abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 05:55 | Komunita

Dries Buytaert, autor a vedoucí projektu Drupal a prezident Drupal Association, požádal soukromě před několika týdny Larryho Garfielda, jednoho z klíčových vývojářů Drupalu, aby projekt Drupal opustil. Larry Garfield minulý týden na svých stránkách napsal, že důvodem jsou jeho BDSM praktiky a rozpoutal tím bouřlivou diskusi. Na druhý den reagoval Dries Buytaert i Drupal Association. Pokračuje Larry Garfield [reddit].

Ladislav Hagara | Komentářů: 0
dnes 04:44 | Humor

Společnost SAS zveřejnila na svých stránkách studii s názvem Open Source vs Proprietary: What organisations need to know (pdf). Organizace by měly například vědět, že ideální je mix 40 % open source softwaru a 60 % proprietárního softwaru [Slashdot].

Ladislav Hagara | Komentářů: 0
včera 23:33 | Zajímavý software

Byl vydán ShellCheck ve verzi 0.4.6. Jedná se o nástroj pro statickou analýzu shellových skriptů. Shellové skripty lze analyzovat na webové stránce ShellChecku, v terminálu nebo přímo z textových editorů. Příklady kódů, na které analýza upozorňuje a doporučuje je přepsat. ShellCheck je naprogramován v programovacím jazyce Haskell. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3.

Ladislav Hagara | Komentářů: 0
včera 23:33 | Pozvánky

Czech JBoss User Group zve na setkání JBUG v Brně, které se koná ve středu 5. dubna 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Pavol Loffay na téma Distributed Tracing and OpenTracing in Microservice Architecture.

… více »
mjedlick | Komentářů: 0
včera 11:33 | Zajímavý článek

Národní centrum kybernetické bezpečnosti (NCKB) vypracovalo (pdf) 26 podrobných bezpečnostních doporučení pro síťové správce. Tato doporučení jsou nastavena tak, aby je bylo možné aplikovat v každé instituci. Jsou rozdělena na tři základní části: bezpečnost infrastruktury, bezpečnost stanic a serverů a bezpečnost uživatelů.

Ladislav Hagara | Komentářů: 10
včera 05:55 | Komunita

Prezident Nadace pro svobodný software (FSF) Richard M. Stallman vyhlásil na slavnostním ceremoniálu v rámci konference LibrePlanet 2017 vítěze Free Software Awards za rok 2016. Ocenění za společenský přínos získal SecureDrop (Wikipedie). Za rozvoj svobodného softwaru byl oceněn Alexandre Oliva (Wikipedie).

Ladislav Hagara | Komentářů: 0
včera 04:44 | Nová verze

Byla vydána verze 0.7.0 debugovacího nástroje cgdb. Mezi novinky patří například zvýrazňování syntaxe jazyka Rust. Podrobnosti v poznámkách o vydání.

Neel | Komentářů: 0
25.3. 22:00 | Komunita

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil (podcast) detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 64 tisíc vývojářů. Jejich nejmilovanější platformou je linuxový desktop. Ten je také druhou nejpoužívanější platformou vývojářů.

Ladislav Hagara | Komentářů: 7
24.3. 11:55 | Komunita

Vývojový tým OpenSSL ve spolupráci s iniciativou Core Infrastructure konsorcia Linux Foundation spustil proces přelicencování této kryptografické knihovny ze současné licence na licenci Apache Licence v 2.0 (ASLv2). Nová licence usnadní začleňování OpenSSL do dalších svobodných a open source projektů. Všichni dosavadní vývojáři OpenSSL (Authors) obdrží v následujících dnech email s prosbou o souhlas se změnou licence.

Ladislav Hagara | Komentářů: 32
24.3. 01:11 | Komunita

Před třemi týdny Mozilla.cz představila projekt Photon, jehož cílem je návrh a implementace nového vzhledu Firefoxu. Včera zveřejnila první náhled vzhledu Photon. Práce na projektu Photon jsou rozděleny do pěti týmů, které celkem čítají 19 lidí. Zaměřují se na zlepšení prvního spuštění Firefoxu a zaujetí nových uživatelů, celkovou úpravu vzhledu, zlepšení animací, zrychlení odezvy uživatelského rozhraní a také upravení nabídek. Vývoj lze sledovat v Bugzille.

Ladislav Hagara | Komentářů: 51
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 947 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: rozdeleni provozu podle portu

    houska avatar 14.5.2009 18:43 houska | skóre: 41 | blog: HW
    rozdeleni provozu podle portu
    Přečteno: 873×
    Zdravím,

    mám dvě připojení a potřebuji aby každé ze dvou navázaných spojení šlo přes jiného ISP.

    Našel jsem šikovný návod jak toho dosáhnout.
    Označkoval jsem si tedy pakety s cílovým portem 60353 a 60354 značkou 100 resp. 101:

    debian:~# iptables -L -t mangle
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination
    MARK       udp  --  anywhere             anywhere            udp dpt:60353 MARK xset 0x64/0xffffffff
    MARK       udp  --  anywhere             anywhere            udp dpt:60354 MARK xset 0x65/0xffffffff
    MARK       tcp  --  anywhere             anywhere            tcp dpt:60353 MARK xset 0x64/0xffffffff
    MARK       tcp  --  anywhere             anywhere            tcp dpt:60354 MARK xset 0x65/0xffffffff
    

    Vytvořil jsem si dvě routovací tabulky podle defaultní brány a udělal pravidlo které pošle označkované pakety na příslušnou bránu:

    debian:~# ip route ls table cdma
    default via 10.160.3.42 dev ppp1
    debian:~# ip route ls table umts
    default via 10.6.6.6 dev ppp0
    debian:~#
    debian:~# ip rule ls
    0:      from all lookup local
    32764:  from all fwmark 0x65 lookup cdma
    32765:  from all fwmark 0x64 lookup umts
    32766:  from all lookup main
    32767:  from all lookup default
    debian:~#
    

    Problém je, že když smažu defaultní routu z hlavní routovací tabulky, tak spojení vůbec nenavážu. Např. tcptraceroute píše "Network is unreachable".
    Poradí někdo? Díky

    Odpovědi

    houska avatar 15.5.2009 08:24 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    ten návod samozřejmě není na OpenDNS, ale zde
    15.5.2009 12:48 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu

    Smazat default route z tabulky main není moc dobrý nápad, protože potom neoznačkované pakety nebude možné směrovat vůbec. Pochybuji, že byste veškerý provoz chtěl posílat výhradně jen na ty dva (resp. čtyři) porty, co třeba DNS dotazy?

    Ještě jeden nápad: nezkoušel jste to spojení navazovat ze svého počítače? Pak by byl problém v tom, že lokálně generované pakety neprocházejí řetězcem PREROUTING.

    houska avatar 15.5.2009 13:34 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Smazat default route z tabulky main není moc dobrý nápad, protože potom neoznačkované pakety nebude možné směrovat vůbec. To co jsem popsal jsem si chystal pro provoz dvou OpenVPN tunelů, na které pak pustím bonding a budu veškerý provoz routovat přes obě zbondovaná rozhraní na server.

    A proč to dělám?
    Potřebuju "spojit" dvě pomalá internetová spojení do jednoho rychlejšího.

    houska avatar 15.5.2009 13:40 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Ještě jeden nápad: nezkoušel jste to spojení navazovat ze svého počítače? Pak by byl problém v tom, že lokálně generované pakety neprocházejí řetězcem PREROUTING.

    To bohužel nepůjde, jde o počítač bez veřejné adresy. ... ještě mě napadlo že by to mohla dělat cache routovaci tabulky

    15.5.2009 14:06 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    To bohužel nepůjde, jde o počítač bez veřejné adresy

    Jak to souvisí s tím, na co reagujete?

    houska avatar 15.5.2009 14:22 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Ta moje reakce byla jen na první část - tzn. spojení můžu navazovat jen jedním směrem.

    Jestli lokálně generované lokálně neprocházejí chainem PREROUTING tak se nemůžou označkovat a tudíž nepůjdou na správnou bránu - to by to celé vysvětlovalo.
    Budu to moct vyzkoušet až večer, tak jsem zvědav.

    houska avatar 15.5.2009 17:59 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    ...lokálně generované pakety neprocházejí řetězcem PREROUTING.

    Zkusil jsem si oznacit pakety v retezci OUTPUT:

    debian:/home/houska# iptables -t mangle -L
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination
    
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    MARK       udp  --  anywhere             anywhere            udp dpt:60353 MARK xset 0x64/0xffffffff
    MARK       udp  --  anywhere             anywhere            udp dpt:60354 MARK xset 0x65/0xffffffff
    MARK       tcp  --  anywhere             anywhere            tcp dpt:60353 MARK xset 0x64/0xffffffff
    MARK       tcp  --  anywhere             anywhere            tcp dpt:60354 MARK xset 0x65/0xffffffff
    
    routovaci tabulky mam dve a pravidlo mam taky nastavene:
    debian:/home/houska# ip route ls table cdma
    default via 10.160.3.42 dev ppp1
    debian:/home/houska# ip route ls table umts
    default via 10.6.6.6 dev ppp0
    debian:/home/houska#
    debian:/home/houska# ip rule ls
    0:      from all lookup local
    32764:  from all fwmark 0x65 lookup cdma
    32765:  from all fwmark 0x64 lookup umts
    32766:  from all lookup main
    32767:  from all lookup default
    debian:/home/houska#
    
    V hlavni routovaci tabulce defaultni routu nemam. OpenVPN i tcptraceroute (oboje zkousene na stejnem portu), hlasi shodne:
    debian:/home/houska# tcptraceroute 62.84.145.5 60354
    connect: Network is unreachable
    debian:/home/houska# 
    debian:/home/houska# grep unreachable /etc/openvpn/client1-pri.log  | tail -n3
    Fri May 15 17:48:11 2009 write UDPv4 []: Network is unreachable (code=101)
    Fri May 15 17:48:13 2009 write UDPv4 []: Network is unreachable (code=101)
    Fri May 15 17:48:16 2009 write UDPv4 []: Network is unreachable (code=101)
    debian:/home/houska# 
    
    
    

    15.5.2009 21:44 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Označkování v chainu OUTPUT v tomto případě bohužel nepomůže, protože tím paket prochází až poté, co se rozhodne o jeho směrování (jinak bychom nemohli znát odchozí rozhraní). Jako náhražku by v tomto případě mělo být možné použít akci ROUTE netfilteru.
    houska avatar 16.5.2009 13:39 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Jako náhražku by v tomto případě mělo být možné použít akci ROUTE netfilteru.

    To jste mě moc nepotěšil ... ze zdrojáků debianu byla podpora z netfiltru odstraněná na podzim 07 :( vrrr

    Každopádně díky moc za pomoc.

    houska avatar 17.5.2009 17:21 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Pro info:

    Nasel jsem patch-o-matic, ktery je bohuzel dlouho neudrzovany.

    Pak jsem objevil xtables-addons a nebo zde, ktery se tvari jako nastupce P-O-M a je docela cerstvy a udrzovany. Bohuzel zatim nepodporuje -j ROUTE. Nedalo mi to a napsal jsem do konference zda se tato podpora chysta.

    Vyvojar xtables-addons mi odpovedel ze po omarkovani je paket znovu routovan ... coz odporuje me zkusenosti.

    ... tak uvidime
    18.5.2009 08:30 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Vyvojar xtables-addons mi odpovedel ze po omarkovani je paket znovu routovan ... coz odporuje me zkusenosti.

    Takhle to určitě funguje, pokud dojde ke změně cílové adresy v nat.OUTPUT (jinak by celý ten řetězec neměl smysl). Některé zdroje tvrdí, že se totéž děje i při změně značky v mangle.OUTPUT, ale když jsem to kdysi zkoušel, nechovalo se to tak. Jestli budu mít čas, zkusím se na to podívat ještě jednou.

    Ještě poznámka k tomu, co jste psal dříve: pokud by problém způsobovala směrovací cache, mělo by stačit ji vyprázdnit (ip route flush cache).

    houska avatar 18.5.2009 08:41 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Jestli budu mít čas, zkusím se na to podívat ještě jednou.

    Díky

    houska avatar 26.5.2009 10:43 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Některé zdroje tvrdí, že se totéž děje i při změně značky v mangle.OUTPUT

    podle tohoto obrázku by se tak dít mělo

    poradíte mi jak to ozkoušet?

    26.5.2009 21:51 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Příloha:

    Tak jsem to právě vyzkoušel a zdá se, že to tak opravdu funguje. Použil jsem topologii podle obrázku v příloze. Na routeru 83 je v tabulce main pro síť 10.0.23.0/24 směrování přes gateway 10.0.11.84. Když přidám

    ip route add 10.0.23.0/24 via 10.0.10.85 table 100
    ip rule add priority 1000 fwmark 1 lookup 100
    iptables -t mangle -A PREROUTING -m length --length 0:500 -j MARK --set-mark 1
    

    a zkusím se podívat, jak chodí pakety z 10.0.21.82 na 10.0.23.88, tak podle očekávání "dlouhé" chodí dál přes 84, ale "krátké" přes 85. To se ale týká pouze paketů z 10.0.21.0/24, lokálně generované (tj. ping přímo z 83) podle očekávání dál chodí všechny přes 84. Jakmile jsem ale přidal stejné pravidlo i do chainu OUTPUT:

    iptables -t mangle -A OUTPUT -m length --length 0:500 -j MARK --set-mark 1
    

    začaly se i lokálně generované pakety (z 83) rozdělovat mezi obě trasy podle délky.

    Vyvodil jsem z toho poučení, že aby člověk nebyl za blbce, je dobré čas od času vyzkoušet, jestli to, o čem už léta tvrdí že nefunguje, náhodou mezitím fungovat nezačalo.

    houska avatar 27.5.2009 18:20 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu

    Moc děkuju, fakt to funguje.
    S vaší pomocí jsem to podle délky taky dovedl rozběhat.

    Ještě se v tom zkusim povrtat a pak napíšu nějaký zápis do blogu. Zatim nevim co jsem dělal špatně.
    U ip rule jsem nepoužíval prioritu a místo lookup jsem měl table ...

    Ještě jednou díky. Máte u mě pivo, čokoládu nebo tak něco, dle vašeho výběru.
    Jste pořád v Sot-ftroniku?

    27.5.2009 19:05 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    U ip rule jsem nepoužíval prioritu a místo lookup jsem měl table

    To by nemělo vadit. Klíčová slova lookup a table jsou synonyma a pokud se nespecifikuje priorita, přiřadí se automaticky a stejně bude mezi 0 (kterou má pravidlo, které všechno zkouší vyhledat v local) a 32766 (kterou má pravidlo, které všechno zkouší vyhledat v main).

    Jste pořád v Sot-ftroniku?

    V tom smyslu, že pro ně dělám lektora, ano. Zaměstnanec ale nejsem (ani jsem nikdy nebyl).

    houska avatar 27.5.2009 20:50 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Zatim nevim co jsem dělal špatně.

    Zjistil jsem ze kdyz to mam rozbehane a odstranim z hlavni routovaci defaultni routu tak to zase zacne rvat Network is unreachable

    18.5.2009 06:57 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    A co je v té hlavní routovací tabulce? Zkoušel jste strace/tcpdump? To by mohlo napovědět kam se to snaží posílat pakety a proč to nejde.
    In Ada the typical infinite loop would normally be terminated by detonation.
    18.5.2009 08:25 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Hlášení Network is unreachable znamená, že se je nesnaží posílat nikam, protože neví kam.
    18.5.2009 16:54 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Někam se něco poslat musí snažit, jinak by mu to nemohlo říct, že to poslat nemůže :-) v strace bude určitě ten syscall vidět...
    In Ada the typical infinite loop would normally be terminated by detonation.
    18.5.2009 17:12 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    Jistě, ale tohle tazatele nezajímá, protože on samozřejmě ví, na jakou adresu a port zkoušel navázat spojení. Jeho zajímá, jak na základě toho určí router odchozí interface a první hop. Nebo ještě přesněji: testuje, jestli to opravdu dělá tak, jak se ho snažil přesvědčit, aby to dělal (a zjišťuje že ne). V tom mu strace nepomůže.
    houska avatar 18.5.2009 08:45 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: rozdeleni provozu podle portu
    V hlavní routovací tabulce je jen routa:
    debian:/home/houska# ip route ls
    10.160.3.42 dev ppp0  proto kernel scope link   src 10.162.62.199
    debian:/home/houska#
    

    Podrobnosti v mailkonferenci netfiltru.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.