Sep 15

Krusty a dit: je ne forwarderai pas tes paquets

Tags:
Add comments

CINQ HEURES ! CINQ PUTAIN D’HEURES on vient de passer avec _mat et ofredj à essayer de débugger cette SALOPERIE de netfilter. Pour faire court, toujours dans les peripeties de zone0, je me disais ce matin “bon peinard, je sette les redirections de ports du dom0 vers les domUs et on part racker”: AH-AH. Et que jte PREROUTE, et que jte FORWARD et qu’on browse, qu’on lit des histoires de checksums erronés, de mode nat pour Xen, on essaye, on casse, on boit. Bref, la misère: impossible de faire un minable petit forwarding de port du dom0 vers un domU. En désespoir de cause, je tente ma chance avec IPVS, dont je connais la robustesse par le biais de mon boulot. Et bah… 10mn de lecture de man, 3mn de commandes, et ça marche. Là comme ça direct. Je vous l’accorde, c’est un peu le marteau pilon pour écraser une mouche, mais à bien y reflechir, les capacités de ce module kernel à faire du load balancing nous ouvrent potentiellement de nouveaux horizons…
Un chouillat de conf pour faire envie

Je déclare une VIP (Virtual IP) de service (ici, DNS) load-bancé suivant l’algo Round-Robin :

ipvsadm -A -u 192.168.20.30:53 -s rr

Puis j’attache à cette VIP un (mais surtout plusieurs) serveur réel, ici je n’attache qu’un serveur, mais en TCP et UDP :

ipvsadm -a -t 192.168.20.30:53 -r 192.168.50.1:53 -m
ipvsadm -a -u 192.168.20.30:53 -r 192.168.50.1:53 -m

Et un peu d’output :

root@zone0:~# ipvsadm -L
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port Scheduler Flags
  -> RemoteAddress:Port           Forward Weight ActiveConn InActConn
TCP  192.168.20.30:domain rr
  -> services:domain              Masq    1      0          0
UDP  192.168.20.30:domain rr
  -> services:domain              Masq    1      0          1
TCP  192.168.20.30:www rr
  -> gcu:www                      Masq    1      0          0
TCP  192.168.20.30:2222 rr
  -> gcu:ssh                      Masq    1      0          0
TCP  192.168.20.30:ldap rr
  -> services:ldap                Masq    1      0          0

Ça change du –par-ici –par-la –sourceroutingcroise -j ACCEPT -i eth0 -A -I -O -P -L –ouaisouais non ?

One Response to “Krusty a dit: je ne forwarderai pas tes paquets”

  1. raf Says:
    September 17th, 2007 at 7:42 pm

    Ah je vois que je suis pas le seul a avoir galeré la dessus. En desespoir de cause j’ai tout foutu en @IP publique (ok je pouvais me le permettre).

Leave a Reply

WP Theme & Icons based on GlossyBlue by N.Design Studio
Banner from www.trynthlas.com
Entries RSS Comments RSS Log in
Performance Optimization WordPress Plugins by W3 EDGE