1. Fórum Root.cz
  2. Profil vecino
  3. Zobrazit příspěvky
  4. Témata

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - vecino

Stran: [1]
1
Sítě / Netfilter's flowtable
« kdy: 17. 09. 2023, 15:10:17 »
Zdravím,

je tu někdo kdo úspěšně používá flowtable ? Podle níže uvedených článků a návodů se mi ho podařilo nějak rozběhnout. Bohužel nemám síťovku s HW podporou, abych rozjel [HW_OFFLOAD] - nepodařilo se mi ani dohledat nějaký seznam podporovaných NIC... pouze v posledním odkaze dole se píše o značce Mellanox.

Máte s tím někdo osobní zkušenost? Jakých s tím dosahujete výsledků? Má to nějaké "pasti"? Jednou je nemožnost použít markování nftables map pro prioritizaci provozu či shaperu.

Mikrotik má svůj Fast Path: https://wiki.mikrotik.com/wiki/Manual:Fast_Path . Dívám se na to na jakousi alternativu pro software linux router.

Kód: [Vybrat]
[UPDATE] tcp      6 86400 LAST_ACK src=10.***.***.9 dst=128.***.***.4 sport=51329 dport=443 src=128.***.***.4 dst=10.***.***.9 sport=443 dport=51329 [OFFLOAD]
[UPDATE] tcp      6 86400 SYN_RECV src=10.***.***.75 dst=8.***.***.53 sport=41430 dport=443 src=8.***.***.53 dst=10.***.***.75 sport=443 dport=41430 [OFFLOAD]
[UPDATE] tcp      6 86400 SYN_RECV src=10.***.***.9 dst=128.***.***.4 sport=51370 dport=443 src=128.***.***.4 dst=10.***.***.9 sport=443 dport=51370 [OFFLOAD]

zdroje:
Flowtables:
https://wiki.nftables.org/wiki-nftables/index.php/Flowtables
Netfilter's flowtable infrastructure:
https://www.kernel.org/doc/html/latest/networking/nf_flowtable.html
Flowtables - Part 1: A Netfilter/Nftables Fastpath:
https://thermalcircle.de/doku.php?id=blog:linux:flowtables_1_a_netfilter_nftables_fastpath
Flowtables - Part 2: IPsec gateway in tunnel-mode:
https://thermalcircle.de/doku.php?id=blog:linux:flowtables_2_ipsec_gateway_in_tunnel_mode
netfilter flowtable hardware offload:
https://lwn.net/Articles/804384/

Díky

2
Sítě / NAT | Connection tracking | nftables
« kdy: 12. 09. 2023, 10:04:28 »
Zdravím všechny,

prosím mohl by mě někdo nasměrovat / či usměrnit, že řeším nesmysly? Nejsem žádný síťař, tak prosím berte ohledy. :)

Mám sw pc x64 router s Linuxem (Arch), který bez NAT-u obsluhuje klienty což tvoří cca 80% jeho provozu. V místě mám, ale i menší LAN, kterou mám za NAT-em. Takže vlastně jen kvůli natu se mi automaticky aktivuje connection tracking (ct) což je v pořádku jako vlastnost Netfilteru. Vzhledem k tomu, že nepotřebuji stavový firewall, tak mi to připadá zbytečné, aby router ct sledoval (i když to výkonově utáhne). Chci vás požádat o radu jestli ho lze nějak vypnout ... myslím pro provoz mimo ten subnet co je za NAt-em, tam je jasné, že je nutný a bez něj by nat nemohl fungovat.

Vím, že vás asi jako první varianta napadne vyhodit nat a routovat bez něj, ale chtěl bych ho zachovat. Jde mi spíš o edukaci. Je tedy možné, přes nftables použít notrack pro provoz mimo natovaný subnet? Nepodařilo se mi to rozchodit ... tu LANku si hned položím a nefunguje.

LAN = 10.11.12.0/28

Kód: [Vybrat]
table inet raw {
        chain PREROUTING {
                type filter hook prerouting priority raw; policy accept;
                ip saddr != 10.11.12.0/28 counter notrack
        }

        chain OUTPUT {
                type filter hook prerouting priority raw; policy accept;
        }
}

Díky za tipy

Stran: [1]