LINUX.ORG.RU

Маршрутизатор


1

2

Здравствуйте, уважаемые Гуру, помогите пожалуйста советом, может кто уже сталкивался...

Необходимо собрать сервер-фильтр трафика на Linux... Данные по сети: 4х1gb канала

Задачи: 1) агрегация в 1 канал 2) Фильтрация трафика iptables 3) Чисты трафик отдается дальше на свитч который уже распределяет по железкам...

Реально ли это сделать на Linux без потери качества? По-сути главное из-за чего это необходимо - фильтрация трафика по содержимому через iptables, либо стоит рассматривать вариант покупки отдельной железки-коммутатора ? Существуют ли подобные с фильтрацией трафика по-содержимому пакета?

Спасибо


Реально ли это сделать на Linux без потери качества?

качества?

anonymous
()
Ответ на: комментарий от anonymous

Ну и непонятно что имеется под агрегацией в 1 канал

kombrig ★★★
()
Ответ на: комментарий от steemandlinux

Спасибо за ответы... К сожалению я в этом, как вы поняли уже, плохо разбираюсь...

Агрегировать каналы : объединение сетевых интерфейсов... (bounding)

Без потери качества: имел ввиду без потерь пакетов, тормазов и тд...

фильтровать L7 4гбита - это должна быть серьезная железка.

Да, я понимаю, по этому очень интересно что может справится с этим... (в будущем будет 10гбит)

Железа ещё нет, по этому хотел заранее спросить реально ли сделать подобное на linux ? т.е. собрать сервер который справится с чисткой канала в 10гбит (какой лучше брать проц, сетевые и тд) Если сервер загнется от подобной задачи, может кто посоветует как её можно решить?

Amazik
() автор топика
Ответ на: комментарий от Amazik

Нормальных opensource решений к сожалению нет в природе. Поэтому либо пилить opendpi-netfilter под ndpi, либо покупать nProbe и Intel DNA Driver.

steemandlinux ★★★★★
()
Ответ на: комментарий от steemandlinux

А использование модуля string и всякие hashlimit в iptables на 10гбит убьет любой сервер? Либо это реально фильтровать с помощью подобных модулей iptablesа, а чистый трафик пускать дальше?

Amazik
() автор топика
Ответ на: комментарий от steemandlinux

почему никто не вспоминает про layer7 ? В openwrt он давно испольуется. С шифрованными соединениями он не дружит, а остальное распознает вполне прилично.

vel ★★★★★
()
Ответ на: комментарий от steemandlinux

Вероятно я не совсем правильно выразился... Мне не нужно определять тип трафика, мне необходимо просто чистить входящий трафик 10gbit (iptables для этого подошел бы, модуль string и тд) т.е. просто отбрасывать лишний и передавать дальше ... Что то вроде моста между главным маршрутизатором в ДЦ и другими серверами... Сомнение у меня в том что если использовать возможности iptables на максимум hashlimit, string и тд под трафиком в 10gbit сервер может просто умереть... а если это реально, то какой процессор и тд сможет это вытянуть?

Amazik
() автор топика
Ответ на: комментарий от steemandlinux

В смысле, мертвое ? Что на сайте давно нет изменений?

Дык оно работает, к керненльному коду претензий нет ( в openwrt есть патчи ко всем ядрам включая 3.10). Стандартно 114 протоколов якобы распознает.

Я давно пытался воспользоваться opendpi ( когда они на opendpi.org) переехали, дык кернельная часть была падучая ( в отличии от L7 на тот момент).

Есть ли где рецепт сборки opendpi ? Патченье ядра/iptables меня не пугает :)

vel ★★★★★
()

Что вы понимаете под фильтрованием и чисткой трафика? Какое, в частности, содержимое нужно отбрасывать/пропускать?

TOXA ★★
()
Ответ на: комментарий от vel

Спасибо всем за ответы... Уважаемые Гуру, а подскажите пожалуйста на ваш взгляд самый правильный способ реализовать схему: маршрутизатор ДЦ -> сервер фильтрации трафика -> Свитч ->остальные сервера, причем чтобы на серверах был реальный внешний адрес... ? Вопрос касается настройки «сервера фильтрации трафика», через что лучше сделать? Каким образом лучше пропускать трафик чтобы было меньше накладных расходов? Может кто уже делал подобное? Спасибо

Amazik
() автор топика
Ответ на: комментарий от TOXA

Например, не больше 3 пакетов размера 50 в секунду и т.д.

Amazik
() автор топика
Ответ на: комментарий от steemandlinux

При помощи напильников удалось собрать и запустить ndpi-netfilter(https://github.com/ewildgoose/ndpi-netfilter.git)+nDPI-1.4.0
на ядре 3.10.10 c iptables-1.4.19.1

Если за пару суток не упадет и не уронит систему, то можно будет использовать как альтернативу L7.
Есть возможность потестить на <300Mbit/s потоке.

vel ★★★★★
()

При помощи напильников удалось собрать и запустить ndpi-netfilter(https://github.com/ewildgoose/ndpi-netfilter.git)+nDPI-1.4.0 на ядре 3.10.10 c iptables-1.4.19.1

Если за пару суток не упадет и не уронит систему, то можно будет использовать как альтернативу L7. Есть возможность потестить на <300Mbit/s потоке.

Выложи подробную инструкцию. Интересно, как у тнбя получилосьего запустить

ne-vlezay ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.