forum.lissyara.su

Хотел написать статью, но какая-то пурга получилась.
Не буду выкладывать, закину на форум, может кому пригодится.

Статья является дополнением статьи написанной автором сайта. Возможно, что со временем буду добавлять в статью ещё что-нибудь интересное.
Правило 1:
Каждый транзитный пакет входит на определённый интерфейс и выходит с определённого интерфейса.

Демонстрация:
Есть шлюз на FreeBSD и на нём прописан gateway_enable="YES" в rc.conf
Или через sysctl: net.inet.ip.forwarding=1
fxp0 – Внутренний интерфейс, смотрит в локальную сеть.
rl0 – Внешний, смотрит в инет.
Наш внутренний IP-Адрес 192.168.2.4
Наш внешний IP-Адрес 82.208.77.66

Воспользуемся очень полезной возможностью – записью пакетов в лог.
Добавляем первой строкой фиксирование всех ICMP пакетов:

ipfw add 1 count log icmp from any to any
Действие count не принимает и не отбрасывает, а только увеличивает счётчик. Count log ещё и записывает все пакеты в /var/log/security

и выполняем с нашего компьютера, находящего в сети (192.168.2.4) команду:

Feb 1 12:07:52 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 in via fxp0
Feb 1 12:07:52 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 out via rl0
Feb 1 12:07:52 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 82.208.77.66 in via rl0
Feb 1 12:07:52 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 192.168.2.4 out via fxp0
Feb 1 12:07:53 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 in via fxp0
Feb 1 12:07:53 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 out via rl0
Feb 1 12:07:53 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 82.208.77.66 in via rl0
Feb 1 12:07:53 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 192.168.2.4 out via fxp0
Feb 1 12:07:54 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 in via fxp0
Feb 1 12:07:54 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 out via rl0
Feb 1 12:07:54 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 82.208.77.66 in via rl0
Feb 1 12:07:54 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 192.168.2.4 out via fxp0
Feb 1 12:07:55 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 in via fxp0
Feb 1 12:07:55 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 out via rl0
Feb 1 12:07:55 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 82.208.77.66 in via rl0
Feb 1 12:07:55 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 192.168.2.4 out via fxp0

Посмотрим, что же происходит:

Feb 1 12:07:52 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 in via fxp0

Был посчитан и записан в файл /var/log/security пакет ICMP. С помощью таблицы ТИПОВ-ICMP понимаем, что
ICMP:8.0 это нужный нам тип и код ICMP. А значит, мы отправили Echo request (Эхо-запрос), который был принят на внутреннем интерфейсе fxp0.

Следующая строка говорит нам, что пакет выходит через внешний интерфейс.

Feb 1 12:07:52 ns kernel: ipfw: 1 Count ICMP:8.0 192.168.2.4 81.19.70.1 out via rl0

Тут есть поправка. Адрес отправителя 192.168.2.4 ещё не подвергся обработке NAT (Строка то у нас ПЕРВАЯ. :-) ), позже он преобразовывается и выходит в инет уже нормальный.

Feb 1 12:07:52 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 82.208.77.66 in via rl0
Feb 1 12:07:52 ns kernel: ipfw: 1 Count ICMP:0.0 81.19.70.1 192.168.2.4 out via fxp0

Аналогично, только приходит Echo-Reply (Ответ) от Рамблера.
Короче, логи рулят.:-) Как всегда.
Если вы не можете понять, что пришло, что ушло, что-то не работает, включайте log или пользуйтесь TCPDUMP’ом. Возможно, что файрвол где-то убивает входящий/исходящий пакет.

А так ли уж нужен этот Check-State?

net.inet.ip.fw.dyn_keepalive - булева переменная. Заставляет генерировать "поддерживающие" пакеты (keep-alive) для tcp-соединений, обрабатываемых динамическими правилами keep-state. Установка в 1 понижает вероятность прерывания tcp-соединения по таймауту, но генерирует лишний трафик. Значение по умолчанию – 1
Взято тут
Здесь тоже неплохо написано

На поддержание соединений нужно какое-то количество трафика? Так ли это, и сколько именно?
Два компьютера HOST1 и HOST2 помогут нам в этом.
Создаём файл размером 100 Мб. ТЕСТ 1:
Правим файрвол: Из теста видно, что количество отправленных пакетов HOST1=количеству принятых HOST2. Так же видно входящий трафик этой операции. (1,35 Мб.) Не так много, но для тех, кто считает, что отправка данных не имеет входящего трафика, будет рад это видеть.

ТЕСТ 2:
Изменяем файрвол: Запускал эту операцию несколько раз, данные HOST2 всегда одинаковые в обоих тестах.
По HOST1 смотрите сами, входящий трафик остался примерно на том же уровне, но количество отправленных пакетов увеличилось с 71826 до 107365. Трафик тоже увеличился, но не так сильно, с 107730648 до 109152216 байт. (Незначительно изменяются данные на HOST1, если запускать эту операцию несколько раз.)
Видно реализация keep-state(check-state) так работает, раз уж пакеты отправляются с HOST1, но не приходят на HOST2.

Пробовал тестировать с помощью ab: Результаты те же. Трафик почти одинаковый.
Сделал вывод, что время имеет значение. Нельзя с помощью быстрых тестов узнать ответ на основной вопрос. ( На поддержание соединений нужно какое-то количество трафика? Так ли это, и сколько именно?)

Решил подключить сетевой диск через mount_smbfs и посмотреть ровно через 1 час количество трафика:
Изменил файрвол на хостах и добавил в cron Подключение/Отключение:
В момент работы динамическое правило выглядит так:

## Dynamic rules (2):
00005 15 1219 (218s) STATE tcp HOST1 60937 <-> HOST2 139

Изменяем файрвол: Сколько отправил HOST1, столько и получил HOST2. Есть расхождение в трафике, но несущественное.
Тот же тест, с keep-state Вобщем нифига не выяснил ответ на собственный же вопрос.
Есть идеи как вычислить?

P.S. Сложилось мнение, что трафик действительно незначительный, но если у Вас 100 компов с запущенными ICQ к примеру, то это выливается в круглую сумму, особенно в месяц.

1 мегабайт на юзера в месяц.
я считал на прошлой работе...

Да я не о самой ICQ, я о keep-state.
У меня в одном офисе при расходе трафика около 1GB расхождение получалось 30-50Mb в месяц. После отключения Keep-state всё стало в норму. Вот и хотел каким-нибудь тестом найти.
Ведь не секрет, что ICQ, для поддержания соединений, отправляет 60 байт каждую минуту.
А в случае, если ещё к ним будет добавляться keep-state должно быть больше.
Вобщем забил я на keep-state. Буду думать что-нибудь новое.

вообще не знаю, но если стоит полная аська которая крутит рекламу, то тут 60 байтами не обойдётся, за 12 часов простоя - набежало 16 метров, так что имеет смысл полную аську не ставить!

на qip переходить надо ... или я не прав ?
поделитесь опытом, кто что юзает в качестве "корпоративной аськи"

миранда

QIP 2005 Bild 8010

локальной аськи нет чтоль?

lissyara писал(а):локальной аськи нет чтоль?

есть, iserverd юзаю. Но может кто нить посоветует кието варианты (с посгресом пока не особо) ?

я wildfire использую. Щас он уже в портах есть

Может опишешь установку wildfire а

а чё там ставить-то?
=======
реально - установка проще некуда.
========
Взял бы да сам описаЛ:)))

Лана лана надо просто поковырять и поставить

Взял бы да сам описаЛ))

а потом может что накатаю
Да к нему какой клиент приятнее на маздае?
лично ты какой импользуешь?
Базу внутреннюю или внешнюю используешь?

база у меня MySQL, клиент - под виндой юзал спарк - ихний клиент, щас копете

Raven2000 писал(а):QIP 2005 Bild 8010

Аналогично.

плиз squid.conf в студию!

Парень заблудился. :-)

dikens3 писал(а):Парень заблудился. :-)

точняк)))
не))) а фигле..в фф открыто чот штук 40 вкладок.. половина с лиссяриного ресурса... вот пальцы и заблудились!!!
соре за офтоп