cwbe coordinatez:
101
63540
63542
1098481
1109443

ABSOLUT
KYBERIA
permissions
you: r,
system: public
net: yes

neurons

stats|by_visit|by_K
source
tiamat
K|my_K|given_K
last
commanders
polls

total descendants::
total children::2
7 ❤️


show[ 2 | 3] flat


toxygen0
serotonin0
Toth0
sos@K0
sly0
trentin0
mr gramma0
kontra0
BlackDeath0
ksyz0
tony clifton0
zyx0
enuke0
case study:
majme server ktory ma dve a viac sietoviek a dve a viac ip adries.
majme software, ktory vie pocuvat na viac ip adresach.

co musime spravit
- rozdelit ip adresy na jednotlive sietovky podla toho ako nam to vyhovuje (obycajne to budete chciet rozdelit rovnomerne)
- nakonfigurovat source routing, pretoze za normalnych okolnosti linux aj ked ma nakonfigurovanu nejaku secondary ipecku na inom interfejsi ako cez ktory ma defaultroutu, tak zial pouzije ten, na ktomo je defaultrouta. to znamena, ze traffic by sice prichadzal trebars cez eth1, ale odchadzal by cez eth0 (cez ktoru je default gw) aj napriek tomu, ze zdrojova IPcka toho trafficu by bola assignovana na eth1..
- dalo by sa to riesit aj bondingom (dat viac eth interfejsov dokopy, ale tu by sa traffic rozdeloval len na jednotlive sietovky a nie na ip adresy - aj ked teraz ma napada, ze ak by na bondingovom zariadeni bolo assignovanych viac ip, tak by to MOZNO fungovalo :) )

taakze majme:

eth0, ktore ma adresy:

/sbin/ifconfig eth0 10.1.2.1 broadcast 10.1.2.255 netmask 255.255.255.0
/sbin/ifconfig eth0:0 10.1.2.2 broadcast 10.1.2.255 netmask 255.255.255.0
/sbin/ifconfig eth0:1 10.1.2.3 broadcast 10.1.2.255 netmask 255.255.255.0


eth1, ktore ma adresy:

/sbin/ifconfig eth1 10.1.2.10 broadcast 10.1.2.255 netmask 255.255.255.0
/sbin/ifconfig eth1:0 10.1.2.20 broadcast 10.1.2.255 netmask 255.255.255.0
/sbin/ifconfig eth1:1 10.1.2.30 broadcast 10.1.2.255 netmask 255.255.255.0


obe sietovky su v jednom subnete, ale myslim ze neni dovod aby to nechodilo a v roznych subnetoch (este nenapadnejsie riesenie ;) )

este by sme mohli nejak zriesit aj default gw, nech sa neodpilime:

/sbin/route add default gw 10.1.2.254 dev eth0


doteraz pohodka, klasika, nasledovne uz nebude klasika, ale nebude to nic komplikovane:
musime vytvorit zaznam v /etc/iproute2/rt_tables (nezabudol som povedat ze treba mat iproute2 nasinstalovane? :) )
tento zaznam sa vytvara len raz, nie po kazdom boote (je to bezny konfig fajl, nic dynamicke)
echo "10 eth1table" >> /etc/iproute2/rt_tables

potom po kazdom boote musime vytvorit alternativnu routovaciu tabulku pre adresy na eth1:

/sbin/ip rule add from 10.1.2.10 table eth1table prio 220
/sbin/ip rule add from 10.1.2.20 table eth1table prio 220
/sbin/ip rule add from 10.1.2.30 table eth1table prio 220
/sbin/ip route add default via 10.1.2.254 dev eth1 table eth1table proto static


takze uz staci dapisat zopar Acok do DNSka pre host na ktory sa maju klienti konektovat, napr v djbdns:

=fbi.sk:10.1.2.1:86400
=fbi.sk:10.1.2.2:86400
=fbi.sk:10.1.2.3:86400
=fbi.sk:10.1.2.10:86400
=fbi.sk:10.1.2.20:86400
=fbi.sk:10.1.2.30:86400


a fijuuuu




000001010006354000063542010984810110944301137310
nudzo
 nudzo      23.09.2004 - 12:41:30 [1K] , level: 1, UP   NEW
Policy routing si do toho tahat nemusel... stacila jedna route tabulka... podla mna...

ip route add default nexthop via 10.1.2.254 dev eth0 weight 1 nexthop via 10.1.2.254 dev eth1 weight 1

weight udava vahu pre weighted round-robin... myslim, ze je tam WRR... ked das 5 a 4, tak z 9 packetov 5 ide na eth0 a 4 na eth1... Samozrejme nemusia byt len dve sietovky...

More at http://lartc.org/

00000101000635400006354201098481011094430113731001137567
maniac
 maniac      23.09.2004 - 14:05:01 , level: 2, UP   NEW
funguje to? teda ci to mas odkusane, je to zaujimava moznost, ale nikdy som ju neskusal, resp ak som mal standartne cez route /ip route pridane dve defaultrouty cez dva interfejsy tak to nechodilo, resp chodilo to cez tu ktora bola pridana prva

0000010100063540000635420109848101109443011373100113756701137595
juraj
 juraj      23.09.2004 - 14:13:05 , level: 3, UP   NEW
jasne, ze to chodi. robil som tak load balanced access cez dva rozne konekty.

000001010006354000063542010984810110944301137310011375670113759501139070
ᨋ
       24.09.2004 - 00:11:22 , level: 4, UP   NEW
hm a nerobi problem tcp konekt ked prichadzaju cielovemu hostu pakety z roznych zdrojovych ipckiek ?

00000101000635400006354201098481011094430113731001137567011375950113907001142782
juraj
 juraj      26.09.2004 - 00:31:25 , level: 5, UP   NEW
toto je odpoved aj na nudzov aj na maniacov prispevok.

v podstate to funguje tak, ze pri nadvazovani spojenia sa pred odoslanim nastavi zdrojova ipcka na dany interfejs. ked chodia odpovede, tak chodia priamo na tu ipcku, cize na odchode uz ma packet spravnu zdrojovu ipcku a je podla toho deterministicky odroutovany.

cize nie len tcp spojenia, ale aj icmp, udp a vsetko zalozene na ip ide v pohode. nie je k tomu vobec potrebny ani connection tracking.

prevazne som to spravil podla lartc.org, akurat som tam pridal este staticke routy na checkovacie body, ktore sa pingaju (cez ten-konkretny interfejs) a podla toho sa zistuje, ci je jeden hore.

v mojom konkretnom pripade, ktory som nakoniec realizoval to bolo este trosku jednoduchsie, kedze jedna z tych liniek je adsl a tam sa prislusne skripty naviazu na ppp up a ppp down akcie. Potom sa uz len checkuje pingovanim mikroska, ci zije a podla toho sa pridava a vyhadzuje v default route, ci ju ma alebo nema pouzit. Funguje to pekne, ked ktorekolvek spojenie padne, tak vsetky nove connectiony idu len cez ten interfejs, ktory funguje. Vyhoda toho, ze sa tam nepouziva connection tracking je v tom, ze pri znovunahodeni druheho konektu sa zacne v podstate automaticky pouzivat a existujuce spojenia nespadnu.

00000101000635400006354201098481011094430113731001137567011375950113907001139379
nudzo
 nudzo      24.09.2004 - 09:20:38 , level: 5, UP   NEW
Ee... Spojenia sa nadvazuju na striedacku... raz z jednej, potom z druhej sietovky... a weight udava pomery, ze kolko na ktoru... tcp konekt potom ostane az do uzatvorenia na tej jednej sietovke...

00000101000635400006354201098481011094430113731001137567011375950113907001139109
maniac
 maniac      24.09.2004 - 00:49:17 , level: 5, UP   NEW
myslim ze jeden tcp konekt chodi len cez ten iface cez ktory bol nadviazany

0000010100063540000635420109848101109443011373100113756701137595011390700113910901139213
ᨋ
       24.09.2004 - 05:25:30 , level: 6, UP   NEW
imho treba k tomu conntrack a cez netfilter matchovat
teraz som s tym haluzil, poriesil 10 ipciek na vsetky openvpn nahodil a loadbalancoval cez tunely, natoval na servery secko(conntrack si zapametal z ktoreho interfejsu ide stream), ficalo, <> len keby signal bol lepsi :)

zase je na <>(napr. v pripade piratenia wifi) ked mas vela volnych ipciek kazdy shapnutu na 64kbit, ze ti 1 stream viac neda, to by skor bolo treba na nizsej vrstve balancovat v openvpn napr. s tym ze by si videl jeden tun interface ale posielal by kazdy paket round robinom po danych ipckach na 1 cielovu a ta by uz vedela co s tym, ale to som uz odbehol od temy daleko asi

000001010006354000063542010984810110944301137310011375670113759501139070011391090113921301139557
maniac
 maniac      24.09.2004 - 10:17:14 , level: 7, UP   NEW
mohol by si o tomto spravit samostatny prispevok v tomto fore, na ciscu sa to robi cez ppp multilink - t.j. vsetky packety sa sekaju na mensie a potom aj tcp konekt moze ist po viacerich linkach. pripadne este per-packet load balancing na ciscu.

zbezne som na googli nasiel zopar liniek evnujucim sa tomuto na linuxe

00000101000635400006354201098481011094430113731001137567011375950113907001139109011392130113955701142776
juraj
 juraj      26.09.2004 - 00:26:48 , level: 8, UP   NEW
jo, urobim, par ludi sa ma na to uz pytalo

000001010006354000063542010984810110944301111266
Prospero
 Prospero      10.09.2004 - 21:15:49 , level: 1, UP   NEW
ech, nechcem posobit ako blbec ale co sa tym teda vlastne docieli? ;)

00000101000635400006354201098481011094430111126601111756
maniac
 maniac      11.09.2004 - 11:48:47 , level: 2, UP   NEW
ked mas stroj ktory robi moc trafficu, tak aby si bol nenapadnejsi, tak ten traffic rozdelis. sposobom ktory som popisal ho rozdelis na rozne fyzicke interfejsi (tak by monitorovali porty na switchi) a zaroven na rozne ip adresy (ak by monitorovali traffic podla IP adries)

0000010100063540000635420109848101109443011112660111175601131061
lukΔs
 lukΔs      21.09.2004 - 06:57:36 , level: 3, UP   NEW
a nebude sa im zdat divne ze tam pribudli nnew ip adresy?

000001010006354000063542010984810110944301111266011117560113106101131433
maniac
 maniac      21.09.2004 - 11:10:32 , level: 4, UP   NEW
pokial to checkuju tak im to divne bude
pokial tam maju dhcp tak to nebudu riesit
a tie ip mohli byt normalne pridelene na nejaky projekt, alebo konkretne osoby oficialnym sposobom taktiez

00000101000635400006354201098481011094430111126601111623
Rej
 Rej      11.09.2004 - 09:41:55 , level: 2, UP   NEW
rozshapovanie in/out trafficu na viac fyzickych interface/ip adries.
napriklad tyzdenne prenesies na jednom interface 20G, stymto to rozdelis do viacerych int na 10/10 a nieco and tebou (router/gateway) vidi mensi traffic z jedneho interface.