ДС
Спасибо. Щас соберусь и буду пробовать
а можно ли как то в Linux изменить поведение при трассировке ?
Чтобы сервер отвечал с интерфейса где получил пакет, а не с того, где клиент и который ближе к клиенту.
Size: a a a
2020 July 15
RB
а можно ли как то в Linux изменить поведение при трассировке ?
Чтобы сервер отвечал с интерфейса где получил пакет, а не с того, где клиент и который ближе к клиенту.
Чтобы сервер отвечал с интерфейса где получил пакет, а не с того, где клиент и который ближе к клиенту.
Не совсем понятно что имеется в виду, но трассировка не что инное как закидывание пекета ICMP на destinationIP с последовательным изменением TTL от 1 до maxhop.
Если это поможет...
Если это поможет...
ST
Roman Buryak
Приветствую, коллеги!
Не обессудьте, если старый вопрос задам, но в документации не нашел.
Есть желание авторизацию делать с одного радиуса, а аккаунтинг писать через другой радиус.
Такая возможность есть?
Заранее благодарен!
Не обессудьте, если старый вопрос задам, но в документации не нашел.
Есть желание авторизацию делать с одного радиуса, а аккаунтинг писать через другой радиус.
Такая возможность есть?
Заранее благодарен!
а какой профит?
E
Я правильно понимаю, что если я настрою второй сервер с опцией backup, установлю fail-timeout=60, max-fail=30 и отключу основной радис, то получчу зацикленный флап между ними каждую минуту с бекапного на основной и пропуск 30 запросов каждую минуту?
и тут ещё было
E
Roman Buryak
С чего это?
отсюда говорят: https://habr.com/en/post/329244/
Поведение Linux и Mikrotik объясняется пунктом из RFC 1812. Этот пункт указывает, что source-адресом ICMP-сообщения должен являться адрес интерфейса, через который должен быть передан данный ICMP-пакет.
В это же время такие гиганты индустрии, как Cisco и Juniper, позволяют себе игнорировать указание RFC, очевидно полагаясь при этом на свой не дюжий опыт. И действительно, наблюдать в трассировке IP-адреса интерфейсов, через которые должен пройти оригинальный пакет, как по мне, видится более правильным решением, чем обнаруживать в той же трассировке IP из подсетей, строго говоря не имеющих к реальному пути пакета никакого прямого отношения.
Поведение Linux и Mikrotik объясняется пунктом из RFC 1812. Этот пункт указывает, что source-адресом ICMP-сообщения должен являться адрес интерфейса, через который должен быть передан данный ICMP-пакет.
В это же время такие гиганты индустрии, как Cisco и Juniper, позволяют себе игнорировать указание RFC, очевидно полагаясь при этом на свой не дюжий опыт. И действительно, наблюдать в трассировке IP-адреса интерфейсов, через которые должен пройти оригинальный пакет, как по мне, видится более правильным решением, чем обнаруживать в той же трассировке IP из подсетей, строго говоря не имеющих к реальному пути пакета никакого прямого отношения.
RB
Парни, почитал я хабр, что выше. Первое - автор ошибся. Второе - как раз для циско и джуна вижу логику.
По порядку...
В первом примере трассировки, ICMP должен идти "вертикально". Как я писал выше, это пакеты с увеличивающимися TTL. Каждый узел, на котором истек TTL, сообщает источнику об этом. Обращаем внимание как настроен OSPF. Обратный маршрут к PC1 идет через свич. Так вот Линуксовые ответы идут не от исходящего к получателю (PC2) интерфейса, как сказано в RFC , а от интерфейса, который согласно маршрутизации, смотрит в сторону источника. Считаю это не совсем правильно, но согласно маршрутизации к источнику выбор маршрута правильный и только. А как иначе добраться к PC1 ? Смоделирована ведь специально ассиметрия.
Второе. Лично я считаю не логичным отрабатывать RFC (от интерфейса, который смотрит в сторону следующего хопа). И вот почему. Пакет пришел на входящий интерфейс. TTL иссяк. Зачем этот пакет пропускать еще через форвардинг если уже понятно, что он туда не пойдет? Вот от адреса интерфейса, через который пришел пакет и закончил TTL, и нужно отвечать, но, опять же через интерфейс согласно настроенной маршрутизации.
Как-то так. Может запутанно это все описал.
По порядку...
В первом примере трассировки, ICMP должен идти "вертикально". Как я писал выше, это пакеты с увеличивающимися TTL. Каждый узел, на котором истек TTL, сообщает источнику об этом. Обращаем внимание как настроен OSPF. Обратный маршрут к PC1 идет через свич. Так вот Линуксовые ответы идут не от исходящего к получателю (PC2) интерфейса, как сказано в RFC , а от интерфейса, который согласно маршрутизации, смотрит в сторону источника. Считаю это не совсем правильно, но согласно маршрутизации к источнику выбор маршрута правильный и только. А как иначе добраться к PC1 ? Смоделирована ведь специально ассиметрия.
Второе. Лично я считаю не логичным отрабатывать RFC (от интерфейса, который смотрит в сторону следующего хопа). И вот почему. Пакет пришел на входящий интерфейс. TTL иссяк. Зачем этот пакет пропускать еще через форвардинг если уже понятно, что он туда не пойдет? Вот от адреса интерфейса, через который пришел пакет и закончил TTL, и нужно отвечать, но, опять же через интерфейс согласно настроенной маршрутизации.
Как-то так. Может запутанно это все описал.
A
https://habr.com/ru/post/108690/
Пункт "Доступность сервера через несколько аплинков". Настройки iproute2.
Пункт "Доступность сервера через несколько аплинков". Настройки iproute2.
ST
Народ, что дает разграниченин радиусов на акаунтинг и авторизацию?