© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Thu, Nov 15, 2007 at 03:10:41PM +0100, Bjoern Engels wrote:
> On Thu, Nov 15, 2007 at 02:40:08PM +0100, Bernd Walter wrote:
> > On Thu, Nov 15, 2007 at 01:17:18PM +0100, Bjoern Engels wrote:
> > > ich bin derzeit auf der Suche nach Moeglichkeiten, unter FreeBSD 6.2
> > > eingehende ARP-Requests zu filtern. Hintergrund ist, dass auf einem Set
> > > von Maschinen, die hinter einem Loadbalancer stehen, ein und die selbe
> > > IP-Adresse gebunden sein soll, ARP-Anfragen nach dieser Adresse darf
> > > aber keine Maschine aus diesem Set beantworten.
> > > Unter Linux kenne ich mehrere Moeglichkeiten, z.B. spezielle
> > > Kernelpatches, sysctl-Setzungen, oder arptables. Gibt es unter FreeBSD
> > > aehnliche Moeglichkeiten dazu? Meine eigenen Recherchen dazu waren
> > > bisher leider ergebnislos.
> >
> > Klingt gebastelt, was mich bei Linux nicht mal wundert.
> > Normalerweise legt man derartige IPs einfach aufs Loopback der
> > Maschinen, also nicht aufs LAN und das Problem existiert gar nicht
> > erst.
>
> Gebastel war es einmal, bevor entsprechende Features in den Kernel
> aufgenommen wurden. Aktuell ist die Moeglichkeit, arptables zu nutzen,
> von Gebastel kann man da nicht sprechen.
> Die Adressen auf's Loopback zu binden und fuer das Loopback-Interface
> das no-ARP-Flag zu setzen ist die Version, die ich von SuSE
> Enterprise-Linux kenne. Ich weiss nicht, ob die das selbst reingepatcht
> haben, oder ob das ein Standard-Feature der eingesetzten Kernel-Version
> ist. Dass FreeBSD ARP-Anfragen auf an's Loopback-Interface gebundene
> Adressen nicht beantwortet, wusste ich nicht. Habe es gerade
> ausprobiert, das sollte eigentlich genau das sein, wonach ich gesucht
> habe. Danke :)
Ja - Linux hat default eine löchrige Netzisolation :(
Ich vergesse das immer wieder, dass Linux derart kaput ist.
Sowas sollte _kein_ System beantworten und tut es außer Linux auch
keines.
Diese ARP Antworten für IPs auf unbeteiligten Interfaces hat schon so
manchen unbedarften Admin verärgert, weil sowas einfach nicht sein
dürfte - jedenfalls nicht default und das ist leider bei etlichen
Distributionen der Fall.
Ein Bekannter hat z.B. mal einen ganzen Tag lang einen Fehler gesucht,
bei dem auf einem Linux-Rechnur nur die beiden Netzwerk-Kabel vertauscht
waren, aber er das deshalb nicht bemerkte, weil ARP ja funktioniert hat.
Er hat statt-dessen in diversen Filtern gesucht...
Dieses Unsinn kann man irgendwie global abschalten, auch ohne ARP auf
einzelnen Interfaces abzuschalten, aber da ich mit Linux zum Glück
nicht viel am Hut habe weiß ich das nicht auswendig - ich höre immer
nur in Gesprächrunden Leute fluchen, die weniger Glück haben und sich
damit rumärgern müssen...
> > Mal abgesehen davon verstehe ich nicht mal was du damit erreichen
> > willst.
> > Wenn der Loadbalancer davon ausgeht, dass die gleich IP mehrfach auf
> > dem LAN existiert, warum sollte er dann erst auf die Idee kommen dafür
> > ARP-Requests zu senden?
> > Jeder Zugriff würde doch dann zwangsläufig in Timeouts landen und ist
> > eh nicht zu gebrauchen.
> > Du tauscht nur ein Symptom gegen ein anderes aus.
>
> Nein, das Ganze funktioniert hier auf einigen High-Traffic-Sites
> wunderbar. Es ist auch nicht der Loadbalancer, der die ARP-Requests
> senden wuerde, sondern der Router des entsprechenden Netzes.
> Diese duerfen nur vom Loadbalancer beantwortet werden, nicht von den
> Realservern. (Loadbalancer UND Realserver haben die zu balancende
> Adresse gebunden.) Sinn und Zweck der ganzen Aktion ist, dass man sich
> sparen kann, auf dem Loadbalancer NAT oder einen Proxy nutzen zu
> muessen, und dass der "Rueckweg" des Traffics nicht mehr ueber den
> Loadbalancer gehen muss, sondern direkt an den anfragenden Client
> geschickt wird. Falls es Dich interessiert, hier
> http://www.lvserver.de/german/VS-DRouting.html gibt es eine
> Beschreibung, die zwar alt ist, den Kern der Sache aber genau trifft.
> (Ab "How to build the kernel" ist der Artikel veraltet.)
Ah - an einen solchen Aufbau hatte ich nicht gedacht.
Ich bin jetzt nicht davon ausgegangen, dass der LB die IP auch auf dem
Server-Netz konfiguriert hat.
Dann macht das natürlich Sinn.
-- B.Walter http://www.bwct.de http://www.fizon.de bernd(at)bwct.de info(at)bwct.de support(at)fizon.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 15 Nov 2007 - 15:51:11 CET