коллеги, я все понимаю. и тем не менее - теме ап

а потом помогатор будет уволен за разглашение

а может и под суд пойдёт

А у нас форпост

Мы счастливы

у нас тоже :) пока норм

и ещё подсказка: в суде такие "данные" могут не принять

А могут принять как свидетельство совершения другого правонарушения

знаю...

А че купили-то? Мы както серверок купили так же...

ноут мне...

А у нас форпост

отличная штука. и на контакт легко идут

отличная штука. и на контакт легко идут

А на скидочки не идут

А на скидочки не идут

идут отлично, правда года три назад это было

идут отлично, правда года три назад это было

Не шли хоть убей

Год назад

Коллеги, вопрос про GGC. Кто знаком с подробностями перенаправления запросов на контент Youtube ? Как оно происходит ? Дело в том, что у меня запросы на Youtube проксируются (для фильтрации) как это влияет на перенаправление ?

http ютуба выдает ссылки на контент проигрывателю в зависимости от ипа с которого поступил запрос

т.е. вебконтент идет с самого гугла, а для видео динамически генерятся ссылки на ту или иную ноду гугла в зависимости от ипа с которого пришел запрос и нагруженности соседних нод

>ависимости от ипа с которого поступил запрос Вот тут вся загвоздка. Какой запрос ? Запрос на сам youtube ? Или какой то другой ?

ну не на яндекс же

Дело в том, что у меня запросы на ютьюб - проксируются. И по идее на ютьюб они попадают с другого (не моего) IP Однако судя по сниферу контент льется все равно с серверов моей ноды.

может тот ип тоже анонсируется в ноду?

или прокси передает внутренние ипы дальше в заголовках

ссылки генерит движок отображения сайта youtube

Нет. это прокси вообще в другом городе

или прокси передает внутренние ипы дальше в заголовках

Вот это вариант

Есть конкретные примеры такого поведения ?

у гугла спросить не?

там отличный isp.google.com есть с тикетницей

Они там как-то неохотно отвечают. Да и передать нюансы терменологии на "бусурманском" языке не всегда удается

Охотно даже

Льётся так радуйся

Коллеги, вот хотел с вами в очередной раз посоветоваться.

У нас была проблема, с медленной загрузкой контента с ватсапа и инстаграмма. Мы все знаем, что он тянется из Штатов. Но вот, стоило мне сделать форвард на гугловские днс и вопрос решился. Все стало грузится быстро. У кого-то еще были такие инциденты ?

Причем список корневых нс месячной давности

Причем медленная загрузка была, как и на рт, так и на меге

Вот и поговорили )

У нас была проблема, с медленной загрузкой контента с ватсапа и инстаграмма. Мы все знаем, что он тянется из Штатов. Но вот, стоило мне сделать форвард на гугловские днс и вопрос решился. Все стало грузится быстро. У кого-то еще были такие инциденты ?

Внезапно

я бы действовал так: посмотрел бы во что у вас резолвится то, что медленно загружается через ваш резолвер и через гугл днс, если разное будет, то посмотрел бы где оно располагается и сделал бы выводы, может ли тормозить из-за удаленности. позапрашивал бы у инстаграмовских неймсерверов с разных ip адресов. Если б выдавало не то что мне нужно в нок бы им написал. А если одно и то же выдает, то проблема не в этом была.

Как раз, резолвы были разные.

На нашем, и гугловском нс

Располагаются они, в одном и том же месте. В Акамаи, в Сша.

а трасса то одна была?

Вот, тут не смотрел

Просто, писать ноку. Я считаю очень долгой процедурой. Например noc Aliexpress ответил на письмо через месяц.

Когда были проблемы, опять таки с cdn акамая.

ога, у нас тоже были проблемы с акамаевскими cdn, тоже приходилось угглом резолвить чтобы али работал

есть тут мастера над iptables и tcpdump?

сейчас с удивлением обнаружил, что вижу трафик, заблоченный iptables

хотя раньше в голове отложилось, что tcpdump увидит трафик уже после фаервола

это не так

а как?

Вот так: https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg

tcpdump слушает примерно в районе AF_PACKET

где-то я уже видел эту картинку

да, это уже как минимум третья версия, которую я вижу, дорисовывают время от времени =)

сейчас с удивлением обнаружил, что вижу трафик, заблоченный iptables

Это норма.

мне стало интересно, можно как-то поснифать трафик ДО INPUT и после INPUT?

возможно, тебе поможет TRACE, почитай про него в man iptabales-extensions

спасибо, почитаю

но это не совсем то, что хочется, я б лучше мета-задачу описал, запись трафика редко же самоцелью является

но это не совсем то, что хочется, я б лучше мета-задачу описал, запись трафика редко же самоцелью является

А что хочется?

@pragus я предположил, что хочется правила дебажить, а не трафик записывать, но это предположение может быть ложным

мне стало интересно, можно как-то поснифать трафик ДО INPUT и после INPUT?

С целью?

@pragus я предположил, что хочется правила дебажить, а не трафик записывать, но это предположение может быть ложным

Ну, вариант. Но trace тут и правда будет достаточно, кмк

С целью?

конкретно сейчас меня интересовал определенный входящий трафик; кроме него оказалось много мусороного, приходящего на сервис, которого уже давно нет на этом ip. Я добавил правило блокировки в iptables, но все равно этот мусорный трафик видел. Вот и захотелось увидеть "очищенный" трафик после фаервола.

Если интересует **определённый** входящий трафик, то может быть сильно проще прочитать man pcap-filter и вырезать его при захвате.

в смысле, речь просто о фильтрах, которые можно использовать в tcpdump?

Да. Это наверняка будет проще, чем сооружать конструкцию с NFLOG, NFQUEUE и прочим TEE.

ну я умею фильтрами пользоваться, просто сейчас вопрос стал о том, как увидеть только отфильтрованный трафик

Формально — NFLOG выглядит искомым инструментом. https://wiki.wireshark.org/CaptureSetup/NFLOG

Формально — NFLOG выглядит искомым инструментом. https://wiki.wireshark.org/CaptureSetup/NFLOG

Так и есть

И если смотреть tcpdump настоятельно рекомендую включить bpf jit

спасибо, много полезной информации

net.core.bpf_jit_enable = 1

конкретно сейчас меня интересовал определенный входящий трафик; кроме него оказалось много мусороного, приходящего на сервис, которого уже давно нет на этом ip. Я добавил правило блокировки в iptables, но все равно этот мусорный трафик видел. Вот и захотелось увидеть "очищенный" трафик после фаервола.

трафик предназначается локальным сервисам? или транзитный?

Локальный

если сервис не предпринимает попыток слушать весь трафик с интерфейса (af_packet/promisc/pcap), то iptables дропнет все до попадения трафика в сокеты

Просто, писать ноку. Я считаю очень долгой процедурой. Например noc Aliexpress ответил на письмо через месяц.

Если акамаи тупит то беда

Тут только в акамаи писать. Ну или если кэш апстрима то ему парить мозг

У нас была проблема, с медленной загрузкой контента с ватсапа и инстаграмма. Мы все знаем, что он тянется из Штатов. Но вот, стоило мне сделать форвард на гугловские днс и вопрос решился. Все стало грузится быстро. У кого-то еще были такие инциденты ?

В Изберге была такая же проблема, тоже что то про DNS говорили

Ну у них привязка жуткая к днс

Через другой резолвишь и выдаёт другой кэш

Когда были проблемы, опять таки с cdn акамая.

У нас кэши от акамая стоят, но большинство трафика льется из откуда, с техподдержкой бывает сложный диалог

Да там индусы жуткие )

сейчас сердечных капель накапаю себе и напишу им опять

На тему?)

они опять протрут мне про RTT

Часто переходы?

Трафик зеброй?

У вас на наге ник какой?

У них мониторинг гавно.

zhenya' чот такое)

я с вами там в личке общался

figo

.) помню

Вообще у меня сложилось ощущение, что их система криво смотрит на абонентов которые у себя левые днсы прописали

Спуфинг отломали и теперь чёт нода плохо себя ведёт

у меня на них трафик 300 мегабит, при суммарном со всех провайдеров анонсируемых 30 гиг