Re: Traffic einer Jail via einem dediziertem Interface messen

From: Bernd Walter <ticso(at)cicely7.cicely.de>
Date: Thu, 17 Sep 2009 19:12:08 +0200



On Thu, Sep 17, 2009 at 06:40:25PM +0200, Frank Steinborn wrote:


> Hi!


> 


> Auf einem Server habe ich zur Zeit sieben Jails konfiguriert, alle auf


> einem Interface, nämlich lo1. Nun habe ich die Anforderung eine achte


> Jail zu installieren die ein seperates Interface bekommen soll, um


> dort transparent mit Tools wie systat o.ä. bequem den Traffic messen


> zu können.


> 


> Ich habe also dieser Jail ein extra Interface (lo2) zugewiesen.


> Genattet werden die gesamten Jails via pf. Generiere ich nun auf der


> lo2-Jail Traffic und beobachte via 'systat -if' die Auslastung stelle


> ich allerdings fest, das auf dem Interface nicht der tatsächliche


> Traffic anliegt, der über die Jail nach aussen geht bzw. hereinkommt.


> 


> Habe ich hier einen prinzipiellen Denkfehler was NAT angeht und hat


> jemand einen Tipp für mich wie ich das Ziel erreichen könnte?


> 


> Auf lo2 liegt zwar Traffic an, aber es ist definitiv nicht alles, was


> zu dem Zeitpunkt durch die Jail flutscht. Seltsam für mich ist zudem,


> das ein 'tcpdump -vv -i lo2' nicht ein einzelnes Paket einfängt,


> obwohl doch ein wenig Traffic durchfliesst. Auf dem realen Interface


> (bge0) sehe ich die Anfragen von und zur Jail, allerdings lässt die


> Ausgabe auch nichts von einem NAT vermuten.



Lokale IPs funktionieren anders.



Beispiel:


[115]cicely7> ifconfig em0


em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500


        options=1db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM,TSO4>


        ether 00:1c:c0:94:2c:d7


        inet 10.1.1.9 netmask 0xffffff00 broadcast 10.1.1.255


        media: Ethernet autoselect (1000baseTX <full-duplex>)


        status: active


[116]cicely7> route get 10.1.1.9


   route to: cicely7


destination: cicely7


  interface: lo0


      flags: <UP,HOST,DONE,LLINFO,WASCLONED,LOCAL>


 recvpipe  sendpipe  ssthresh  rtt,msec    rttvar  hopcount      mtu     expire


       0         0         0         0         0         0     16384         0 



Die 10.1.1.9 ist auf em0 konfiguriert, trotzdem geht der Traffic


logisch über lo0.


Das geht soweit, dass für 10.1.1.9 auch die größere MTU vom lo0


gültig ist.


Das macht auch Sinn, was soll der Traffic an die eigene IP auch über


ein LAN gehen oder gar dessen Einschränkungen in kauf nehmen.


Die zugehörige host-route wird dir selbstverständlich auch vom


netstat -r angezeigt.



Ein jail besteht nur aus Prozesseinschränkungen, aber unterliegt


keinem getrennten Routing.


Per IP accouting, z.B. per ipfw kannst du das erfassen.


Auf ein Interface kann du natürlich auch dort nicht filtern, aber du


kannst gezielt auf eine jail-id filtern.



-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 17 Sep 2009 - 19:12:20 CEST













search this site