XoRe

2Jora: имхо, вали отсюда, все равно ничего путного не советуешь, только обсираешь. 2Советчик: RST на SYN'ы - и на SYN'ы, и на простые пакеты с данными. Суть в том, что, как я понимаю, сессии будут рваться у обоих машин жутко.

Узнавание новых маков можно сделать так: for $i = 1 to 254 (главное - что понятно =) arp -d 192.168.0.$i ping -c 1 192.168.0.$i mac=`arp 192.168.0.$i | grep -v incomplete | grep -v published | awk '{print $4}'` конец for На этом мысль закончилась. Братие из файла известных мак адресов и запихивание туда новоузнанных придумайте сами.

Скрипт мудреный. one - один провайдер, two - другой 1.1.1.1 - шлюз одного провайдера, 2.2.2.2 - другого 111.111.111.111 и 222.222.222.222 хосты, которые идут следующими после шлюзов провайдеров по пути следования пакетов. Советую отследить с помощью traceroute. 111.111.111.111 - ip адрес, который всегда роутится через первого провайдера, 222.222.222.222 - через другого. Используется модуль для perl Net::Ping. pping.pl #!/usr/local/bin/perl use Net::Ping; open (OLD, '/usr/bin/netstat -rn | /usr/bin/grep default |') or die 'Can\'t open pipe'; while ($line = <OLD>) { ($way, $ip) = (split(/[\s\t]+/, $line))[0,1]; last if ($way eq 'default'); } close OLD; $host{one} = '111.111.111.111'; #ip адрес, который всегда роутится через первого провайдера $host{two} = '222.222.222.222'; #ip адрес, который всегда роутится через второго провайдера $ways{one} = '1.1.1.1'; $ways{two} = '2.2.2.2'; $ways{'1.1.1.1'} = 'one'; $ways{'2.2.2.2'} = 'two'; if(exists $ways{$ip}) { $route = $ways{$ip}; } else { die "$ip - unknown route\n"; } if($#ARGV >= 0) { $routenow = @ARGV[0]; goto need if (exists $ways{@ARGV[0]}); } $ping{two} = 0; $ping{one} = 0; foreach(1..20) { #one #two $one = Net::Ping->new('icmp', 1.5, 56); $two = Net::Ping->new('icmp', 1.5, 56); if($one->ping($host{one})) { $ping{one}++; } if($two->ping($host{two})) { $ping{two}++; } $one->close(); $two->close(); } if($ping{one} + 10 >= $ping{two}) { $routenow = 'one'; } else { $routenow = 'two'; } need: open(FILE,"> /usr/local/stat/traf/route") or exit; print FILE "Pings to one: $ping{one}\nPings to two: $ping{two}\nWere route: $route\nNow route: $routenow\n"; close FILE; if($route eq $routenow) { exit; } else { `/bin/cat /usr/local/etc/squid/squid.conf | /usr/bin/grep -v cache_peer | /usr/bin/grep -v never_direct > /tmp/sq`; `/bin/cp -f /tmp/sq /usr/local/etc/squid/squid.conf`; `/bin/rm -f /tmp/sq`; if($routenow eq 'one') { `echo cache_peer proxy.one.ru parent 8080 3130 no-query default >> /usr/local/etc/squid/squid.conf`; `echo never_direct allow all >> /usr/local/etc/squid/squid.conf`; } elsif($routenow eq 'two') { `echo cache_peer proxy.two.ru parent 8080 3130 no-query default >> /usr/local/etc/squid/squid.conf`; `echo never_direct allow all >> /usr/local/etc/squid/squid.conf`; } `/usr/local/sbin/squid -k reconfigure`; `/usr/local/etc/rc.d/routes.sh $routenow`; } exit; У меня в кроне стоит на запуск каждые 2 минуты. В Net::Ping->new('icmp', 1.5, 56);, icmp - протокол, 1.5 - допустимая задержка, 56 - объем данных в пакете. У меня такая задержка потому что у меня пинг на глобал 0,5 секунды минимум. Советую задержку поставить поменьше и запускать каждую минуту. if($ping{one} + 10 >= $ping{two}) - у меня у провайдера one траффик дешевле в полтора раза, по сравнению с two. Поэтому есть приоритет в его использовании. Кроме роутинга, перенастривается прокси-сервер для работы через прокси провайдеров. Если у вас такого нету - убирайте. В /usr/local/stat/traf/route записывается кол-во пингов, какой роутинг был, какой стал. /usr/local/etc/rc.d/routes.sh #!/bin/sh route="/sbin/route -q" main() { #какой-то внутренний и остальной роутинг ${route} add -net 192.168.2.0/24 внутренний_шлюз # homenet2 # для пингования каких-то хостов через разный провайдеров ${route} add 111.111.111.111 1.1.1.1 #For testing one channel ${route} add 222.222.222.222 2.2.2.2 #For testing two channel } case "$1" in start) main ${route} delete default ${route} add default 1.1.1.1 exit 0 ;; two) ${route} delete default ${route} add default 2.2.2.2 exit 0 ;; one) ${route} delete default ${route} add default 1.1.1.1 exit 0 ;; stop) exit 0 ;; *) echo "Usage: `basename $0` { start | one | two }" exit 64 ;; esac В результате можно настроить нужный роутнг командой /usr/local/etc/rc.d/routes.sh { one | two } или pping.pl { one | two } Претензии по написанию принимаются только конструктивные. Т.е. после слов "все это лажа" должен идти пример своих скриптов. Правится по вкусу. 2админам, которые "только установили линукс и как это юзать ваще": юзайте как хотите. Меня попросили только выложить скрипт. Все мои пояснения - личная инициатива. Дальше читайте доки. P.S. Эти скрипты можно настроить на использование хоть 2, хоть 3, хоть n провайдеров.

"гы" подумал XoRe.

Если нет отдельной машины под игровой сервер. Насколько я понял, говорят не об эмуляторе линукса типа vmware. А о бинарной совместимости с помощью подгружаемого модуля или даже на уровне ядра. В этом случае потерь по скорости работы практически нет. Мало того, таким образом под фрей некоторые линуховые программы работают даже быстрее, чем в самом линухе! =)) (как утверждают разработчики FreeBSD. думаю они говорят это после каких-то тестов).

хммм.... что мешает поставить свич и от него провести 2 кабеля?

http://www.line.com.ua/article.php?id=24 2Den_LocalNet: после того, как я посмотрел тесты скорости работы файловых систем, думаю, что в твоих словах много правды =)

насчет 1: какая разница, 3 рубля показывается или -3? Можно сделать кредит 1 000 000. А потом в конце месяца смотреть стоимость накаченого, убрав минус =) насчет 5: я уже поднимал этот вопрос с Борисом. Мне нужна была такая схема. Потом я понял, что это не эффективно. Но, если тебе это _очень_ надо. Думаю, при спонсировании, Борис сделает это для тебя =)

2пробегал мимо: если ты про plugin conference, то у него очень маленький функционал. А графическое оформление зависит от клиента.

написать скрипт, который пингует каналы обоих провов каждую минуту по 20 раз. если у первого провайдера пингов больше проходит, то на него. если у второго, то на него. у меня примерно что-то подобное реализовано. единственный минус - при переходе рвутся все соединения. т.е. отключается icq и т.д.

т.е. зароутить и т.е. переход?

делить - по ценам или для сервера? если по ценам, то могу посоветовать сделать прозрачный прокси. тогда пакеты будут считаться ДО того, как попадут на проксю. следовательно будет учитываться, куда они идут. а если для сервера - пишешь кучу acl с адресами и т.д. =)

Показывает ли sgauth сообщения, посылаемые админом из конфигуратора?

Сервер, порт, окончательное имя канала скажете?

про разделение траффика: Сначала описываешь локальные украинские адреса, потом пишешь 0.0.0.0/0 - сюда попадают все остальные адреса. Это будут забугорные.

Смотря как делать. Если умеючи, то нет. Все, как обычно, упирается в уровень знаний =)

Возможно. Тогда после первой жалобы врубаем tcpdump. А потом разбираем дамп =))

И ещё. Мне интересно, как ты обоснуешь теоретически возможность нормальной работы двух компов в одной сети с одинаковыми mac и ip, когда первая машина будет посылать в инет RST'ы на SYN'ы предназначенные для второй машины, а вторая машина будет делать это для пакетов, предназначенных для первой машины?

2Jora: Не несу. Согласен, если запустить эту связку в первый раз, то, к примеру arpwatch вместо того, чтобы выявить нехорошего человека, пришлет кучу писем "New station found". Поэтому эту программу нужно запускать как можно раньше. И настраивать её так, чтобы она слала все сообщения на мыло. Именно с помощью этой программы я сразу узнал, что кто-то стучится под чужими айпишниками. А, так как я сохранял все сообщения этой программы, то смог найти по сообщению месячной давности, у какого ip адреса впервые появился такой mac адрес. Согласен, когда подделывается ip и mac адрес, это малоэффективно. Поэтому я и добавил tcpdump в связку "arpwatch + trafshow + tcpdump". Возможность сохранения на жёсткий всех пакетов с указанным ip адресом в заголовке ещё никто не отменял. Этот дамп можно потом ещё раз пропарсить тем же tcpdump'ом. И в более спокойной обстановке просмотреть содержимое всех пакетов. С пострадавшим пользователем договориться, чтобы он заходил только на пару левых сайтов. Следовательно, все остальные сайты будут на совести нехорошего человека. И не только сайты, а pop3, icq, smtp, nntp, ftp сессии. Все пароли будут в твоем распоряжении, как только он их передаст по сети. А ещё его мыла и, возможно номера icq. Я думаю, этого более чем достаточно, чтобы узнать, кто занимается нехорошей деятельностью. Согласен, если ничего не делать и сидеть сложа руки, я его не выловлю. Мало того, если ничего не предпринимать, то будут страдать ещё и клиенты. Но это только пловина вопроса. Люди тут много написали про то, что это физически будет работать через ж#пу в сети на свичах и на хабах. Ты это никак не прокомментировал. Что ты думаешь о том, что люди написали про свои опыты с включением 2 машин с одинаковыми сетевыми реквизитами в одну сеть?

Однозначно пудрит. Я в локалке на 100 мегабит поднимал VPN через MPD. Через него качал со скоростью, гораздо большей 115,200 килобит. А процессор и правда сильно грузит.

Доказывают в суде. Админу достаточно подозрения, чтобы настроить arpwatch + trafshow + tcpdump на подозреваемый ip или mac адрес. И на основании полученных логов отключить клиента. А для того, чтобы информация ушла пострадавшим клиентам, даже логов не надо.

Траффик между авторизатором и сервером шифруется по blowfish. В отличие от VPN, авторизатор не устанавливает соединение. Поэтому через авторизатор не идет web и прочий траффик. Поэтому через авторизатор шифровать этот траффик не получится.

2Jora: ты ещё яйцами потряси для важности =)) Разговор не только о подмене ip-адреса, но и о подменеме mac-адреса. В этом случае в виндувсе табличка не выскакивает, ибо НЕТУ машины с ДРУГИМ mac-адресом. Есть машина с ТАКИМ-ЖЕ mac-адресом и, соответственно, ip-адресом. Я думаю, тут дело больше не в поведении компов в сети, а в поведении свичей и хабов. На хабах, я думаю, такое работать не будет. Ибо 1 компьютер будет получать пакеты, предназначенные другому компьютеру с такими-же сетевыми реквизитами. И будет слать RST на SYN'ы и всякие host unreachable. Аналогично и с другой машиной. На свичах, насколько я помню, есть несколько алгоритмов реализации запоминания соответствия ip-адреса mac-адресу. Поэтому тут ещё возможна какая-то совместная работа. Насколько я понимаю, глючить будет безбожно не только эти 2 компа, а и вся сетка.

Я. Когда имел пароль на рута, но ещё не работал админом =))) Что мешает сделать вышеперечисленное самому пользователю на своей машине? Имхо, это лишнее само по себе. И тем более это лишнее для стг. Хотя, это только мое мнение. Если так нужно - могу посоветовать такой вариант: клаву в руки и вперед =)) Можно ведь хоть веб интерфейс к этому делу написать.

Хотябы? А куда дальше? ssl? ipsec? ttyd?(и так выделенку делали) Я думаю, если Борис сделает подсчет через divert для BSD, реализовывать подсчет через tun уже не понадобится. "- Если я стану избранным, я смогу уворачиваться от пуль? - Если ты станешь избранным, тебе это уже не понадобится." © Matrix =))