября, 2016 пользователем Antares

[dnvk]

Antares, firewall настроен?

[Antares]

Antares, firewall настроен?

отключен полностью, selinux чтоже отключен

[zhenya`]

Поди урпф где-то мешает.

что-что мешает? )))

unicast reverse path forwarding

сервер блокировки же спуфит сорс адрес. соответственно, если на шлюзе (через который выходит сервер блокировки) включена проверка адреса, то такой пакет будет отброшен.

Вообще можете TCPDUMP посмотреть для начала. летают ли TCP resetы и редиректы 302ые.

[Antares]

сервер блокировки же спуфит сорс адрес. соответственно, если на шлюзе (через который выходит сервер блокировки) включена проверка адреса, то такой пакет будет отброшен.

У меня шлюз на линуксе, где можно посмотреть??

[zhenya`]

sysctl -a | grep rp_filter

[Antares]

всё по-нулям

[Antares]

так и не получилось победить переадресацию

ресеты идут, 302 тоже

tcpdump -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -i enp3s0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp3s0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:34:50.831162 IP no-reverse-yet.3winfra.com.http > 10.0.0.5.50110: Flags [F.], seq 30154133:30154201, ack 1461027656, win 5840, length 68
E..l.H.......5..
....P......W..HP...|A..HTTP/1.1 302 Found
Location: http://10.1.31.66
Connection: close

09:34:50.970445 IP no-reverse-yet.3winfra.com.http > 10.0.0.5.50113: Flags [F.], seq 3038906552:3038906620, ack 2730804810, win 5840, length 68
E..l......1..5..
....P...".....JP...O...HTTP/1.1 302 Found
Location: http://10.1.31.66
Connection: close

Но почему не отображается на абонентском компе, хз

[dnvk]

Перебрал несколько серверов, дистрибутивов.

всё-равно не происходит блокировки таких ресурсов:

http://37.139.28.143:8001/
http://195.2.252.170:81/music/%D0%9C%D0%A3%D0%A1%D0%90%20%D0%90%D0%91%D0%A3%20%D0%AE%D0%A1%D0%A3%D0%A4.html
http://195.2.252.170:81/music/%D0%9C%D1%83%D1%81%D0%B0%20%D0%90%D0%B1%D1%83%20%D0%AE%D1%81%D1%83%D1%84.html

хоть из браузеров в linux, хоть в win.

 

 

содержимое protocols:

tcp:81,tcp:8080,tcp:8001,tcp:888@HTTP
tcp:16869@SSL

 

RegisterCheck вообще выплёвывает огромный список доступных ссылок, приемущественно содержащие кирилицу и всякие знаки припенания.

дальнейшая прогонка этого списка через fullreport - показывает заглушку на скриншотах. за исключением ранее указанных ресурсов. они - открываются.

 

куда копать?

Изменено 25 октября, 2016 пользователем dnvk

[max1976]

Перебрал несколько серверов, дистрибутивов.

всё-равно не происходит блокировки таких ресурсов:

http://37.139.28.143:8001/
http://195.2.252.170:81/music/%D0%9C%D0%A3%D0%A1%D0%90%20%D0%90%D0%91%D0%A3%20%D0%AE%D0%A1%D0%A3%D0%A4.html
http://195.2.252.170:81/music/%D0%9C%D1%83%D1%81%D0%B0%20%D0%90%D0%B1%D1%83%20%D0%AE%D1%81%D1%83%D1%84.html

хоть из браузеров в linux, хоть в win.

 

 

содержимое protocols:

tcp:81,tcp:8080,tcp:8001,tcp:888@HTTP
tcp:16869@SSL

 

RegisterCheck вообще выплёвывает огромный список доступных ссылок, приемущественно содержащие кирилицу и всякие знаки припенания.

дальнейшая прогонка этого списка через fullreport - показывает заглушку на скриншотах. за исключением ранее указанных ресурсов. они - открываются.

 

куда копать?

 

Это связано с ошибкой в nDPI при формировании host name из http пакета.

[dnvk]

max1976, тогда как это обходить? профилактической блокировкой по ip?

[max1976]

max1976, тогда как это обходить? профилактической блокировкой по ip?

 

Нет. Я внесу изменения в текущую версию extfilter.