Dark_Angel Опубликовано 1 февраля, 2011 (изменено) · Жалоба Добрый день. Есть необходимость миррорить трафик на линуксовой машине. Миррорить надо именно выборочно ( предполагается iptables ), поэтому весь порт смиррорить на порту коммутатора - не вариант. Читал, что есть неофициальный таргет ROUTE с параметром --tee. Но iptables 1.3.5 у которых он есть в extensions не собирает таргет, потому что у ядра нет к нему модуля. Ядро 2.4.37. Более свежие iptables не имеют этого модуля у себя в extensions. Patch-o-matic-ng который добавляет этот модуль больше не поддерживается netfilter.org а его замена только для ядер 2.6.х Существует ли выход из данной ситуации, кроме замены системы на 2.6.х и сборки этого модуля? Заранее спасибо. Изменено 1 февраля, 2011 пользователем Dark_Angel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 1 февраля, 2011 · Жалоба Мирорить на свиче, потом на свиче или на софтовом бридже пропускать через acl. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dark_Angel Опубликовано 1 февраля, 2011 · Жалоба Мирорить на свитче во-первых не вариант по ряду причин, чтобы не засорять тему их тут не пишу, во-вторых это всегда можно успеть. Интересует именно механизм мирроринга на линуксе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 1 февраля, 2011 · Жалоба бридж в promisc и ebtables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dark_Angel Опубликовано 1 февраля, 2011 · Жалоба Промиск на интерфейсе убъет машину. Неужели нет ничего ядерного чтобы смиррорить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 1 февраля, 2011 · Жалоба в новых 2.6 есть -j TEE в iptables, может с imq/ifb еще можно что сотворить... другой вопрос что археологией не все увлекаются :) может tcpdump + tcpreplay ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dark_Angel Опубликовано 1 февраля, 2011 · Жалоба tcpdump = promisc mode. Я согласен, что ядро древнее, но так уж исторически сложилось и менять его - это дополнительный геморой. Тем более что операция-то простая: взять пакет в той же области mangle и скопировать его куда попросят. В том же архиологическом ядре 2.4.20 хедеры этого модуля есть, а в последнем 2.4 его убрали зачем-то. То есть правильно ли я понимаю, что без промиска и костылей на 2.4 нельзя смиррорить трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 февраля, 2011 · Жалоба Промиск на интерфейсе убъет машину. Неужели нет ничего ядерного чтобы смиррорить? Мне вот очень интересно, как вы представляете себе мост без промиска на сетевухах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 1 февраля, 2011 · Жалоба tcpdump = promisc modeСовсем не обязательно --p Don't put the interface into promiscuous mode. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 1 февраля, 2011 · Жалоба Кстати, о каких потоках трафика идёт речь? Неужто, 10Г ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 1 февраля, 2011 · Жалоба Портируйте значит модуль из 2.4.20 (или в каком там этот модуль еще обитает) в 2.4.37. Возможно, портируется и без особых плясок с бубном. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dark_Angel Опубликовано 2 февраля, 2011 · Жалоба 2Ivan_83: Не вижу проблемы. Зачем пакет в процессоре? Мы его анализировать не собираемся. 2vitalyb: Да, вариант. Отрицательный момент, что будет мирорриться всё. Посмотрю, можно ли без промиска по IP пакеты выцеплять. 2marikoda: порядка гигабита. 2NiTr0: Да я тоже смотрел на этот вариант. Я просто хотел для начала спросить, можно ли без костылей. Думал, может упускаю какой-то нормальный вариант. А оно вон что. Сначала попробую портироваться, а потом уже буду танцевать с tcpdump, раз других вариантов нет. Ну и остается, конечно, переустановка системы еще, как самый вменяемый вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dark_Angel Опубликовано 2 февраля, 2011 (изменено) · Жалоба Удалось портировать модуль. Повезло. Да, ну и конечно же, мейнтейнеры ядра идиоты, раз исключили такой замечательный модуль оттуда. Насколько я вижу, он и в 2.6 добавляется с патчами. Точно такие же идиоты мейнтейнеры iptables. Но у них хоть ссылка на patch-o-matic-ng есть и на том спасибо. Изменено 2 февраля, 2011 пользователем Dark_Angel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 3 февраля, 2011 · Жалоба Dark_Angel и как по производительности? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dark_Angel Опубликовано 3 февраля, 2011 · Жалоба Пока не знаю, сегодня запускаем, до этого катали в виде теста, но учитывая, что это уровень ядра, я думаю будет гипер-быстро. Миррорить надо 100-200 Мбит в пиках. Не думаю, что вообще заметно будет. Увы, профайлер на 2.4 не становится, поэтому можно только сравнивать с тем что было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dark_Angel Опубликовано 4 февраля, 2011 · Жалоба Как и ожидалось - невооруженным взглядом нагрузка не видна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...