LINUX.ORG.RU

Маршрутизатор


1

2

Здравствуйте, уважаемые Гуру, помогите пожалуйста советом, может кто уже сталкивался...

Необходимо собрать сервер-фильтр трафика на Linux... Данные по сети: 4х1gb канала

Задачи: 1) агрегация в 1 канал 2) Фильтрация трафика iptables 3) Чисты трафик отдается дальше на свитч который уже распределяет по железкам...

Реально ли это сделать на Linux без потери качества? По-сути главное из-за чего это необходимо - фильтрация трафика по содержимому через iptables, либо стоит рассматривать вариант покупки отдельной железки-коммутатора ? Существуют ли подобные с фильтрацией трафика по-содержимому пакета?

Спасибо

Реально ли это сделать на Linux без потери качества?

качества?

anonymous ()
Ответ на: комментарий от anonymous

Ну и непонятно что имеется под агрегацией в 1 канал

kombrig ★★★ ()
Ответ на: комментарий от steemandlinux

Спасибо за ответы... К сожалению я в этом, как вы поняли уже, плохо разбираюсь...

Агрегировать каналы : объединение сетевых интерфейсов... (bounding)

Без потери качества: имел ввиду без потерь пакетов, тормазов и тд...

фильтровать L7 4гбита - это должна быть серьезная железка.

Да, я понимаю, по этому очень интересно что может справится с этим... (в будущем будет 10гбит)

Железа ещё нет, по этому хотел заранее спросить реально ли сделать подобное на linux ? т.е. собрать сервер который справится с чисткой канала в 10гбит (какой лучше брать проц, сетевые и тд) Если сервер загнется от подобной задачи, может кто посоветует как её можно решить?

Amazik ()
Ответ на: комментарий от Amazik

Нормальных opensource решений к сожалению нет в природе. Поэтому либо пилить opendpi-netfilter под ndpi, либо покупать nProbe и Intel DNA Driver.

steemandlinux ★★★★★ ()
Ответ на: комментарий от steemandlinux

А использование модуля string и всякие hashlimit в iptables на 10гбит убьет любой сервер? Либо это реально фильтровать с помощью подобных модулей iptablesа, а чистый трафик пускать дальше?

Amazik ()
Ответ на: комментарий от steemandlinux

почему никто не вспоминает про layer7 ? В openwrt он давно испольуется. С шифрованными соединениями он не дружит, а остальное распознает вполне прилично.

vel ★★★★★ ()
Ответ на: комментарий от steemandlinux

Вероятно я не совсем правильно выразился... Мне не нужно определять тип трафика, мне необходимо просто чистить входящий трафик 10gbit (iptables для этого подошел бы, модуль string и тд) т.е. просто отбрасывать лишний и передавать дальше ... Что то вроде моста между главным маршрутизатором в ДЦ и другими серверами... Сомнение у меня в том что если использовать возможности iptables на максимум hashlimit, string и тд под трафиком в 10gbit сервер может просто умереть... а если это реально, то какой процессор и тд сможет это вытянуть?

Amazik ()
Ответ на: комментарий от steemandlinux

В смысле, мертвое ? Что на сайте давно нет изменений?

Дык оно работает, к керненльному коду претензий нет ( в openwrt есть патчи ко всем ядрам включая 3.10). Стандартно 114 протоколов якобы распознает.

Я давно пытался воспользоваться opendpi ( когда они на opendpi.org) переехали, дык кернельная часть была падучая ( в отличии от L7 на тот момент).

Есть ли где рецепт сборки opendpi ? Патченье ядра/iptables меня не пугает :)

vel ★★★★★ ()

Что вы понимаете под фильтрованием и чисткой трафика? Какое, в частности, содержимое нужно отбрасывать/пропускать?

TOXA ★★ ()
Ответ на: комментарий от vel

Спасибо всем за ответы... Уважаемые Гуру, а подскажите пожалуйста на ваш взгляд самый правильный способ реализовать схему: маршрутизатор ДЦ -> сервер фильтрации трафика -> Свитч ->остальные сервера, причем чтобы на серверах был реальный внешний адрес... ? Вопрос касается настройки «сервера фильтрации трафика», через что лучше сделать? Каким образом лучше пропускать трафик чтобы было меньше накладных расходов? Может кто уже делал подобное? Спасибо

Amazik ()
Ответ на: комментарий от TOXA

Например, не больше 3 пакетов размера 50 в секунду и т.д.

Amazik ()
Ответ на: комментарий от steemandlinux

При помощи напильников удалось собрать и запустить ndpi-netfilter(https://github.com/ewildgoose/ndpi-netfilter.git)+nDPI-1.4.0
на ядре 3.10.10 c iptables-1.4.19.1

Если за пару суток не упадет и не уронит систему, то можно будет использовать как альтернативу L7.
Есть возможность потестить на <300Mbit/s потоке.

vel ★★★★★ ()

При помощи напильников удалось собрать и запустить ndpi-netfilter(https://github.com/ewildgoose/ndpi-netfilter.git)+nDPI-1.4.0 на ядре 3.10.10 c iptables-1.4.19.1

Если за пару суток не упадет и не уронит систему, то можно будет использовать как альтернативу L7. Есть возможность потестить на <300Mbit/s потоке.

Выложи подробную инструкцию. Интересно, как у тнбя получилосьего запустить

ne-vlezay ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.