Подключение оптической сетевой карты только на входящий трафик

0

0

Встала вот такая нелегкая задача. Есть биллинговая система, обрабатывающая только входящие подключения. Начальство, как всегда в целях безопасности сказало, что сервер не должен отдавать никакого трафика, и выдернуло оптику на отдачу трафика из сетевой карты.

Теперь вопрос, как заставить чтобы сетевая карта принимала сообщения по одной оптике (только входящей).

Схема сети во такая:

    +-------+ исх.        +-------+
----| серв1 |-------------| серв2 |----
----| маршр |-------------| маршр |----
    +-------+  вх.|       +-------+
                  |
                  | | исх.   
               +-------+
               |биллинг|
               |       |
               +-------+

При таком подключении Перевел карточку в Promisc mode, ethtool говорит что Link detected: yes (см. ниже). Но тот же tcpdump ничего не ловит

ifconfig:
eth1      Link encap:Ethernet  HWaddr 00:31:68:08:48:2D
          inet addr:10.10.0.2  Bcast:10.10.0.255  Mask:255.255.255.0
          inet6 addr: fd80::211:24ff:fe08:332e/64 Scope:Link
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:177


ethtool
Settings for eth1:
        Supported ports: [ ]
        Supported link modes:
        Supports auto-negotiation: No
        Advertised link modes:  10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Half 1000baseT/Full
                                10000baseT/Full
        Advertised auto-negotiation: Yes
        Speed: 10000Mb/s
        Duplex: Full
        Port: Twisted Pair
        PHYAD: 8
        Transceiver: internal
        Auto-negotiation: off
        Current message level: 0x00000007 (7)
        Link detected: yes

Кто-нибудь сталкивался с такой проблемой? Или есть какие-нибудь мысли как решить эту проблему стандартными настойками, или придется перелопачивать драйвер сетевухи?

В инете нашел похожие решения, но только для витой пары, путем обжатия хитрым способом.

PS: Уговоры воткнуть обратно, настроить файерволл не проходят.

Ссылка

←	LTSP + USB Wheel mouse = Wheel does'n work

Samba в AD

→

А те параноики, что велели выдернуть кабель, молчат? Пусть они и предложат решение, раз такие умные.

Marmirus ★★
(15.02.10 19:42:19 MSK)

Ссылка

И как они представляют себе работу TCP в таких условиях?

Взять арифмометр «феликс» и бить по башке, по башке.

nnz ★★★★
(15.02.10 20:44:09 MSK)

Ссылка

tcp же требует обратной связи. Как так можно сделать?

xscrew ★★
(15.02.10 20:50:52 MSK)

Ссылка

При таком подключении Перевел карточку в Promisc mode, ethtool говорит что Link detected: yes (см. ниже). Но тот же tcpdump ничего не ловит

Чтобы это работало, нужно чтобы в месте соединения сервера биллинга с линией между маршрутизаторами стоял либо тупой хаб (который бы все входящие пакеты дублировал на всех выходах), либо свич, который можно настроить на такое же поведение.

P.S. Я с оптикой дело не имел, так что не знаю как она между собой правильное соединяется.

Deleted
(15.02.10 20:56:37 MSK)

Ответ на: комментарий от Deleted 15.02.10 20:56:37 MSK

Но при такой схеме биллинг будет скорее всего терять некоторые пакеты и не учитывать их.

Deleted
(15.02.10 20:58:25 MSK)

У вас там пассивный делитель на оптике или «серв1 марш» дублирует пакеты на 2 ой сетевой интерфейс?

Биллинговый сервер это СОРМ ?

mky ★★★★★
(15.02.10 21:04:24 MSK)

Ответ на: комментарий от mky 15.02.10 21:04:24 MSK

Да, стоит пассивный делитель. Если бы СОРМ :-). Обычная регистрация обращений на авторизацию для корпоративных решений. Конкретные-то предложения есть?

AkhramovichSA
(15.02.10 21:12:02 MSK) автор топика

Ответ на: комментарий от Deleted 15.02.10 20:58:25 MSK

Здесь пассивный учет обращений на авторизацию. Обратная связь не нужна.

AkhramovichSA
(15.02.10 21:13:38 MSK) автор топика

Ответ на: комментарий от AkhramovichSA 15.02.10 21:13:38 MSK

Здесь пассивный учет обращений на авторизацию. Обратная связь не нужна.

Без обратной связи будут потери пакетов.

Deleted
(15.02.10 22:19:24 MSK)

Ответ на: комментарий от Deleted 15.02.10 22:19:24 MSK

О каких потерях вы говорите, если я фиксирую запросы на авторизацию путем перехвата пакетов через libpcap. Тем более что сами пакеты — UDP.

AkhramovichSA
(15.02.10 22:28:56 MSK) автор топика

Что за сетевуха 10G?
modinfo на_модуль_сетевухи
и смотри есть ли там опции FlowControl (Valid Range: 0-3 (0=none, 1=Rx only, 2=Tx only, 3=Rx&Tx)

~~sdio~~ ★★★★★
(15.02.10 23:11:51 MSK)

Ответ на: комментарий от sdio 15.02.10 23:11:51 MSK

Сетевушка HP NC510F PCI-E 10 Gigabit Server Adapter

Сейчас, кажется работает под модулем niu. Завтра точно узнаю.

Что с этими опциями делать? Установить 1=Rx only?

AkhramovichSA
(15.02.10 23:18:58 MSK) автор топика

Ссылка

Port: Twisted Pair

хе-хе

true_admin ★★★★★
(16.02.10 00:31:50 MSK)

Ответ на: комментарий от AkhramovichSA 15.02.10 22:28:56 MSK

О каких потерях вы говорите, если я фиксирую запросы на авторизацию путем перехвата пакетов через libpcap.

Если libpcap и твоя программа будут обрабатывать пакеты медленнее, чем они будут приходить на интерфейс, то «не влезающие» пакеты будут просто отбрасываться. Я уже не говорю про возможные потери при передачи данных от маршрутизатора к серверу биллинга. Причём самое плохое - это не сами потери, а то, что это будет происходить «втихую». Погугли ради интереса информацию по системам биллинга на основе libpcap - такими проблемами страдают они все.

Тем более что сами пакеты — UDP.

Вот именно, что тем более =).

Deleted
(16.02.10 00:47:15 MSK)

Ответ на: комментарий от true_admin 16.02.10 00:31:50 MSK

Сам удивился... Но воткнута оптика!

AkhramovichSA
(16.02.10 00:47:38 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 16.02.10 00:47:15 MSK

Так, проблему с потерями тут не обсуждаем, с этим вопросом уже все решено и 100 раз проверено. Скорости небольшие, авторизаций мало, потерь нет. Проблема с этим обрубком оптики на выходе, надо сделать так чтобы сетевая с одним только входом работала.

AkhramovichSA
(16.02.10 00:56:38 MSK) автор топика

http://www.network-taps.eu/products/products_networktaps.php

MKuznetsov ★★★★★
(16.02.10 03:21:21 MSK)

Ссылка

Ответ на: комментарий от AkhramovichSA 16.02.10 00:56:38 MSK

Так, проблему с потерями тут не обсуждаем, с этим вопросом уже все решено и 100 раз проверено. Скорости небольшие, авторизаций мало, потерь нет.

Как говорится, наше дело - предупредить.

Deleted
(16.02.10 05:38:55 MSK)

Ссылка

Ответ на: комментарий от AkhramovichSA 16.02.10 00:56:38 MSK

>Скорости небольшие

HP NC510F PCI-E 10 Gigabit Server Adapter

предвижу либо нищих бюджетников, либо честных старателей, разрабатывающих недра родины

Somewho ★★
(16.02.10 09:04:11 MSK)

Ссылка

Ответ на: комментарий от AkhramovichSA 15.02.10 21:12:02 MSK

Играйтесь с параметрами модуля и ethtool. Возможно не правильно определяется скорость, там между серв1 и серв2 точно 10 Гбит? И идиотский вопрос, выдернут Tx оптический кабель, а не Rx?

И ещё бывает, что новые параметры модуль понимает только при перезгрузке системы, то есть загрузил модуль, выгрузил, загрузил с другими параметрами, а он их не применил. А после перезагрузки работает по другому. Правда, лично у меня такое было давно и неправда, поэтому возможно вы бесполезно истратите время перезагружая сервер.

mky ★★★★★
(16.02.10 09:28:29 MSK)