[kroozo]

Na, egy kis up. ipfilter/ipnat jellegu kerdes, nem biztos hogy itt van a legjobb helyen, de hatha.

In a nutshell, local portforwardot akarok csinalni, hogy valami ami bejon egy interfacemen, az atkeruljon egy masik interfacere bindelt daemonhoz.

Bovebben:
Van egy szerver, neznek a vilagba kulonboz interfacei. Ezekbol a relevans most (kamu nevekkel meg ipkkel
if0: 10.1.1.2
if1: 192.168.1.11
if2: 192.168.1.12
if1:1 192.168.1.10

Ez utobbi egyebkent egy floating cim, IPMP csinalja, linktol fuggoen tud vandolrolni if0 es if1 kozott. Az if0an ezert nincs ilyen mert az van kiszemelve mint operation and maintanance, a masik (ketto) a traffic.

Az van hogy a fejlesztok szerint van valami service, ami oam jellegu, ezert aztan szepen ra is bindel a 10.1.1.2:1234 es portjara. A gond az, hogy az ugyfel viszont a traffic felol szeretne bizgetni ezt a dolgot. Mivel nem tudom rabindelni a csillagra, gondoltam, misem egyszerubb, szepen csinalok egy portforwardot locally, sztjo.

Okossag aszongya, hogy ilyesmire solaris alatt ipfilter/ipnat. Aztan kb tele van sirva, hogy ez igy nem megy, mert lokaisan nem lehet. Masok szerint meg igen, csak az kell, hogy az interfacek kulonbozzenek.

Namost en csinatam egy olyat, hogy:

rdr if1 0/0 port 1234 -> 10.1.1.2 port 1234.

Namost ez valamit csinalt, mert elotte ugye rogton connection eldob volt egy resettel, ha kintrol a 192.168.1.10:1234et cimeztem az if1en keresztul (ami ugye tok jogos), utana meg mar nem. Ellenberger a snoop csak annyit mutat az if1en, hogy jonnek szepen be a SYNek, ki meg semmi. if1en nem latszik semmi (amin annyira alapvetoen nem lepodok meg, nyilvan routeolodni is visszafele kene).

Az a baj, hogy gozom sincs, hol a csomagom, es merre veszik el? Lehet hogy kellene meg valami map is? Mer azt tudom esetleg elkepzelni, hogy szeretne kirouteolni az if0an (merhogy ugye arra van bindelve), aztan ott meg nem tudja, vagy ilyesmi. De nem igazan tiszta.

[kroozo]

Senkise?

[Raynes]

Idézet: kroozo - Dátum: 2009. dec. 5., szombat - 7:38

Senkise?

Tobzódnak itten a tömegek. Biztos amiatt, mert a Solaris olyan népszerû, hogy 10 fogorvosból 11 és a kisnyugdíjasok egyesületének elnöksége is azt ajánlja  :Ð

Szerintem kicsit bontsd le érthetõbben a problémát. Fontos lenne, hogy pontosan hány fizikai interface néz a külvilágba és az is, hogy pontosan hány vesz részt az IPMP-ben. Kamu IP-k maradhatnak, de érthetõ legyen a "felállás".

[kroozo]

Idézet: N0zer0 - Dátum: 2009. dec. 5., szombat - 8:26

Tobzódnak itten a tömegek. Biztos amiatt, mert a Solaris olyan népszerû, hogy 10 fogorvosból 11 és a kisnyugdíjasok egyesületének elnöksége is azt ajánlja  :Ð

Szerintem kicsit bontsd le érthetõbben a problémát. Fontos lenne, hogy pontosan hány fizikai interface néz a külvilágba és az is, hogy pontosan hány vesz részt az IPMP-ben. Kamu IP-k maradhatnak, de érthetõ legyen a "felállás".

Alapvetoen nem hiszem, hogy olyan fontos, meg szerintem ebben benne is van, dehat akkor:

Alapvetoen 2 halozat van, ami minket erint jelenleg:
O&M - ebben van az if0 mondjuk a lenti 10.1.1.2 - vel. Semmi csicsa, egy darab interface, egy helyi switchen, ami aztan tovabb van kotve a nagy O&M halozat fele. Viszont amit el akarok erni az stabilan az 10.1.1.2:1234 re bindelve listenel

Traffic - ezen keresztul jon az effekitv forgalom. Ebben benne van if1 es if2, kulon feldrotozva egy-egy helyi switchre, es IPMPvel megy folottuk a node altal hasznalt traffic cim (a 192.168.1.10). Vagyis a .11 meg a .12 csak az IPMP altal diagnosztikara hasznalt cim, eles forgalom nem megy rajta. Egyebkent ez egy tok szeparalt kis halo, a switcheken log meg ket load balancer, akiknek a kulso labain lehet elerni a rendszer szolgaltatasait. A gondom, hogy az a valami, ami az 1234es portot hasznalna, az is innen akar jonni. A loadbalancerek viszont ugye csak 192.168.1.10et latjak, vagyis meg kellene oldani, hogy ami a 192.16.1.10:1234 -re erkezik, az huzzon mar az 10.1.1.2:1234-re, es aztan a valasz meg is erkezzen.

Ezen felul meg van ket interface egyebkent, ok tok kulon IP subnetben vannak, szepen minketto kulon switchre, es megy rajtuk aminek menni kell Ott nincs IPMP, maskepp van megoldva koztuk a redundancia.

A lenyeg tovabbra is az volna, mint fentebb irtam, hogy lokalisan az if1 vagy if2n hallgatozo 192.168.1.10 1234es portjra erkezo TCP kapcsolatot szepen at lehessen terelgetni a 10.1.1.2 1234es portjara, majd a valasz vissza is talaljon. A fenti rdr valahova eltereli a csomagokat, csak nem tudom hova mer visszafele mar nem latok semmit

[Raynes]

Így már érthetõ a probléma. Az egyszerû vissza rdr-ezés nem jó, mert akkor meg minden csomag a traffic címre (a 192.168.1.10) akar majd visszamenni, akkor is, ha nem onnan jött. Map mindenképp kellene. Ehhez meg a manualt bújni. Legújabb Solarison tolod?

Addig is egy ötlet: IPMP traffic címének nem lehetne az O&M címét megadni?

[kroozo]

Idézet: N0zer0 - Dátum: 2009. dec. 5., szombat - 20:27

Így már érthetõ a probléma. Az egyszerû vissza rdr-ezés nem jó, mert akkor meg minden csomag a traffic címre (a 192.168.1.10) akar majd visszamenni, akkor is, ha nem onnan jött. Map mindenképp kellene. Ehhez meg a manualt bújni. Legújabb Solarison tolod?

Addig is egy ötlet: IPMP traffic címének nem lehetne az O&M címét megadni?

bujtam mar valamennyit, de errol mindenhol nyavajgas van Namajd meg egy kicsit. Vagy bemorculok, aztan irok egy servicet, ami egy publikkulcsos sshval csinal egy local portforwardot, azt ave cezar Az lesz csak a szep.

Deperszehogylehet (igazabol nem nagyon, mert az ipmp nem annyira orulne a dolognak a routinggal egyetemben, meg az egesz infratruktura megsertodik ettol, meg ugye nyilvan fut azon az ipn mas is.). Ha lehetne hozanyulni, en is nyulnek, ne aggodj (pl bevagnek meg ket kabelt az LBk felol, es megoldanam hogy jo helyre jojjon, csak nincs mar hova dugni ), de nem lehet.

Ize, rendes solaris 10, nem open, nemileg szolgaltatas kiherelve, de amit felrakattak velem mint friss updateket, az gyanusan hasonlitott a legutobbi recommended updatere.

[Raynes]

Arra gondolni sem merek, hogy ezt még nem próbáltad ki:
map if1 192.16.1.10 port 1234 -> 10.1.1.2 port 1234

Amúgy ezt a doksit nézed? Vagy amit a Solaris 10-hez adnak? Jobbat nem találtam hozzá. Lehúztam a legújabb Live OpenSolaris-t, de qrvaxar. Saját virtuális gépükön behal, se rendes manual nincs benne, se semmi 

[kroozo]

Idézet: N0zer0 - Dátum: 2009. dec. 6., vasárnap - 9:09

Arra gondolni sem merek, hogy ezt még nem próbáltad ki:
map if1 192.16.1.10 port 1234 -> 10.1.1.2 port 1234

Amúgy ezt a doksit nézed? Vagy amit a Solaris 10-hez adnak? Jobbat nem találtam hozzá. Lehúztam a legújabb Live OpenSolaris-t, de qrvaxar. Saját virtuális gépükön behal, se rendes manual nincs benne, se semmi 

Pedig meg nem Bent nem volt tul sok idom foglalkozni vele, mert kozben azert volt dolog, ipfiltert meg nem nagyon ismerem, ill. inkabb mondjuk ugy hogy nagyon nem, aztan addig az rdrig jutttam. Innen meg nem ertem el a nodeokat, komplett tesztkornyezetet meg nem volt meg kedvem munkaidon tul osszerakni igy hirtelen

Ooo, a doksi nekem egy teljes sol10 ref manualra mutat, szerintem nem ezt akartad De egyebkent mant bujtam, meg mindenfele howtokat a neten. OSt meg szinten sose neztem meg, eleg nekem ez a vacak is

Namajd lehet mindjar jatszok kicsit meg. 

[kroozo]

bokan bokom magam. Virtualboxban oromkodve mukodik a fenti rdr.

[Raynes]

Doksi vonatkozó része. Akkor most megoldódott?

[kroozo]

Idézet: N0zer0 - Dátum: 2009. dec. 6., vasárnap - 12:09

Doksi vonatkozó része. Akkor most megoldódott?

jam, ezt lattam.

Nem tudom, majd megnezem, hogy elkefeltem-e valamit ahhoz kepest amit itt most csinaltam, vagy meg kell valami szellemet kergetni

[kroozo]

hmm. Nemmegy. Megneztem otthoni labban is, ipmp nelkul, de ditto. Valahova elkuldi a csomagot, csa a daemoning mar nem jut el.

Mondjuk azt nezem, hogy etc/release szerint 8/07 a vboxos meg 10/09 szoval lehet ez a baj. Bar az ipf csomagok foverzioja stimmel, csak a vege nem: 11.10.0,REV=2005.01.21.15.53 vs 11.10.0,REV=2005.01.21.16.34.

[kroozo]

Na jo, ezt majd egyszer. Addig meg szepen maradt inetdbol a netcat, hadd gusztustalankodjunk egy kicsit