Mark ☢️
Удали спам тогда
nvkv
Но вообще да, какой-то лютый ад начался
nvkv
nvkv
Где?
Mark ☢️
nvkv
Я это вроде как грохнул уже, что-то глючит
nvkv
Кто-то ещё это видит?
ℭ𝔞𝔯𝔯𝔬𝔩
🏳️ Phil
Хм... Проксирование HTTPS стрима с разруливанием по SNI, это круто. Но ip-то как ппокинуть?
Yuri
Какой IP?
Yuri
Клиента?
🏳️ Phil
Да
Pavel
В http протоколе IP прокидывается через хедеры, во всяких заголовках X-Forwarded-For и т.д.
Pavel
А на низком уровне IP прокидывать конечно отвратительная идея.
🏳️ Phil
Что делать-то? :) У DNS кстати есть client subnet
Pavel
Так а что прокидывать в хедерах невозможно?
🏳️ Phil
Я не хочу терминировать SSL на проксе
Vladimir
proxy protocol
Vladimir
вопрос только в том сможет ли он по SNI выцепить хост
Vladimir
но он как раз призван решать проблему проксирования того не знаю что без разбора, но чтоб сохранить внешний IP
Vladimir
https://www.nginx.com/resources/admin-guide/proxy-protocol/#http
Alexey
Можно tcp проксировать с proxy protocol
Alexey
Но бонусов от такого проксирования не много
🏳️ Phil
Да
Vladimir
так что бонус будет как раз в том что он сможет проксировать tcp а sslить будет бэкэнд
🏳️ Phil
Да
Alexey
Ну там есть stream модуль
🏳️ Phil
Да
🏳️ Phil
Именно
Alexey
И у него должен быть доступ до sni имени
🏳️ Phil
Угу. Там есть
Alexey
(Я не проверял так как у нас везде перешифровка идёт -- благо она дико дешёвая)
Vladimir
И у него должен быть доступ до sni имени
краткая история - он уже дошел до SNI и проксирования, но получался двойной ssl, а если в чистом виде гнать tcp без прокси протокола то непонятно source ip какой был реально
Pavel
Парни, а вот такой вопрос, решили мы значится просканировать 2млн страниц в инете, завели апач нуч, накрутили ему побольше потоков, и завели шарманку. На стотысячной странице нас блокирует провайдер со ссылкой на абьюс месадж от какого-то webiron.com. В письме от него написанно мол, вы попадаете под какие-то критерии, почитать про которые можно тут: https://www.webiron.com/supporthome/view-article/33-criteria-for-what-makes-a-bot-bad.html. Сами виддите, по ссылке какаято херота, а не 33 критерия. Так вот в чем вопрос: что могло послужить причиной, может кто встречался?
niko
я бы сменил провайдера
Pavel
Логично :)
Pavel
Кстати можете угадывать провайдера, думаю с 1й попытки большинство отгадает ггггг
Pavel
хетзнер!
🏳️ Phil
Denis
Кстати можете угадывать провайдера, думаю с 1й попытки большинство отгадает ггггг
так сделает любой провайдер, а некотоыре ещё и зачарджат сразу за то что попользовали и аккаунт забанят на всегда вместе с карточкой
Denis
хетцнер ещё очень полайт в таком
Pavel
Так а чо не так, хде почитать?
Pavel
Сканируйте через ботнеты как все нормальные люди.
Alexey
Ну тоесть, AES он бесплатный фактически, ибо аппаратный(можно делать 4гбита на ядро). EC* очень дешёвый. Клиентский RSA тоже не дорогой, да там и connection reuse такой что его даже не видно в топе.
niko
а разве "аппаратный" - синоним "бесплатный"?)
Vladimir
аппаратный синоним?
niko
зануда
Vladimir
у меня правда на фразе сломался парсер (
Vladimir
а разве "аппаратный" - синоним "бесплатный"?)
оно настолько дешевое, что затратами можно принебречь
Vladimir
не под любой нагрузкой конечно, но как бы не про rtb речь
Uncel
Ну тоесть, AES он бесплатный фактически, ибо аппаратный(можно делать 4гбита на ядро). EC* очень дешёвый. Клиентский RSA тоже не дорогой, да там и connection reuse такой что его даже не видно в топе.
если деньги жечь взять lewisburg ( ~150 гбит с чипсета )
Alexey
а разве "аппаратный" - синоним "бесплатный"?)
Да. 4гбита на ядро это бесплатно
Vladimir
если деньги жечь взять lewisburg ( ~150 гбит с чипсета )
первая ссылка в гугле сказала что это город такой. Я крепко задумался о идее.
Uncel
первая ссылка в гугле сказала что это город такой. Я крепко задумался о идее.
Да, город получше будет =) . https://www.servethehome.com/wp-content/uploads/2017/07/Intel-Lewisburg-PCH-QuickAssist-Technology-QAT-Crypto.jpg
Vladimir
Да, город получше будет =) . https://www.servethehome.com/wp-content/uploads/2017/07/Intel-Lewisburg-PCH-QuickAssist-Technology-QAT-Crypto.jpg
я просто плохо знаю кодовые имена интеловых платформ
Vladimir
и у меня в голове с ходу не возникает соотвтетствие платформы и кодового имени чипсета
Vladimir
так что я лично за то что надо таки взять город )
🏳️ Phil
А почему перешифровка дорогая?
Ну потому что онадорогая. На вшивом сайте я вдруг nginx в топе вижу. Не смертельно, но это не бесплатно
Vladimir
@Unkledolan это чипсет под новые их Skylake-EP?
Uncel
@Unkledolan это чипсет под новые их Skylake-EP?
Да там две версии будут, чипсеты с сетью и qat и отдельные модули
niko
Ну потому что онадорогая. На вшивом сайте я вдруг nginx в топе вижу. Не смертельно, но это не бесплатно
Так хендшейк новый сильно дороже чем просто шифровать сидеть)
Alexey
Да там две версии будут, чипсеты с сетью и qat и отдельные модули
Там щас с ssl библиотеками запара -- асинхронщина есть у OpenSSL, но сделана через жопу
Uncel
Там щас с ssl библиотеками запара -- асинхронщина есть у OpenSSL, но сделана через жопу
Ага, у меня была бредовая идея взять старых 8950 и в nas затолкать
Alexey
Ну потому что онадорогая. На вшивом сайте я вдруг nginx в топе вижу. Не смертельно, но это не бесплатно
Я думаю perf top там покажет что это RSA в сторону клиента, это можно пофиксить через ECDSA, v4 Xeon и OpenSSL 1.0.2+
niko
А что такое особенное в в4 ксеоне появилось?
Vladimir
они в каждом релизе что-то по чуть-чуть подкручивают )
Alexey
AVX2
Vladimir
в v3 еще появились средства аккаунтинга потребления L3 кэш-памяти и bandwidth'а софтом, а в v4 можно через специальное апи ограничивать per cgroup
Vladimir
типа дать 1МБ L3 кэша вот этой группе
Vladimir
правда требует ядра помоему 4.12
🏳️ Phil
Я думаю perf top там покажет что это RSA в сторону клиента, это можно пофиксить через ECDSA, v4 Xeon и OpenSSL 1.0.2+
1.02% libcrypto.so.1.0.0 [.] 0x00000000000c5143
1.00% libcrypto.so.1.0.0 [.] 0x00000000000c5690
0.98% libcrypto.so.1.0.0 [.] 0x00000000000c5138
0.87% libcrypto.so.1.0.0 [.] 0x00000000000c5152
0.86% libcrypto.so.1.0.0 [.] 0x00000000000c517a
0.83% libcrypto.so.1.0.0 [.] 0x00000000000c5678
0.81% libcrypto.so.1.0.0 [.] 0x00000000000c56a8
0.79% libcrypto.so.1.0.0 [.] 0x00000000000c5191
0.78% libcrypto.so.1.0.0 [.] 0x00000000000c5682
0.76% libcrypto.so.1.0.0 [.] 0x00000000000c516d
0.72% libcrypto.so.1.0.0 [.] 0x00000000000c56b3
0.71% libcrypto.so.1.0.0 [.] 0x00000000000c56c1
0.69% libcrypto.so.1.0.0 [.] 0x00000000000c5603
0.68% libcrypto.so.1.0.0 [.] 0x00000000000c569a
0.65% libcrypto.so.1.0.0 [.] 0x00000000000c5159
0.65% libcrypto.so.1.0.0 [.] 0x00000000000c561a
0.64% libcrypto.so.1.0.0 [.] 0x00000000000c566a
0.61% libcrypto.so.1.0.0 [.] 0x00000000000c5648
0.60% libcrypto.so.1.0.0 [.] 0x00000000000c5660
0.58% libcrypto.so.1.0.0 [.] 0x00000000000c5124
0.58% libcrypto.so.1.0.0 [.] 0x00000000000c4c66
0.54% libcrypto.so.1.0.0 [.] 0x00000000000c4c9c
0.54% libcrypto.so.1.0.0 [.] 0x00000000000c512d
0.52% libcrypto.so.1.0.0 [.] 0x00000000000c518d
0.52% libcrypto.so.1.0.0 [.] 0x00000000000c5183
0.52% libcrypto.so.1.0.0 [.] 0x00000000000c5140
0.50% libcrypto.so.1.0.0 [.] 0x00000000000c5196
хз что это. может и RSA да
Alexey
Мы как-то v3 проскочили
Vladimir
кстати интересно, какой софт первым научится через это новое апи снимать статистику по памяти и кэшу )
Uncel
сетевой обычно умеет ( т.к. очень пичот, если кэш для пакетов кто-то вымыл )