 | |
Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum |
Network Traffic Filtering
Clicca QUI per vedere il messaggio nel forum |
| ZeroByte |
Ciao a tutti! Mi appello a qualche esperto di networking che mi possa aiutare, visto che sto incappando in questo bel problema, all'apparenza estremamente semplice da risolvere... Ecco la situazione: il traffico di una rete (metropolitana), viene controllato da diverse sonde IDS. Queste sonde ricevono il traffico da più switch configurati in SPAN. Per diversi motivi, è necessario cambiare questa architettura. Si vuole implementare una soluzione alternativa che prevede che tutto il traffico del CED, arrivi su un'unica interfaccia (per il momento non ci dovrebbero essere problemi prestazionali). Sarà quindi necessario poi suddividere il traffico proveniente da questa interfaccia su più interfacce (in base all'indirizzo IP del pacchetto) sulle quali saranno attestate le diverse sonde IDS, in modo che ciascun IDS veda solamente un determinato tipo di traffico (Ad esempio solamente il traffico della zona Internet, il traffico della Extranet e così via).
Al momento stiamo sperimentando un prodotto commerciale (di cui non farò il nome per non farne pubblicità :razz: ) che purtroppo però non si sta comportando bene, nel senso che per ragioni a noi oscure perde una quantità mostruosa di pacchetti (vi assicuro che al momento il carico di rete è estremamente basso). Come soluzione alternativa, ho subito pensato ad una Linux box con su Iptables. Iptables però non riesce a gestire traffico che non conosce, ed andrebbe affiancato ad un altro tool, esattamente ebtables. In rete però, ho notato che il buon pf dei sistemi BSD, dovrebbe fare tutto in maniera estremamente più semplice. Non conoscendo però tali sistemi, mi sono affidato a questo post: http://taosecurity.blogspot.com/200...on-with-pf.html. Ora, usando dup-to, mi viene replicato solo il traffico NON Tcp. Qualcuno sa darmi qualche dritta?
Grazie, se non altro per essere arrivati a leggere fin qui :) |
| DeepBlue |
PF è veramente potente, ho iniziato anche io a guardarlo, perché nei miei progetti aziendali c'è l'implementazione di un bilanciatore fault tolerant con carp e pfsync. Purtroppo non sono abbastanza skillato per darti un consiglio in questo senso.
Per quanto riguarda Linux, secondo me iptables non è il software più adatto a fare quello che ti serve. Forse dovresti dare un'occhiata a Zebra:
http://www.zebra.org |
| ZeroByte |
Ciao DeepBlue, ti ringrazio innanzitutto dell'interessamento. Ho dato un'occhiata veloce alla documentazione di Zebra. Mi sembra di aver capito che con questo software sia possibile gestire protocolli di routing, tipo BGP, OSPF, RIP e così via (smentiscimi pure se è il contrario). A me serve invece filtrare e smistare il traffico su più interfacce di rete, se possibile in modo del tutto trasparente. In soldoni, mi servirebbe qualcosa del tipo:
Analisi del traffico in entrata su eth0 --> Se l'IP destination è 192.168.0.1/27, allora forwarda tutto su eth1, se l'IP destination è 172.16.0.1/27 allora forwarda su eth2 e così via.
Spero di essere stato più chiaro. Saluti!! |
| p2p |
con delle normali access list puoi farlo, se non vuoi spendere per degli apparati puoi usare http://www.vyatta.com/
ciao |
| p2p |
| Alla fine? un feedback ce lo dai?? |
| ZeroByte |
Hai ragione, chiedo venia! Il fatto è che ancora a tutt'oggi la situazione non è stata definita completamente. L'architettura di rete ha subito qualche modifica, ma al 99% verrà acquistato il prodotto commerciale all-in-one di cui al primo post. Ho provato a far andare OpenBSD, ma non sono riuscito ad ottenere completamente quello che volevo, anche se per la verità devo dire che tutto questo mi ha fatto avvicinare a questo nuovo Sistema Operativo!
In tutto questo non me la sono sentita di spingere molto su soluzioni Open Source diciamo "casalinghe", perché per il Cliente in questione è essenziale avere assistenza 24h su 24h (è un ambiente abbastanza critico che non ammette interruzioni di servizio, anche se stiamo parlando di sonde IDS).
Grazie a tutti comunque! |
|
|
|
|
