1. Fórum Root.cz
  2. Profil vecino
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - vecino

Stran: [1] 2
1
Sítě / Re:Netfilter's flowtable
« kdy: 20. 09. 2023, 18:28:34 »
Citace
To jsem neřešil. Ale mám na tom routeru řízení rychlostí pomocí htb + tc a funguje to i s offloadingem. Tj. přes forward nebo přes flowtable, pořád to řídí správně.
Nicméně, já používám hashing filtry.

Prosím tě @rmrf - zkouším použít tc + hashing filtry jak jsi tu psal viz. výše. Chci se tě zeptat - funguje ti to i s NATem?

Díky

2
Sítě / Re:Netfilter's flowtable
« kdy: 18. 09. 2023, 20:28:51 »
TP-Link Archer C6 v3.2 + OpenWrt s HW_OFFLOAD:

Kód: [Vybrat]
[UPDATE] tcp      6 120 TIME_WAIT src=10.11.12.13 dst=104.**.**.124 sport=50616 dport=443 src=104.**.**.124 dst=10.**.**.39 sport=443 dport=50616 [HW_OFFLOAD]
[UPDATE] tcp      6 120 FIN_WAIT src=10.11.12.13 dst=77.**.79.90 sport=57672 dport=110 src=77.**.79.90 dst=10.**.**.39 sport=110 dport=57672 [HW_OFFLOAD]
...

3
Sítě / Re:Netfilter's flowtable
« kdy: 18. 09. 2023, 18:56:14 »
Není to můj web - poslal jsem to jen jako příklad co jsem pogooglil pro názornost.  :)

ad OpenWrt) Je potřeba MediaTek MT7621A



MediaTek MT7621A:
https://www.mediatek.com/products/home-networking/mt7621

Ale díky za tip mám u pár známých TP-Link Archer C6 v3.2 a ten ho má. Tak jim to zkusím zapnout.

4
Sítě / Re:Netfilter's flowtable
« kdy: 18. 09. 2023, 16:58:34 »
Jj to je ono - používal jsem dříve.

Mrkni třeba na: https://walda.starhill.org/pocitace/nftables/ na mapy:

Kód: [Vybrat]
# mapy shaperu pro download lokalniIP:tcclass
add map MANGLE map_DOWNLOAD { type ipv4_addr: classid\; }

 # mapy shaperu pro upload lokalniIP:tcclass
add map MANGLE map_UPLOAD { type ipv4_addr: classid\; }
Citace
Původní firewall s iptables měl 3600 pravidel pro DNAT, SNAT a značkování paketů pro traffic shaper. Ten pak obsahoval pravidla tc filter pro zařazování označkovaného paketu do odpovídající třídy. Po přechodu na nftables s mapami a přímým zařazováním paketů do tříd (classify) došlo se snížení zátěže CPU serveru na zhruba 30% původního stavu.

5
Sítě / Re:Netfilter's flowtable
« kdy: 18. 09. 2023, 16:36:54 »
A přes tc matchuješ takto, že?
Kód: [Vybrat]
u32 match ip src xx.xx.xx.xx
Bohužel tc match ip src/dst je dost náročný (ale na domácí krabičku oukej). Přes nftables a mapy je to výkonnostně úplně jinde - myslím pro desítky / stovky+ záznamů (LAN někde v paneláku apod).

6
Sítě / Re:Netfilter's flowtable
« kdy: 18. 09. 2023, 16:13:07 »
Fajn - super postřeh. WireGuard mi tam také běží - zkusím to na něm vypozorovat. S výkonem routeru také nemám výkonnostní problém, ale když jádro / netfilter umožňuje zkrátit cestu paketů, tak proč toho nevyužít.

@rmrf: Čistě náhodou jsi neřešil kombinaci flowtable + balancování přes Cake: https://www.bufferbloat.net/projects/codel/wiki/Cake/ ?

7
Sítě / Re:Netfilter's flowtable
« kdy: 18. 09. 2023, 13:47:35 »
Pokud to je ono, tak je to už dávno fixnutý...

https://bugs.launchpad.net/ubuntu/+source/linux-bluefield/+bug/1975649/
https://lore.kernel.org/lkml/20220523165840.182710201@linuxfoundation.org/

8
Sítě / Re:Netfilter's flowtable
« kdy: 18. 09. 2023, 13:30:23 »
Díky za reakci - zajímavé. Já doma testuji na kernelu 6.5.3 (Arch Linux) a problémy nepozoruju. Na druhou stranu nejsem asi ani schopnej zjistit jestli něco vypadává nebo ne. V conntracku [OFFLOAD] vidím, ale nevím jestli něco vypadlo / nebo se tam ani nedostalo.

Myslíš tyhle timeouty?
Kód: [Vybrat]
$ sysctl -a -r nf_flowtable
net.netfilter.nf_flowtable_tcp_timeout = 30
net.netfilter.nf_flowtable_udp_timeout = 30
Nemáš k tomu nějaký info? Odkaz na nějaký bugtracker, kde by byly podrobnosti?

9
Sítě / Re:Netfilter's flowtable
« kdy: 18. 09. 2023, 10:44:10 »
Ještě doplním jeden odkaz - může se vám hodit.

Connection tracking (conntrack) - Part 3: State and Examples:
https://thermalcircle.de/doku.php?id=blog:linux:connection_tracking_3_state_and_examples

10
Sítě / Netfilter's flowtable
« kdy: 17. 09. 2023, 15:10:17 »
Zdravím,

je tu někdo kdo úspěšně používá flowtable ? Podle níže uvedených článků a návodů se mi ho podařilo nějak rozběhnout. Bohužel nemám síťovku s HW podporou, abych rozjel [HW_OFFLOAD] - nepodařilo se mi ani dohledat nějaký seznam podporovaných NIC... pouze v posledním odkaze dole se píše o značce Mellanox.

Máte s tím někdo osobní zkušenost? Jakých s tím dosahujete výsledků? Má to nějaké "pasti"? Jednou je nemožnost použít markování nftables map pro prioritizaci provozu či shaperu.

Mikrotik má svůj Fast Path: https://wiki.mikrotik.com/wiki/Manual:Fast_Path . Dívám se na to na jakousi alternativu pro software linux router.

Kód: [Vybrat]
[UPDATE] tcp      6 86400 LAST_ACK src=10.***.***.9 dst=128.***.***.4 sport=51329 dport=443 src=128.***.***.4 dst=10.***.***.9 sport=443 dport=51329 [OFFLOAD]
[UPDATE] tcp      6 86400 SYN_RECV src=10.***.***.75 dst=8.***.***.53 sport=41430 dport=443 src=8.***.***.53 dst=10.***.***.75 sport=443 dport=41430 [OFFLOAD]
[UPDATE] tcp      6 86400 SYN_RECV src=10.***.***.9 dst=128.***.***.4 sport=51370 dport=443 src=128.***.***.4 dst=10.***.***.9 sport=443 dport=51370 [OFFLOAD]
zdroje:
Flowtables:
https://wiki.nftables.org/wiki-nftables/index.php/Flowtables
Netfilter's flowtable infrastructure:
https://www.kernel.org/doc/html/latest/networking/nf_flowtable.html
Flowtables - Part 1: A Netfilter/Nftables Fastpath:
https://thermalcircle.de/doku.php?id=blog:linux:flowtables_1_a_netfilter_nftables_fastpath
Flowtables - Part 2: IPsec gateway in tunnel-mode:
https://thermalcircle.de/doku.php?id=blog:linux:flowtables_2_ipsec_gateway_in_tunnel_mode
netfilter flowtable hardware offload:
https://lwn.net/Articles/804384/

Díky

11
Sítě / Re:NAT | Connection tracking | nftables
« kdy: 14. 09. 2023, 15:20:14 »
No jasně rozumím ... já mám aktuálně firewall rozdělen zvlášť na IPv4 a IPv6, ale chystám se ho celkově přepsat / sjednotit do inet. Do tohodle jsem nechtěl IPv6 zatím plést, ale je to ještě jednodušší než jsem si myslel.

@NaRootuJeNeskutecneDebilniRegistracniFormular Ještě jednou díky.  :)

12
Sítě / Re:NAT | Connection tracking | nftables
« kdy: 14. 09. 2023, 11:07:02 »
Doplňující otázky:


Díky

13
Sítě / Re:NAT | Connection tracking | nftables
« kdy: 14. 09. 2023, 09:59:16 »
Perfektní moc jsi mi pomohl a ochytřil - velké D Í K Y !  :)

14
Sítě / Re:NAT | Connection tracking | nftables
« kdy: 13. 09. 2023, 19:04:07 »
Citace
fib daddr type local accept - V zasade jenom rikas, ze spojeni na lokalni ipcka se taky maji trackovat
A proč je vlastně taky trackuju? Logoval jsem je a to jsou IP, které nemají s NATem nic společnýho ... přitom v conntrack -L -f ipv4 je nevidím (přitom je trackuju). Jak si to pravidlo jinak vysvětlit / přeložit?

15
Sítě / Re:NAT | Connection tracking | nftables
« kdy: 13. 09. 2023, 18:43:27 »
Ano přidal jsem fib daddr type local accept. Tak to je super, že i tak je možný používat stateful firewall.

Občas do toho conntracku vleze i OSPF:
Kód: [Vybrat]
unknown  89 599 src=10.0.0.1 dst=224.0.0.5 [UNREPLIED] src=224.0.0.5 dst=10.0.0.1 mark=0 use=1
nevím proč, ale vše ostatní je LAN subnet 10.11.12.0/28, takže pravidla fungují.


Stran: [1] 2