FAQ
При установке или обновлении не запускается супервизор
Известна проблема, когда при установке или обновлении SkyDNS Zapret ISP выдается примерно такая ошибка:
Leaving 'diversion of /lib/systemd/system/exabgp.service to /lib/systemd/system/exabgp.service-stock by skydns-zi' Launching supervisor ... Job for supervisor.service failed. See 'systemctl status supervisor.service' and 'journalctl -xn' for details. invoke-rc.d: initscript supervisor, action "restart" failed. Launching uwsgi ...
Проблема связана с systemd, В этой ситуации рекомендуется перезапустить супервизор вручную
service supervisor stop service supervisor start
Проблема экспорта маршрутов
При подключении к сети провайдера с помощью BGP встречается проблема экспорта маршрутов.
Проблема проявляется следующим образом: трафик до некоторых сайтов идёт мимо системы фильтрации, в таблицах маршрутизации отсутствуют соответствующие префиксы.
Решение проблемы - перезапуск демона exabgp. Необходимо выполнить следующие команды:
service exabgp stop ps aux | grep exabgp kill -9 #процесса service exabgp start supervisorctl restart zi-update
При обнаружении проблем с фильтрацией, следует выполнить следующие проверки
Проверка CPU
Может образоваться ситуация, когда какой-то процесс занимает все существующие ресурсы процессора, и, как следствие, не даёт запуститься новым.
Для диагностики этого используйте команду htop
, после чего нажмите Shift+h
, чтобы скрыть порожденные процессами потоки. Если Вы наблюдаете большое количество одинаковых процессов с разными pid
, незамедлительно обратитесь в службу технической поддержки.
Чтобы убрать все процессы, выполнить команду kill< -9< <pid1> <pid2>
.
Проверка свободного места
Возможна проблема, когда у Вас закончилось свободное место. Для проверки выполните df -h
, убедитесь, что в разделе, куда установлен SkyDNS Zapret ISP, есть свободное место.
Проверка сети
Возможно, у Вас присутствуют неполадки в сети. В этом случае с сервера фильтрации проверьте наличие связи с граничным маршрутизатором, а также достижимость Ваших DNS-серверов, достижимость популярных сайтов (yandex.ru, vk.com).
Используйте утилиту ping
для этих целей.
Ошибка загрузки источника в web-интерфейсе
Если Вы наблюдаете такую ошибку, вызовите команду zi-ctl download для незагрузившегося списка.
После этого откройте конец лог-файла (/var/log/skydns-zi/isp_filter.log
), найдите в нём запись Downloading/Parsing module <source_name> has finished with exception:
ниже будет traceback
.
Обратите внимание на ошибку в конце. Возможно, у сервера фильтрации нет доступа к Вашему DNS-серверу (будет присутствовать строка no route to host
).
Если проблема не в этом, незамедлительно обратитесь в службу технической поддержки.
Избыточное блокирование
В случае ситуации, когда Ваши пользователи не могут получить доступ к неблокируемым ресурсам, например instagram.com, стоит проверить Squid. Выполните cat /var/log/squid/cache.log | grep <blocked_domain>
. Если вы наблюдаете:
queue overload. Using stale result. # или queue overload. Request rejected.
следуйте инструкциям Продвинутая настройка Squid. В противном случае, проверьте Ваш Чёрный список.
Диагностика причин пропусков
Наличие незначительного количества пропусков (меньше 10) - теоретически возможная ситуация. В случае если такое произошло, следуйте следующей инструкции:
Зайдите на сервер фильтрации.
- Выберите произвольный домен из списка пропущенных. Выполните команду
dig @127.0.0.2 <domain>
. В ответ должен вернуться ответ, в котором у всех IP-адресов будет одинаковый ttl равный 3600. Если такого не произошло, выполните команды zi-ctl check-announce затем zi-ctl create-zones. - Если после проделанных манипуляций, Вы получаете ответ с флагом REFUSED, перезапустите
zi-update
-supervisorctl restart zi-update
. Убедитесь, что он запустилсяsupervisorctl status zi-update
. - Спустя пять минут, выполните поиск по логам разрешения доменов:
cat /var/log/skydns-zi/updater.log | grep <domain>
. Убедитесь, что домен разрешился в IP-адрес(а). Если домен отсутствует в логе, используйте Поиск заблокированных ресурсов. Если домен присутствует среди блокируемых, выполните zi-ctl check-announce ещё раз. - Выполните команду
zi-ctl ipset-create
.
Зайдите на компьютер из фильтруемой сети.
- Попробуйте получить доступ к пропущенному домену/URL.
- Если Вам не вернулась страница блокировки, выполните
dig <domain>
. - Если Вы получили ожидаемый ответ (как в п.1, находясь на сервере фильтрации), но произошёл пропуск, выполните трассировку по полученному адресу. Если трафик идёт мимо системы фильтрации, у существует другой путь в этому ресурсу (мимо системы фильтрации).
- Если трафик идёт на SkyDNS Zapret ISP, выполните поиск запрашиваемого ресурса в
/var/log/skydns-zi/acl.log
. Последняя запись должна бытьBLOCKED
. Если Вы видитеPASSED WHITELISTED URL
, значит этот домен/URL находится в Белом списке. - Убедитесь, что ресурс находится в списке запрещенных. Для этого выполните
cat /var/lib/skydns-zi/src/dump-latest/dump.hf.xml | grep <domain>/<URL>
, или используйте фильтры в интерфейсе администратора (Поиск заблокированных ресурсов).