שנעל רוטינג און NAT אין לינוקס

ווי IPv4 אַדרעסעס ווערן דיפּליטיד, פילע טעלעקאָם אָפּערייטערז זענען פייסט מיט די נויט צו צושטעלן זייער קלייאַנץ נעץ אַקסעס ניצן אַדרעס איבערזעצונג. אין דעם אַרטיקל איך וועט זאָגן איר ווי איר קענען באַקומען קאַריער גראַדע NAT פאָרשטעלונג אויף סכוירע סערווערס.

א ביסל פון געשיכטע

די טעמע פון ​​IPv4 אַדרעס פּלאַץ יגזאָסטשאַן איז ניט מער נייַ. אין עטלעכע פונט, ווארטן רשימות ארויס אין RIPE, דעמאָלט יקסטשיינדזשיז ימערדזשד אויף וואָס בלאַקס פון אַדרעסעס זענען געווען טריידיד און דילז זענען געפונען צו דינגען זיי. ביסלעכווייַז, טעלעקאָם אָפּערייטערז אנגעהויבן צו צושטעלן אינטערנעט אַקסעס באַדינונגס ניצן אַדרעס און פּאָרט איבערזעצונג. עטלעכע האָבן ניט געראטן צו באַקומען גענוג אַדרעסעס צו אַרויסגעבן אַ "ווייַס" אַדרעס צו יעדער אַבאָנענט, בשעת אנדערע אנגעהויבן צו שפּאָרן געלט דורך אָפּזאָגן צו קויפן אַדרעסעס אויף די צווייטיק מאַרק. מאַניאַפאַקטשערערז פון נעץ ויסריכט געשטיצט דעם געדאַנק, ווייַל דעם פאַנגקשאַנאַליטי יוזשאַוואַלי ריקווייערז נאָך געשפּרייט מאַדזשולז אָדער לייסאַנסיז. למשל, אין דזשוניפּער ס שורה פון מקס ראָוטערס (אַחוץ פֿאַר די לעצטע MX104 און MX204), איר קענען דורכפירן NAPT אויף אַ באַזונדער MS-MIC דינסט קאָרט, Cisco ASR1k ריקווייערז אַ CGN דערלויבעניש, Cisco ASR9k ריקווייערז אַ באַזונדער A9K-ISM-100 מאָדולע. און אַ A9K-CGN דערלויבעניש -LIC צו אים. אין אַלגעמיין, די פאַרגעניגן קאָס אַ פּלאַץ פון געלט.

IPTables

די אַרבעט פון פּערפאָרמינג NAT טוט נישט דאַרפן ספּעשאַלייזד קאַמפּיוטינג רעסורסן; עס קענען זיין סאַלווד דורך גענעראַל-ציל פּראַסעסערז וואָס זענען אינסטאַלירן, למשל, אין קיין היים ראַוטער. אויף די וואָג פון אַ טעלעקאָם אָפּעראַטאָר, דעם פּראָבלעם קענען זיין סאַלווד ניצן סכוירע סערווערס מיט FreeBSD (ipfw/pf) אָדער GNU/Linux (iptables). מיר וועלן נישט באַטראַכטן FreeBSD, ווייַל ... איך פארשטאפט ניצן דעם אַס גאַנץ אַ לאַנג צייַט צוריק, אַזוי מיר וועלן שטעקן צו GNU / לינוקס.

ענייבאַלינג אַדרעס איבערזעצונג איז נישט שווער. ערשטער איר דאַרפֿן צו רעגיסטרירן אַ הערשן אין iptables אין די נאַט טיש:

iptables -t nat -A POSTROUTING -s 100.64.0.0/10 -j SNAT --to <pool_start_addr>-<pool_end_addr> --persistent

די אָפּערייטינג סיסטעם וועט לאָדן די nf_conntrack מאָדולע, וואָס וועט מאָניטאָר אַלע אַקטיוו קאַנעקשאַנז און דורכפירן די נייטיק קאַנווערזשאַנז. עס זענען עטלעכע סאַטאַלטיז דאָ. ערשטער, זינט מיר זענען גערעדט וועגן NAT אויף די וואָג פון אַ טעלעקאָם אָפּעראַטאָר, עס איז נייטיק צו סטרויערן די טיימאַוץ, ווייַל מיט פעליקייַט וואַלועס די גרייס פון די איבערזעצונג טיש וועט געשווינד וואַקסן צו קאַטאַסטראָפיק וואַלועס. ונטער איז אַ ביישפּיל פון די סעטטינגס איך געוויינט אויף מיין סערווערס:

net.ipv4.ip_forward = 1
net.ipv4.ip_local_port_range = 8192 65535

net.netfilter.nf_conntrack_generic_timeout = 300
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 600
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 45
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.netfilter.nf_conntrack_icmpv6_timeout = 30
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_events_retry_timeout = 15
net.netfilter.nf_conntrack_checksum=0

און צווייטנס, זינט די פעליקייַט גרייס פון די איבערזעצונג טיש איז נישט דיזיינד צו אַרבעטן אונטער די באדינגונגען פון אַ טעלעקאָם אָפּעראַטאָר, עס דאַרף זיין געוואקסן:

net.netfilter.nf_conntrack_max = 3145728

עס איז אויך נייטיק צו פאַרגרעסערן די נומער פון באַקאַץ פֿאַר די האַש טיש סטאָרינג אַלע בראָדקאַסץ (דאָס איז אַן אָפּציע אין די nf_conntrack מאָדולע):

options nf_conntrack hashsize=1572864

נאָך די פּשוט מאַניפּיאַליישאַנז, אַ גאָר ארבעטן פּלאַן איז באקומען וואָס קענען איבערזעצן אַ גרויס נומער פון קליענט אַדרעסעס אין אַ בעקן פון פונדרויסנדיק אָנעס. אָבער, די פאָרשטעלונג פון דעם לייזונג לאָזן פיל צו זיין געוואלט. אין מיין ערשטער פרווון צו נוצן GNU/Linux פֿאַר NAT (אַרום 2013), איך איז געווען ביכולת צו באַקומען פאָרשטעלונג פון אַרום 7Gbit/s ביי 0.8Mpps פּער סערווער (Xeon E5-1650v2). זינט דער צייט, פילע פאַרשידענע אָפּטימיזאַטיאָנס זענען געמאכט אין די GNU / Linux קערן נעץ אָנלייגן, די פאָרשטעלונג פון איין סערווער אויף דער זעלביקער ייַזנוואַרג איז געוואקסן צו כּמעט 18-19 Gbit / s ביי 1.8-1.9 Mpps (דאָס זענען די מאַקסימום וואַלועס) , אָבער די פאָדערונג פֿאַר פאַרקער באַנד, פּראַסעסט דורך איין סערווער געוואקסן פיל פאַסטער. ווי אַ רעזולטאַט, סקימז זענען דעוועלאָפּעד צו באַלאַנסירן די מאַסע אויף פאַרשידענע סערווערס, אָבער אַלע דעם געוואקסן די קאַמפּלעקסיטי פון באַשטעטיקן, מיינטיינינג און מיינטיינינג די קוואַליטעט פון די סערוויסעס צוגעשטעלט.

נפטאַבלעס

נאָוואַדייַס, אַ מאָדערן גאַנג אין ווייכווארג "שיפטינג באַגס" איז די נוצן פון DPDK און XDP. עס זענען געשריבן פילע אַרטיקלען אויף דעם טעמע, פילע פאַרשידענע רעדעס זענען געמאכט און געשעפט פּראָדוקטן (למשל, SKAT פון VasExperts). אָבער געגעבן די לימיטעד פּראָגראַממינג רעסורסן פון טעלעקאָם אָפּערייטערז, עס איז גאַנץ פּראָבלעמאַטיק צו שאַפֿן קיין "פּראָדוקט" באזירט אויף די פראַמעוואָרקס אויף דיין אייגן. עס וועט זיין פיל מער שווער צו אַרבעטן אַזאַ אַ לייזונג אין דער צוקונפֿט; ספּעציעל דיאַגנאָסטיק מכשירים וועט זיין דעוועלאָפּעד. פֿאַר בייַשפּיל, נאָרמאַל tcpdump מיט DPDK וועט נישט אַרבעטן פּונקט אַזוי, און עס וועט נישט "זען" פּאַקיץ געשיקט צוריק צו די ווירעס ניצן XDP. צווישן אַלע די רעדן וועגן נייַע טעקנאַלאַדזשיז פֿאַר אַוטפּוץ פּאַקאַט פאָרווערדינג צו באַניצער-פּלאַץ, זיי זענען אַננאָוטיסט מעלדעט и אַרטיקל Pablo Neira Ayuso, יפּטאַבלעס מאַינטערער, ​​וועגן די אַנטוויקלונג פון לויפן אָפלאָודינג אין נפטאַבלעס. זאל ס נעמען אַ נעענטער קוק אין דעם מעקאַניזאַם.

דער הויפּט געדאַנק איז אַז אויב די ראַוטער דורכגעגאנגען פּאַקיץ פון איין סעסיע אין ביידע אינסטרוקציעס פון די לויפן (TCP סעסיע איז געווען אין די ESTABLISHED שטאַט), עס איז ניט דאַרפֿן צו פאָרן סאַבסאַקוואַנט פּאַקיץ פון דעם סעסיע דורך אַלע פיירוואַל כּללים, ווייַל אַלע די טשעקס וועט נאָך ענדיקן מיט די פּאַקאַט טראַנספערד ווייַטער צו די רוטינג. און מיר טאָן ניט טאַקע דאַרפֿן צו אויסקלייַבן אַ מאַרשרוט - מיר שוין וויסן צו וואָס צובינד און צו וואָס באַלעבאָס מיר דאַרפֿן צו שיקן פּאַקיץ אין דעם סעסיע. אַלע וואָס בלייבט איז צו קראָם די אינפֿאָרמאַציע און נוצן עס פֿאַר רוטינג אין אַ פרי בינע פון ​​פּאַקאַט פּראַסעסינג. ווען פּערפאָרמינג NAT, עס איז נייטיק צו אויך קראָם אינפֿאָרמאַציע וועגן ענדערונגען אין אַדרעסעס און פּאָרץ איבערגעזעצט דורך די nf_conntrack מאָדולע. יאָ, דאָך, אין דעם פאַל, פאַרשידן פּאַליסערז און אנדערע אינפֿאָרמאַציע און סטאַטיסטיש כּללים אין יפּטאַבלעס האַלטן ארבעטן, אָבער אין די ראַם פון די אַרבעט פון אַ באַזונדער שטייענדיק NAT אָדער, למשל, אַ גרענעץ, דאָס איז נישט אַזוי וויכטיק ווייַל די סערוויסעס. זענען פונאנדערגעטיילט איבער דיווייסאַז.

קאָנפיגוראַטיאָן

צו נוצן דעם פֿונקציע מיר דאַרפֿן:

• ניצן אַ פריש קערן. טראָץ דער פאַקט אַז די פאַנגקשאַנאַליטי זיך ארויס אין קערן 4.16, פֿאַר אַ לאַנג צייַט עס איז געווען זייער "רוי" און קעסיידער געפֿירט קערן פּאַניק. אַלץ סטייבאַלייזד אַרום דעצעמבער 2019, ווען LTS קערנאַלז 4.19.90 און 5.4.5 זענען באפרייט.
• רירייט יפּטאַבלעס כּללים אין nftables פֿאָרמאַט מיט אַ פערלי פריש ווערסיע פון ​​nftables. אַרבעט פּונקט אין ווערסיע 0.9.0

אויב אַלץ אין פּרינציפּ איז קלאָר מיט דער ערשטער פונט, די הויפּט זאַך איז נישט צו פאַרגעסן צו אַרייַננעמען די מאָדולע אין די קאַנפיגיעריישאַן בעשאַס פֿאַרזאַמלונג (CONFIG_NFT_FLOW_OFFLOAD=m), דעמאָלט דער צווייטער פונט ריקווייערז דערקלערונג. nftables כּללים זענען דיסקרייבד גאָר אַנדערש ווי אין iptables. דאָקומענטאַטיאָן ריווילז כּמעט אַלע פונקטן, עס זענען אויך ספּעציעל קאַנווערטערז כּללים פון iptables צו nftables. דעריבער, איך וועל נאָר געבן אַ ביישפּיל פון באַשטעטיקן NAT און לויפן אָפלאָאַד. א קליין לעגענדע למשל: , - דאָס זענען די נעץ ינטערפייסיז דורך וואָס פאַרקער פּאַסיז; אין פאַקט עס קענען זיין מער ווי צוויי פון זיי. , - די אָנהייב און סאָף אַדרעס פון די קייט פון "ווייַס" אַדרעסעס.

NAT קאַנפיגיעריישאַן איז זייער פּשוט:

#! /usr/sbin/nft -f

table nat {
        chain postrouting {
                type nat hook postrouting priority 100;
                oif <o_if> snat to <pool_addr_start>-<pool_addr_end> persistent
        }
}

מיט לויפן אָפלאָאַד עס איז אַ ביסל מער קאָמפּליצירט, אָבער גאַנץ פאַרשטיייק:

#! /usr/sbin/nft -f

table inet filter {
        flowtable fastnat {
                hook ingress priority 0
                devices = { <i_if>, <o_if> }
        }

        chain forward {
                type filter hook forward priority 0; policy accept;
                ip protocol { tcp , udp } flow offload @fastnat;
        }
}

אַז, אין פאַקט, איז די גאנצע סעטאַפּ. איצט אַלע TCP / UDP פאַרקער וועט פאַלן אין די פאַסטנאַט טיש און זיין פּראַסעסט פיל פאַסטער.

רעזולטאַטן

צו מאַכן עס קלאָר ווי "פיל פאַסטער" דאָס איז, איך וועל צוטשעפּען אַ סקרעענשאָט פון די מאַסע אויף צוויי פאַקטיש סערווערס, מיט דער זעלביקער ייַזנוואַרג (Xeon E5-1650v2), יידעניקאַל קאַנפיגיערד, ניצן די זעלבע לינוקס קערן, אָבער דורכפירן NAT אין יפּטאַבלעס. (NAT4) און אין נפטאַבלעס (NAT5).

עס איז קיין גראַפיק פון פּאַקיץ פּער סעקונדע אין די סקרעענשאָט, אָבער אין די מאַסע פּראָפיל פון די סערווערס די דורכשניטלעך פּאַקאַט גרייס איז אַרום 800 ביטעס, אַזוי די וואַלועס דערגרייכן אַרויף צו 1.5 מפּס. ווי איר קענען זען, דער סערווער מיט nftables האט אַ ריזיק פאָרשטעלונג רעזערוו. דערווייַל, דער סערווער פּראַסעסאַז אַרויף צו 30Gbit / s ביי 3Mpps און איז קלאר טויגעוודיק צו טרעפן די גשמיות נעץ באַגרענעצונג פון 40Gbps, בשעת איר האָבן פריי קפּו רעסורסן.

איך האָפֿן דעם מאַטעריאַל וועט זיין נוציק פֿאַר נעץ ענדזשאַנירז טריינג צו פֿאַרבעסערן די פאָרשטעלונג פון זייער סערווערס.

מקור: www.habr.com