tc filter … protocol 802.1q … u32 та фільтрування VLAN трафіку

Викладене нижче перевірялося для 2.6.26 та 2.6.32. Обережно, у 2.6.31, ніби, є нюанси. Зауважу, що я не дивився у cls_u32.c тощо — і можу капітально помилятися .) Отже, спершу трохи про «логіку фільтрування»: Коли ми пишемо tc filter … protocol <proto> u32 match u<length> <value> <mask> … Continue readingtc filter … protocol 802.1q … u32 та фільтрування VLAN трафіку

Django-based HTB shaper configurator

I’ve decided to make it available after some nice people asked for this. Now i have no time and, let’s say, health to make it better, so please don’t complain :-) I guess it maybe would be better to make it available somewhere at code.google.com — … Continue readingDjango-based HTB shaper configurator

Шейпер як ефективний файрвол

Шейпер із використанням хеш-таблиць може досить ефективно захищати клієнта від атак; ось дивіться. Зараз наш конфігуратор шейпера генерує, скажімо, такий скрипт для певного клієнта (фрагмент): # # Contract I-1082, # connection 606 (0x25e). # # input: /sbin/tc class add dev clients0 classid 1:25e parent 1:fe10 … Continue readingШейпер як ефективний файрвол

REORDER_HDR, знову і знову

Якщо ви хочете під лінуксом створити vlan інтерфейс, а під ним створити ще один влан інтерфейс (а під ним іще, іще…), якщо ви при цьому хочете, щоб у вас щось пінгалося — не забувайте «скидати» REORDER_HDR у нуль: ip link set up dev eth2   vconfig … Continue readingREORDER_HDR, знову і знову

Конфігуратор HTB шейпера

*subj* :-) Давно було зрозуміло, що без нормального конфігуратора керувати нормальним шейпером «важкувато», але… все ускладнювала одна обставина — я не програміст (тм). Чим мене не влаштовують наявні інструменти? По-перше, всі знайдені вирішують трохи інші задачі, простіші; зокрема, я так і не знайшов конфігуратора для «свого … Continue readingКонфігуратор HTB шейпера

HTB/8021q: Це була моя помилка

Щодо проблеми із HTB шейпером 802.1Q трафіка на linux bridge — це була моя помилка :-) Я спитав у community@lists.altlinux.org, мене напоумив Sergey Vlasov — дуже дякую!-) Як сказав Сергій, «передача пакетов в модуль bridge выполняется раньше, чем обработка модулем 8021q». Через це класифікатор просто відкидає пакет … Continue readingHTB/8021q: Це була моя помилка

Проблема з HTB шейпером 802.1Q трафіка на linux bridge

Увага: жодних проблем з vlan у класифікатора немає, то була моя помилка. Експериментував і на трапив на таку проблему: не спрацьовує u32 classifier для «міченого» трафіка на лінукс-комутаторі. Детальніше: Полігон для тестування: Маємо три лінукси. На одному з них (SW) робимо двопортовий комутатор, на інших … Continue readingПроблема з HTB шейпером 802.1Q трафіка на linux bridge

Використання модуля SPARK

Я виклав — дооформив і допереклав (писав її одразу англійською) — свою «колишню» статтю про використання пітонівського модуля SPARK для компіляції «малих мов» і генерування коду на прикладі сканування, парсигу і синтаксичного аналізу простого файла конфігурації шейпера HTB та генерування коду (скрипта shell). Поклав її як статичну … Continue readingВикористання модуля SPARK