в фастнетмоне ведь нельзя флоуспек прикрутить на основе данных атаки, там только готовые шаблоны для udp 53 123 и тд, а так хочется
на самом деле я не против просто флоуспеком вешать дропы на весь удп по триггеру
Purrr
Volodymyr
Fd мастштабируемость интересует. у haproxy без такой то матери мультитредовость не получится, я так понимаю. как у nginx в случае tcp balancing ?
Purrr
или рейтлимиты
Purrr
сильная какая то гибкость по порту и размеру пакета хз
Ivan
на самом деле я не против просто флоуспеком вешать дропы на весь удп по триггеру
как вариант заворачивать в vrf через flow правило
Ivan
а там уже на митигацию
Ivan
было б неплохо автоматически такое мутить
Ivan
exabgp поддерживает
Purrr
нах? если флоуспеком можно митигацию сделать ) или типа ты про статефул фиревол и борьбу с синфлудом?
Ivan
нах? если флоуспеком можно митигацию сделать ) или типа ты про статефул фиревол и борьбу с синфлудом?
да, про такое, а для простых амплификаций пойдёт дальше анонс на аплинки, опять же автоматически, в планах такое есть но хз будет ли реализовано
Ivan
сильная какая то гибкость по порту и размеру пакета хз
по размеру пакета и так есть стейтлесс фильтры, там смысла динамические парвила держать не вижу
Anonymous
Fd мастштабируемость интересует. у haproxy без такой то матери мультитредовость не получится, я так понимаю. как у nginx в случае tcp balancing ?
там же было можно пинить cpu за процессы.
Evgeny
короч ариста заработала после того, как из нее вытащили всю память, потом вставили, потом снова вытащили одну из планок, потом снова вставили
Evgeny
надёга
Ivan
типа syn на 40 байт это явно атака/скан, в легальном IMIX трафе не встречается
Vladimir
Fd мастштабируемость интересует. у haproxy без такой то матери мультитредовость не получится, я так понимаю. как у nginx в случае tcp balancing ?
Youporn гоняет 100г трафика через хапрокси
Volodymyr
https://www.haproxy.com/blog/multithreading-in-haproxy/
Anonymous
Fd мастштабируемость интересует. у haproxy без такой то матери мультитредовость не получится, я так понимаю. как у nginx в случае tcp balancing ?
http://cbonte.github.io/haproxy-dconv/1.8/configuration.html#cpu-map
Anonymous
http://cbonte.github.io/haproxy-dconv/1.8/configuration.html#nbproc
Volodymyr
ну этот как раз про "такой-то матери"
Volodymyr
nginx не будет там воркеры сам спаунить и мышью открывать окна ?
Volodymyr
может у него там все из коробки изи
Anonymous
nginx не будет там воркеры сам спаунить и мышью открывать окна ?
ну у него там всё проще с воркерами, угу.
Anonymous
http://nginx.org/en/docs/ngx_core_module.html#worker_processes
vitex
интересно, можешь кинуть ссылкой, то что я читал - автоматический флоуспек только для 4-5 шаблонов включается
вот тут про флоуспек есть
https://fastnetmon.com/advanced-quick-start/
https://fastnetmon.com/fastnetmon-cookbook/
Ivan
а с чего бы ей не поддреживать?
что ей скажут то она и заинжектит
ну драфт развивается, я не уверен что редирект в vrf был в изначальных версиях, exabgp вроде бы даже поддерживает next-ip редиректы, только вот например сетевые девайсы еще не умеют в него
vitex
как вариант заворачивать в vrf через flow правило
надо прежде всего volume based отбивать
а тут чистить ничего не надо - надо фильтровать
Volodymyr
http://nginx.org/en/docs/ngx_core_module.html#worker_processes
в случае с прокси все аналогично же, без тонкостей, верно ?
vitex
ну драфт развивается, я не уверен что редирект в vrf был в изначальных версиях, exabgp вроде бы даже поддерживает next-ip редиректы, только вот например сетевые девайсы еще не умеют в него
action это просто коммьюнити в анонсе
так что чего там поддерживать / не поддерживать можно?
ну это прям совсем уже
Ivan
надо прежде всего volume based отбивать
а тут чистить ничего не надо - надо фильтровать
ну у каждого свои задачи, в моих кейзах было бы полезно редиректы делать для митигации и разных "хитрых" сервисов, а амплификацию отбить - это просто анонс флоуспека на аплинки, довольно базовый функционал, только бабки заноси транзитам
Ivan
action это просто коммьюнити в анонсе
так что чего там поддерживать / не поддерживать можно?
ну это прям совсем уже
next-ip Где поддержка есть?)
Anonymous
в случае с прокси все аналогично же, без тонкостей, верно ?
чувак, ты хочешь сразу в прод или стенд собрать?
Ivan
кроме nokia с костылями
Anonymous
в моих кейсах у меня было вообще
worker_processes auto;
worker_rlimit_nofile 65535;
events {
worker_connections 1024;
}
Anonymous
а дальше там 3 апстрим группы и кучка map.
Volodymyr
спасибо
Ivan
какой нах next-ip во флоуспеке???
в случае большого количества точек для редиректа это удобнее чем пилить 100 vrf
vitex
в случае большого количества точек для редиректа это удобнее чем пилить 100 vrf
пиши в ietf
https://tools.ietf.org/html/rfc5575#page-15
Ivan
мне очень нужно такое, некоторые сервисы требуют редиректы, и чтобы владелец сервиса мог сам их настраивать очень подойдёт флоуспек
Ivan
они там уже вкурсе насколько знаю
Ivan
скоро должна подъезжать уже поддержка
Ivan
потому что давно эта тема всплывала
vitex
мне очень нужно такое, некоторые сервисы требуют редиректы, и чтобы владелец сервиса мог сам их настраивать очень подойдёт флоуспек
не спорю что нужно
но в рфц не предусмотренно
Артём
Добрый день. Артем, телекоммуникации, Краснодар. Через группу freeswitch отправили. Сертификатов нет
Ivan
а exa уже умеет
Anonymous
Добрый день. Артем, телекоммуникации, Краснодар. Через группу freeswitch отправили. Сертификатов нет
тег #whois к сообщению добавьте, пожалуйста.
Артём
Артем:
Добрый день. Артем, телекоммуникации, Краснодар. Через группу freeswitch отправили. Сертификатов нет
#whois
Ivan
у меня в основном вольюм-бейзд были так что тут rate-limit только
сорс порты какие были? просто dns/ntp? тогда да, но у нас обычно флуды и трафик полностью совпадает с "легитимным" - нужна гибкость и заворот на митигацию
vitex
сорс порты какие были? просто dns/ntp? тогда да, но у нас обычно флуды и трафик полностью совпадает с "легитимным" - нужна гибкость и заворот на митигацию
src dns на рандом
а это для аеспи проблема так как много умников настраивают публичные днс у себя
vitex
сорс порты какие были? просто dns/ntp? тогда да, но у нас обычно флуды и трафик полностью совпадает с "легитимным" - нужна гибкость и заворот на митигацию
ну тут такое - то что совпадает с легитимным десятки гигабайт как правило не зальешь
Ivan
ну тут такое - то что совпадает с легитимным десятки гигабайт как правило не зальешь
да, отсюда и смысл защиты не только от volume based чтобы был)
vitex
да, отсюда и смысл защиты не только от volume based чтобы был)
это да
вон @darwinggl может наконец привезут очиститель
я не дождался
Ivan
девайс какой то?
🇷🇺 Роман
коллеги, подскажите, пожалуйста по простой acl:
ip access-list vlan7_acl_in
permit icmp 10.0.0.0/24 any
permit tcp 10.0.0.0/24 any established
interface vlan 7
ip access-group vlan7_acl_in in
по идее, tcp соединения из других подсетей с 10.0.0.0/24 должны же работать?
Denis 災 nobody
кстати, а может кто объяснить, зачем вообще в свиче может быть несколько untag вланов в гибрид режиме?
Ivan
цифры вроде неплохие пишут для AS девайса чтоли
Evgeniy
Denis 災 nobody
[Office-5500-EI-253-Ethernet1/0/48]dis th
#
interface Ethernet1/0/48
port link-type hybrid
port hybrid vlan 1 14 15 48 tagged
port hybrid vlan 5 215 untagged
port hybrid pvid vlan 215
broadcast-suppression pps 1000
undo jumboframe enable
ну и какого Х без pvid 215 ничего не работает, даже когда в untag только 1 влан (215)
Evgeniy
Видимо криво выбирает pvid
Evgeniy
Или надо что то спецом сказать чтобы assign делал
🇷🇺 Роман
так тут, по идее, "обратный" трафик и пойдет
Denis 災 nobody
суть pvid я конечно понимаю, входящие как-то понимать.. а вот зачем несколько антаг — вообще не
🇷🇺 Роман
не на интерфейс, а на роутер )
🇷🇺 Роман
короче говоря, суть проблемы в том, что в Packet Tracer это работает норм, а в Nexus 3548 нет ((
🇷🇺 Роман
не про то... документация говорит, что в данном случае нужен именно IN
Anonymous
ещё раз. можно писать говнокод, а можно писать понятно.
Denis 災 nobody
видимо, надо через пару часов спросить..
🇷🇺 Роман
т.к. я хочу прибить трафик до маршрутизации... но в nexus он прибивает весь трафик, established не проходит