Вопросы Теги

Почему ICMP Перенаправляет Хост, происходят?

Среднее число системной нагрузки является метрикой производительности, используемой для представления, сколько работы система делает. Когда Вы входите в свой почтовый сервер (принимающий систему типов UNIX), можно ввести команду времени работы для наблюдения среднего числа загрузки по последней минуте, 5 минут и 15 минут. Вот пример от рабочего сервера:

sh$ uptime
10:53am  up 248 day(s), 36 min(s),  12 users,  load average: 0.28, 0.29, 0.30

Таким образом, 5-минутное среднее число загрузки 0.28, среднее число загрузки в течение прошлых 5 минут 0.29 и т.д. В этом случае Вы видите, что загрузка системы понижается немного со временем.

Как показывает опыт, Вы захотите сохранить загрузку сервера ниже 1. Но это не обязательно верно во всех случаях. Если Вы будете наблюдать свой сервер (серверы) некоторое время, то Вы начнете видеть, какова разумная загрузка. Это - вероятно, самый легкий способ понять это, просто наблюдая его в реальном мире. Тем не менее то, как среднее число загрузки вычисляется, на самом деле довольно сложно, но если Вам интересно, я рекомендую проверить следующую статью о том, как Linux вычисляет его:

http://www.linuxjournal.com/article/9001

Теперь назад к sendmail. Sendmail может быть настроен только к сообщениям очереди, или утончаться сообщения отклонения, когда среднее число загрузки (LA) становится слишком высоким. Идея состоит в том, что это помешает sendmail удалять Вашу целую систему. Если это отказывается от соединений слишком рано, существует две настройки, на которые можно посмотреть в sendmail.cf:

O QueueLA=8 - load average at which Sendmail queues new messages

O RefuseLA=12 - load average at which Sendmail rejects connections

Поиск с помощью Google на вышеупомянутом возвратил страницу с некоторыми инструкциями относительно того, как изменить эти параметры (при использовании макросов M4), который мог бы быть полезным:

http://www.revsys.com/writings/quicktips/sendmail-mc.html

25
задан 11 July 2012 в 15:02
4 ответа

На первый взгляд кажется, что Debian расширяет границы для отправки перенаправления ICMP; цитируя RFC 792 (Интернет-протокол) . 

  Шлюз отправляет сообщение перенаправления на хост в следующем
ситуация. Шлюз G1 получает дейтаграмму в Интернете от
хост в сети, к которой подключен шлюз. Шлюз,
 G1 проверяет свою таблицу маршрутизации и получает адрес следующего
 шлюз, G2, на маршруте к интернет-адресату дейтаграммы
 сеть, X. Если G2 и хост, идентифицированный интернет-источником
 адрес дейтаграммы находится в той же сети, перенаправление
сообщение отправлено на хост. Сообщение о перенаправлении сообщает
 хост для отправки своего трафика для сети X непосредственно на шлюз G2 как
это более короткий путь к месту назначения. Шлюз вперед
 исходные данные дейтаграммы к месту назначения в Интернете.

В данном случае G1 - это 10.1.2.1 ( eth1: 0 выше), X - это 10.1.1.0/24 , а G2 - 10.1.1.12 , а источником является 10.1.2.20 (т.е. G2 и хост, указанный в интернет-источнике адрес дейтаграммы ** НЕ ** в той же сети ). Возможно, это исторически интерпретировалось по-разному в случае псевдонимов интерфейса (или вторичных адресов) на одном и том же интерфейсе, но, строго говоря, я не уверен, что мы должны увидеть, как Debian отправляет это перенаправление.

В зависимости от ваших требований вы можете быть в состоянии решить эту проблему, сделав подсеть для eth1 чем-то вроде 10.1.0.0/22 ​​ (адреса хоста из 10.1.0.1 - 10.1.3.254 ) вместо использования псевдонимов интерфейса для отдельных блоков / 24 ( eth1 , eth1: 0 , eth1: 1 , ] eth1: 2 ); если вы это сделаете, вам нужно будет изменить сетевую маску всех подключенных хостов, и вы не сможете использовать 10.1.4. x, если вы не расширили его до / 21 .

РЕДАКТИРОВАТЬ

Мы решаемся немного выйти за рамки исходного вопроса, но я помогу проработать проблемы дизайна / безопасности, упомянутые в ваш комментарий.

Если вы хотите изолировать пользователей в своем офисе друг от друга, давайте вернемся на секунду и рассмотрим некоторые проблемы безопасности с тем, что у вас есть сейчас:

В настоящее время у вас есть четыре подсети в одном широковещательном домене Ethernet . Все пользователи в одном широковещательном домене не соответствуют требованиям безопасности, сформулированным вами в комментариях (все машины будут видеть широковещательные сообщения с других машин и могут спонтанно отправлять трафик друг другу на уровне Layer2, независимо от того, используется ли их шлюз по умолчанию eth1 ], eth1: 0 , eth1: 1 или eth1: 2 ). Ваш брандмауэр Debian ничего не может сделать, чтобы изменить это (или, может быть, я должен сказать, что вашему брандмауэру Debian не следует ничего сделать, чтобы это изменить: -).

  • Вам необходимо назначить пользователей в Vlan на основе О политике безопасности говорится в комментариях. Правильно настроенный Vlan будет иметь большое значение для устранения проблем, упомянутых выше. Если ваш коммутатор Ethernet не поддерживает виртуальные локальные сети, вы должны получить тот, который поддерживает.
  • Что касается доступа к нескольким доменам безопасности 10.1.1.12 , у вас есть несколько вариантов:
    • Вариант 1 : учитывая требование для всех пользователей доступа к службам на 10.1.1.12 , вы можете поместить всех пользователей в одну IP-подсеть и реализовать политики безопасности с помощью частных виртуальных локальных сетей (RFC). 5517) , если ваш коммутатор Ethernet поддерживает это. Эта опция не требует правил iptables для ограничения внутриофисного трафика, не пересекающего границы безопасности (что достигается с помощью частных виртуальных локальных сетей).
    • Вариант 2 : Вы могли бы указать пользователей в разные подсети (соответствующие Vlan) и реализовать правила iptables для развертывания ваших политик безопасности
  • После того, как вы защитили свою сеть на уровне Vlan, настройте политики маршрутизации на основе источника , чтобы отправлять разные пользователи по вашим множественным ссылкам.

К вашему сведению, если у вас есть маршрутизатор, поддерживающий VRF , кое-что из этого станет еще проще; IIRC, у вас есть машина с Cisco IOS. В зависимости от модели и образа программного обеспечения, которые у вас уже есть, Cisco может прекрасно изолировать ваших пользователей друг от друга и реализовать политики маршрутизации на основе источника.

22
ответ дан 28 November 2019 в 20:13

Непонятно, что вы пытаетесь сделать, но могу сказать следующее.

Эти подсети подключены к одному и тому же физическому интерфейсу. Маршрутизатор Linux будет возвращать сообщение о перенаправлении ICMP, когда полученный пакет должен быть перенаправлен через тот же физический интерфейс.

3
ответ дан 28 November 2019 в 20:13

Я согласен с комментариями Халеда и также добавлю в конец его фразы:

«Эти подсети подключены к одному и тому же физическому интерфейсу. Linux маршрутизатор вернет сообщение о перенаправлении ICMP, когда полученный пакет должны быть перенаправлены через тот же физический интерфейс » на тот же подсеть назначения , затем перенаправляет запрос на следующий переход. Это случилось со мной сегодня, используя маршрутизатор Mikrotik linux и F5 bigip. Устройство LTM. 

root@(primaryadc)(cfg-sync In Sync)(Standby)(/Common)(tmos)# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
From 192.168.153.20: icmp_seq=1 Redirect Host(New nexthop: 192.168.153.2)
64 bytes from 8.8.8.8: icmp_seq=1 ttl=128 time=82.8 ms
From 192.168.153.20: icmp_seq=2 Redirect Host(New nexthop: 192.168.153.2)
64 bytes from 8.8.8.8: icmp_seq=2 ttl=128 time=123 ms
**routing table**
0.0.0.0  192.168.153.20  0.0.0.0         UG        0 0          0 external
1
ответ дан 28 November 2019 в 20:13

Физически это кажется более простым решением - поместите каждую локальную сеть на отдельный коммутатор и установите 4-портовый сетевой адаптер в свой единый блок, который будет обслуживать их все.

0
ответ дан 15 March 2020 в 22:47

Теги

Похожие вопросы