[Sysadmins] Зеркалирование трафика на соседний хост

Караваев Павел Fri, 20 Jun 2014 02:29:21 -0700

День добрый.
Стоит задача зеркалировать трафик, проходящий через шлюз для фильтрации на 
соседнем сервере. На этом "соседе" прибывшие пакеты через


iptables -t mangle -A PREROUTING -s x.x.x.x/32 -p tcp -m tcp --dport 80 -j 
NFQUEUE --queue-num 0 --queue-bypass

попадают в фильтр  https://github.com/ircop/nfq_filter.

Зеркалирую трафик со шлюза таким образом:

iptables -t mangle -A PREROUTING -s x.x.x.x/32 -i eth0 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2

Все выглядит нормальным, пакеты до соседа ходят, запрещенные страницы 
блокируются. В течение нескольких дней все отлично. Но стоит только вместо 
одного ip сделать зеркалирование _всего_ трафика:

iptables -t mangle -A PREROUTING -s a.a.a.0/22 -i eth0 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2
iptables -t mangle -A PREROUTING -s a.a.a.0/22 -i eth2 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2
iptables -t mangle -A PREROUTING -s a.a.a.0/22 -i eth5 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2

iptables -t mangle -A PREROUTING -s b.b.b.0/22 -i eth0 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2
iptables -t mangle -A PREROUTING -s b.b.b.0/22 -i eth2 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2
iptables -t mangle -A PREROUTING -s b.b.b.0/22 -i eth5 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2

iptables -t mangle -A PREROUTING -s c.c.c.0/21 -i eth0 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2
iptables -t mangle -A PREROUTING -s c.c.c.0/21 -i eth2 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2
iptables -t mangle -A PREROUTING -s c.c.c.0/21 -i eth5 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2

iptables -t mangle -A PREROUTING -s d.d.d.0/22 -i eth0 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2
iptables -t mangle -A PREROUTING -s d.d.d.0/22 -i eth2 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2
iptables -t mangle -A PREROUTING -s d.d.d.0/22 -i eth5 -p tcp --dport 80 -j TEE 
--gateway 192.168.0.2

через несколько минут получаю на соседе глухой зависон. Только reset. После 
загрузки - в логах все чисто, нигде никакого намека, что была проблема. Трафик 
получается небольшой, порядка 20-30 МБит. Если зеркалировать не все сети 
(уменьшить трафик), работает дольше.
Ломаю голову, как диагностировать проблему... 
_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins

[Sysadmins] Зеркалирование трафика на соседний хост

Ответить