ip_local_port_range

0

2

Приветствую. Есть такой параметр net.ipv4.ip_local_port_range - диапазон портов для исходящих соединений. Можно ли как-то его применить не глобально для всей системы, а для процесса или пользователя, или хоста к которому устанавливается соединение (самый идеальный вариант)?

Для чего это мне понадобилось: сервер некоторой конторы, куда мне нужно устанавливать tcp соединения(много соединений), сидит за роутером. Этот роутер начинает блокировать соединения при большом разбросе исходящих портов. Если поставить

net.ipv4.ip_local_port_range = 40000 50000

то всё ок. Блокировки на их стороне больше не срабатывают. Но такого диапазона мало - вижу ошибки в логах (например, от nginx):

[crit] 6012#0: *278755918 connect() to x.x.x.196:80 failed (99: Cannot assign requested address)

Возможно, у них там баг в прошивке или фича защиты от (D)DoS. Пытаются фиксить свой роутер уже пару месяцев, но толку нет.

Ссылка

←	Debian 6. backup-manager - не работает инкремент

общение двух VDSL-роутеров

→

какой программой тебе нужно устанавливать соединения на этот сервер? Может имеет смысл поковырять именно ее?

Pinkbyte ★★★★★
(22.06.12 10:01:29 UTC)

Ссылка

а как насчёт РАТ?

zolden ★★★★★
(22.06.12 10:05:27 UTC)

Ссылка

Pinkbyte:

Программа самописная на Си. Соединение устанавливает curl. Могу попробовать сделать что-то вроде этого(последний коммент), если других вариантов не будет.

zolden:

Я только за. Уже думал на эту тему - о подмене src port. Но я плохо себе представляю как это должно работать. Например, как выставить случайный исходящий порт в выбранном диапазоне в правиле iptables? И установится ли tcp соединение если я правилом перепишу порт?

fjoe ★
(22.06.12 11:00:45 UTC) автор топика

Ответ на: комментарий от fjoe 22.06.12 11:00:45 UTC

Программа самописная на Си

если есть исходники - в чем тогда вопрос?

Pinkbyte ★★★★★
(22.06.12 11:51:33 UTC)

Ответ на: комментарий от Pinkbyte 22.06.12 11:51:33 UTC

Вопрос в том, чтобы не лезть в чужой проект. Сделать всё на уровне системы. Есть же фичи типа cgroups например(да, оно не умеет то, что мне надо). Ну и iptables хорош при правильном использовании. Да мало ли других способов вставить временный костыль.

fjoe ★
(22.06.12 12:42:54 UTC) автор топика

Как насчет виртуалки для твоего приложения?

anonymous
(22.06.12 21:00:02 UTC)

Ответ на: комментарий от fjoe 22.06.12 12:42:54 UTC

не лезть в чужой проект
вставить временный костыль

Я конечно дико извиняюсь, если следующим выражением тебя обижу, не хочу учить кого-то делать работу, но тебе не кажется что ставить костыли вместо того чтобы поставить в известность авторов чужого проекта о проблеме - это немного неправильное решение?

Pinkbyte ★★★★★
(23.06.12 15:15:34 UTC)

Ответ на: комментарий от Pinkbyte 23.06.12 15:15:34 UTC

Согласен, что решение неправильное, если оно постоянное. Но если ненадолго, то можно. Поэтому я собирался поставить именно временный костыль на несколько дней, пока разработчик не переключится на этот проект и не придумает решение. А если очень повезет - так вообще на той стороне железку пофиксят. Я убираю костыль, все довольны. Такие дела.

fjoe ★
(23.06.12 16:00:10 UTC) автор топика

Ссылка

Ответ на: комментарий от anonymous 22.06.12 21:00:02 UTC

Оно и так в KVM виртуалке уже вертится.

fjoe ★
(23.06.12 16:03:41 UTC) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 23.06.12 15:15:34 UTC

Решено. Сделал быстрофикс в самом приложении:

if (...тот самый сервер) 
{
    curl_easy_setopt(curl, CURLOPT_LOCALPORT, 15000);
    curl_easy_setopt(curl, CURLOPT_LOCALPORTRANGE, 10000);
}

Что означает использовать исходящий порт только в пределах от 15,000 до 25,000.

tcpdump показал, что всё правильно сделал.
Всё работает, все довольны.

fjoe ★
(25.06.12 16:02:08 UTC) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Debian 6. backup-manager - не работает инкремент

Admin

общение двух VDSL-роутеров

→

Похожие темы