Friday, November 17th, 2017

Шейпирование трафика ng_car + ipfw на FreeBSD

Published on Март 30, 2009 by   ·   Комментариев нет

Основой данной статьи послужила публикация Дмитрия Шевченко.

best computer security software

Интересная идея заменить множество пайпов в файерволе на механизм
предложенный в ng_car.

Для примера,схема такая, имеем:

Сервер FreeBSD, он подключает пользователей по PPPoE через mpd,
интерфейс bge0 смотрит вверх.

Но, ВНИМАНИЕ, NAT`а на этом сервере нет, поэтому, зная что:

Шейпируется только исходящий трафик с интерфеса (как и в PF)

читайте эу статью учитывая эти факты.

Итак, до этого момента для шейпа использовался IPFW + PIPE + таблицы и
вяглядело примерно так:

        05800 pipe 63 ip from any to table(63) out
        05900 pipe 93 ip from table(63) to any in
        06000 pipe 64 ip from any to table(64) out
        06100 pipe 94 ip from table(64) to any in
        ...
        11200 pipe 78 ip from any to table(78) out
        11300 pipe 108 ip from table(78) to any in
        11400 pipe 256 ip from any to table(16) out
        11500 pipe 257 ip from table(16) to any in

и т.д. около 50-ти таблиц, т.к. тарифов множество.

Шейпируется несколько видов трафика: в интернет, к локальным ресурсам

Используя IPFW+ ng_car + таблицы все это можно свести к менее
громоздкому варианту:

        04000 netgraph tablearg ip from table(20) to table(30) out via bge0
        04010 netgraph tablearg ip from table(30) to table(20) out via ng*
        05000 netgraph tablearg ip from table(10) to not table(30) out via bge0
        05010 netgraph tablearg ip from not table(30) to table(10) out via ng*

Разница по загрузке CPU при шейпе на ng_car довольно ощутима.

Рассмотрим этот вариант повнимательнее:

netgraph — это правило действует как divert, только заворачивает оно не
в socket, а в ноду netgraph с параметром tablearg.

tablearg — это аргумент в таблице (10 и 20). Он должен быть уникальным
для каждого пользователя, именно по этому аргументу создается нода
netgraph, которая и будет шейпить (лимитировать скорость) пользователя.

Пример создания таблицы IPFW:

        #:test:~: ipfw table 10 add 172.16.10.26/32 10
        #:test:~: ipfw table 10 add 172.16.10.27/32 20
        #:test:~: ipfw table 10 add 172.16.10.28/32 30

Посмотрим, что получилось:

        #:test:~:ipfw table 10 list
        172.16.10.26/32 10
        172.16.10.27/32 30
        172.16.10.28/32 20

Условимся что:

table 10 — IP-адреса с доступом к интернету
table 20 — IP-адреса с доступом к локальным ресурсам
table 30 — IP-адреса самиx локальныx ресурсов
bge0 — верхний интерфес
ng* — нижние интерфейсы пользователей, подключенных через PPPoE (MPD).

Таким образом мы передали управление от ipfw к ng_car посредством 4
правил в файерволе.

Теперь нужно задать каждому IP-адресу определенную полосу.

В mpd есть скрипты up и down, которые отрабатывают при поднятии туннеля
и при опускании туннеля.

Вот них то мы и будем нарезать полосы для IP-адресов в момент
подключения к серверу.

Для шейпера нужны 3 модуля:

        ng_ether.ko
        ng_car.ko
        ng_ipfw.ko

Посмотреть подгружены ли модули можно по команде:

        kldstat

Если их нет, то загружаем командами:

        /sbin/kldload /boot/kernel/ng_ether.ko
        /sbin/kldload /boot/kernel/ng_car.ko
        /sbin/kldload /boot/kernel/ng_ipfw.ko

Скрипт UP.pl:

#!/usr/bin/perl

$iface=$ARGV[0];             ###интерфес пользователя
$ip=$ARGV[3];                 ###IP, выдаваемый пользователю
$user=$ARGV[4];              ###логин пользователя
$inet_table=10;                ###таблица с IP-адресами с доступом в интернет
$local_table=20;               ###таблица с IP-адресами c доступом к локальным ресурсам
$shape_inet=20971520;     ###шейп в интернет (байт/с)
$shape_local=8388608;      ###шейп в локалку (байт/с)

###Ищем tablearg IP-адреса в таблицах
$tablearg_inet=`/sbin/ipfw table $inet_table list | awk '/$ip/ \{print \$2\}'`;
$tablearg_local=`/sbin/ipfw table $local_table list | awk '/$ip/ \{print \$2\}'`;

###создаем шейп в интернет
$tablearg=$tablearg_inet;
chomp($tablearg);
$shape=$shape_inet;
$shape_type="inet";
shape($iface,$tablearg,$shape,$shape_type,$user);

###создаем шейп к локальным ресурсам
$tablearg=$tablearg_local;
chomp($tablearg);
$shape=$shape_local;
$shape_type="local";
shape($iface,$tablearg,$shape,$shape_type,$user);

###===функция нарезки шейпа===
sub shape{
            $cbs=$ebs=$shape/8;
            $cmd=sprintf("/usr/sbin/ngctl -f- <<-EOF
                               mkpeer ipfw: car %s upper
                               name ipfw:%s %s_%s
                               connect %s_%s: ipfw: lower %s
                               msg %s_%s: setconf { upstream={ cbs=%d ebs=%d cir=%d greenAction=1 yellowAction=1 redAction=2 mode=2 } downstream={ cbs=%d ebs=%d cir=%d greenAction=1 yellowAction=1 redAction=2 mode=2 } }
                               EOF>>"
,
            $tablearg,$tablearg,$shape_type,$user,$shape_type,$user,$tablearg+1,$shape_type,$user,$cbs,$ebs,$shape,$ebs,$cbs,$shape);
            `$cmd`;              #Выполняем команду на сервере
}
$shape_inet=20971520;     ###шейп в интернет (байт/с)
$shape_local=8388608;      ###шейп в локалку (байт/с)

в данном случае шейпы взяты в качестве примера.

Если у вас различные тарифы, то соотвтетственно нужно дописать скрипт,
чтобы брать из внешних источников (база данных например).

Имя ноды формируется из переменных $shape_type (тип шейпа) и $user
(логин пользователя).

Для более наглядного примера приведу пример на логине пользователя
login. Команда исполняемая на сервере будет выглядеть следующим образом:

        /usr/sbin/ngctl -f- <<-EOF
        mkpeer ipfw: car 10 upper
        name ipfw:10 inet_login
        connect inet_login: ipfw: lower 11
        msg inet_login: setconf { upstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 } downstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 } }
        EOF>>

Где:

mkpeer ipfw: car 10 upper — создаем ноду для пользователя и подключаем
ее к модулю ipfw

name ipfw:10 inet_login — именуем ноду (в последствии через это имя
можно управлять шейпом пользователя на лету).

connect inet_login: ipfw: lower 11 — соединяем хуки исходящего и
входящего интерфейсов

Рзазберем управляющее сообщение:

msg inet_login: setconf { upstream={ cbs=2621440 ebs=2621440
cir=20971520 greenAction=1 yellowAction=1 redAction=2 mode=2 }
downstream={ cbs=2621440 ebs=2621440 cir=20971520 greenAction=1
yellowAction=1 redAction=2 mode=2 } }

inet_login — имя ноды, куда направляется управляющее сообщение
cbs — Commited burst size – размер всплеска (в байтах), по умолчанию равен cir/8.
ebs — Exceeded/Peak burst size – превышение размера всплеска (в байтах),
по умолчанию равен cbs.
cir — Commited information rate — разрешенная полоса (в байтах/с).
greenAction — маркер трафика для cbs (man ng_car)
yellowAction — маркер трафика для ebs (man ng_car)
redAction — маркер трафика переполнения разрешенной полосы пропускания (man ng_car)
mode — mode=2 — Аналог Cisco Rate-Limit, mode=3 Аналог Cisco Traffic Shape.

Скрипт DOWN.pl:

        #!/usr/bin/perl
        $iface=$ARGV[0];
        $ip=$ARGV[3];
        $user=$ARGV[4];
        $shape_type="inet";
        shutdown_hook($user,$shape_type);
        $shape_type="local";
        shutdown_hook($user,$shape_type);

        ###===функция уничтожения нод для шейпа при отключении пользователя===
        sub shutdown_hook{
                 my $hook=sprintf("%s_%s",$shape_type,$user);
                 $cmd=sprintf("/usr/sbin/ngctl shutdown %s:",$hook);
                 `$cmd`;
        }

Исполняемая на сервер комманда следующим образом:

   /usr/sbin/ngctl shutdown inet_login:


Т.е. выключаем соответствующую ноду.

Если таблицы будут выглядеть так:
[cc lang="bash" tab_size="2" lines="-1"]
        #:test:~:ipfw table 10 list
        172.16.10.26/32 10
        172.16.10.27/32 30
        172.16.10.28/32 20

        #:test:~:ipfw table 20 list
        172.16.10.26/32 5
        172.16.10.27/32 25
        172.16.10.28/32 15

То после подключения мы увидим следующую картину:

        #:test:~:ngctl show ipfw:
        Name: ipfw Type: ipfw ID: 00000d00 Num hooks: 4
        Local hook Peer name Peer type Peer ID Peer hook
        6 local_login car 00000d3f lower
        5 local_login car 00000d3f upper
        11 inet_login car 00000d3d lower
        10 inet_login car 00000d3d upper

или для отдельного шейпа:

        #:test:~:ngctl show local_login:
        Name: star_37735-1 Type: car ID: 00000d50 Num hooks: 2
        Local hook Peer name Peer type Peer ID Peer hook
        lower ipfw ipfw 00000d00 6
        upper ipfw ipfw 00000d00 5

Осталось прикрутить это к mpd5. Для этого в конфиг mpd5.conf дописываем:

        set iface up-script /usr/local/etc/mpd5/UP.pl
        set iface down-script /usr/local/etc/mpd5/DOWN.pl

не забудьте указать полный и главное правильный путь до скриптов !

Есть несколько моментов, о которых нужно помнить при построении такой системы:
Нужно внимательно соблюдать синтаксис ngctl команд, при ошибке или даже лишнем
пробеле уже может ничего не работать.
tablearg должен быть уникальным.

zp8497586rq



































Смотрите также:

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]