netgraph

SuperVlan, ip-unnumbered на FreeBSD

Опубликовано admin в Чт, 24/02/2011 - 10:56

Читал как реазлизут аналоги ip-unnumbered, super vlan во FreeBSD и решил предоставить свое решение.
Использовать будем следующие модули :

  • netgraph
  • ng_vlan
  • ng_ether

Если кто не знает, загрузить модули можно таким образом:Читать далее

Производительный роутер на FreeBSD

Опубликовано admin в Пт, 22/10/2010 - 10:24

Осенью 2009 года наша компания запустила новое техническое решение для предоставления доступа в сеть в виде услуги с названием "Прямой интернет". Суть заключается в более эффективной реализации доступа к интернету конечному пользователю. Читать далее

Оценка производительности графов Netgraph. На примере возможных схем анализа трафика, средствами ng_netflow.

Опубликовано admin в Чт, 21/10/2010 - 12:27
В данном документе приведена простейшая методика оценки производительности графов Netgraph на примерах "сбора" трафика, проходящего в обоих направлениях, через интерфейс.

Большая часть схем представляет лишь теоретические изыскания и не испытывалась на практике.
Для анализа схем используются примитивные представления о зависимости производительности системы от количества узлов в графе.
Для упрощения, при анализе не учитывается внутреннее устройство подсистемы Netgraph и отдельных узлов.

Читать далее

Отлов вирусной активности в сети с помощью Netflow

Опубликовано admin в Втр, 21/09/2010 - 22:21
В этом топике расскажу как можно в пару скриптов наладить простой сбор статистики по аномальной активности в сети.

Аномальным для нас будет на момент снятия статистики:

1. Более 20 исходящих коннектов по 25 порту с 1 IP.
2. Более 100 исходящих коннектов по 80 порту с 1 IP.
3. Более 100 исходящих коннектов по 53 порту с 1 IP.
4. Придумывайте сами, всё гибко.

Статистику будем вынимать из кэша netflow маршрутизаторов. Будет ли это Cisco или FreeBSD — не важно. О настройке netflow на FreeBSD я рассказывал в предыдущих своих статьях.
Читать далее
( categories: )

Opensource биллинг ABillS — установка на FreeBSD

Опубликовано admin в Втр, 21/09/2010 - 22:14
0. Предыстория
Около двух лет назад перед сравнительно небольшой, но развивающейся сетью, в которой я, волею судеб, оказался системным администратором, встала задача внедрения нового биллинга. Требования оказались просты и довольно банальны для тех мест, где Интернет стоит не копейки и далеко не все готовы платить за безлимиты:
  • Возможность создания помегабайтных тарифных планов и безлимитов
  • Возможность учета трафика по направлениям (бесплатный-город-страна-мир)
  • Бесплатное решение (слово opensource тогда еще мало интересовало)
  • Вменяемый web-интерфейс пользователя и администратора
  • Возможность расширения функционала на будущее
  • Поддержка различных систем оплаты (в частности интересовала оплата карточками пополнения

Читать далее
( categories: )

FreeBSD Netgraph, считаем трафик

Опубликовано admin в Пнд, 26/07/2010 - 20:51
В продолжении темы о ядерной подсистеме графов Netgraph FreeBSD Netgraph на примере Ethernet тоннеля (_http://alexandr.sysoev.ru/node/71) попробуем посчитать трафик используя протокол Сisco netflow.

В прошлом обзоре мы познакомились с модулями ng_bridge, ng_ether и ng_ksocket и построили на их базе Ethernet тоннель через интернет, а сегодня я расскажу как, используя дополнительные модули netgraph, посчитать трафик, проходящий по этому тоннелю.
Читать далее

Netgraph ipfw и гибкий учет трафика через netflow

Опубликовано admin в Пнд, 26/07/2010 - 20:44
И снова здравствуйте!

Продолжим обзор модулей FreeBSD netgraph.
Сегодня у нас в гостях ng_ipfw, ng_one2many и старый друг ng_netflow.
С их помощью попробуем посчитать трафик по определенным условиям и посмотрим как это можно использовать на практике.

Что за модули?


ng_ipfw.gif
ng_ipfw — модуль, создающий интерфейс для доступа к подсистеме netgraph из фаервола IPFW. При загрузке в ядро, модуль автоматически создает свой узел в пространстве подсистемы netgraph с именем «ipfw:», и может присутствовать только в единственном экземпляре. Ng_ipfw принимает подключения к произвольным номерным хукам, номера хуков указываются в правилах ipfw. Каждый входящий в модуль пакет тэгируется по нескольким параметрам (ipfw правило, интерфейс, направление), для того чтобы его можно было идентифицировать при возврате обратно в ipfw. Не тэгированные пакеты, возвращаемые в фаервол, уничтожаются. Контрольных сообщений модуль не принимает.
Читать далее

Модификация ToS/DSCP/TTL/etc. на FreeBSD: ng_patch

Опубликовано admin в Пнд, 26/07/2010 - 14:03
Модификация ToS/DSCP/TTL/etc. на FreeBSD: ng_patch
Патчи, позволяющие матчить и изменять ToS/DSCP на FreeBSD, ходят в разных вариантах по сети уже лет шесть, вот очередная инкарнация (_http://www.freebsd.org/cgi/query-pr.cgi?pr=102471), например. К сожалению, ни один из них так и не попал в базовую систему, хотя пример по ссылке, скажем, для конкретной задачи удобнее того, что описано ниже. Даже возникает подозрение, что это всё потому, что предыдущие решения были недостаточно общие :) Вот ng_patch(4) (_http://www.freebsd.org/cgi/man.cgi?query=ng_patch) - и её, наконец, закоммиттили, а недавно смержили в 8-STABLE (r209843 (_http://svn.freebsd.org/changeset/base/209843)) и вчера - в 7-STABLE (r210019 (_http://svn.freebsd.org/changeset/base/210019)). Работает также на 6.4, если убрать в коде CSUM_SCTP, я проверял.
В настоящее время ng_patch - единственный штатный способ поменять что-то в проходящем пакете. Зато, в отличие от других решений (в том числе на других ОС), эта нода позволяет производить последовательность операций над произвольными байтами пакета, не только ToS или TTL. В мане рассмотрены примеры изменения ToS и TTL, я же расскажу чуть подробнее, с примером для DSCP.
Читать далее
( categories: )

FreeBSD Netgraph на примере Ethernet тоннеля

Опубликовано admin в Вс, 25/07/2010 - 19:45
Всем привет.

Думаю многим системным администраторам, работающим с FreeBSD, известно о существовании ядерной подсистемы Netgraph. Но не многие знают/понимают как это работает, и что из этого можно построить.

Расскажу что это такое, а также разберу на простом примере сборку Ethernet моста через интернет.

Читать далее
( categories: )

Шейпирование трафика ng_car + ipfw на FreeBSD

Опубликовано admin в Сб, 23/05/2009 - 19:31

Статья взята с subnets.ru (_http://subnets.ru/blog/?p=763).

Основой данной статьи послужила публикация Дмитрия Шевченко (_http://subnets.ru/blog/?p=708).

Интересная идея заменить множество пайпов в файерволе на механизм предложенный в ng_car (_http://subnets.ru/blog/?tag=ng_car).

Для примера,схема такая, имеем:

Сервер FreeBSD (_http://subnets.ru/blog/?tag=freebsd), он подключает пользователей по PPPoE через mpd, интерфейс bge0 смотрит вверх.Читать далее

RSS-материал