Ответы, понравившиеся пользователю ZiGR

Какая скорость работы с диском вашего VDS?

Laroy @Laroy

atlex.ru

msk-f7 (виртуальный хостинг)
Диск с данными клиентов:
Запись — 536870912 bytes (537 MB) copied, 2.76765 seconds, 194 MB/s
Чтение — 536870912 bytes (537 MB) copied, 2.39112 seconds, 225 MB/s

Диск с базами:
Запись — 536870912 bytes (537 MB) copied, 2.43823 seconds, 220 MB/s
Чтение — 536870912 bytes (537 MB) copied, 1.70459 seconds, 315 MB/s

— msk-f8 (виртуальный хостинг) — новый сервер SSD диски
Диск с данными клиентов:
Запись — 536870912 bytes (537 MB) copied, 2.51475 s, 213 MB/s
Чтение — 536870912 bytes (537 MB) copied, 1.17622 s, 456 MB/s

Диск с базами:
Запись — 536870912 bytes (537 MB) copied, 2.9881 s, 180 MB/s
Чтение — 536870912 bytes (537 MB) copied, 1.11688 s, 481 MB/s

— Виртуалки: везде софтовый рейд 10, самые слабые 512 ОЗУ 1 ядро

В Чехии
Запись — 536870912 bytes (537 MB) copied, 2.81114 s, 191 MB/s
Чтение — 536870912 bytes (537 MB) copied, 3.69322 s, 145 MB/s

В Москве
Запись — 536870912 bytes (537 MB) copied, 7.07279 s, 75.9 MB/s
Чтение — 536870912 bytes (537 MB) copied, 3.61423 s, 149 MB/s

Ответ написан более трёх лет назад

1 комментарий

Iptables и подмена ip?

icoz @icoz

Допустим, что на роутере 2 интерфейса следующего вида:
eth0 — интернет, имеет адрес ****/24 — неважно
eth1 — локалка, имеет адрес 192.168.1.1/24
Удаленный комп имеет адрес 1.2.3.4
Локальный комп имеет адрес 192.168.1.22
Локальный виртуальный комп имеет адрес 192.168.1.77

Сперва надо добавить дополнительный адрес к eth1, который будет обслуживать роутер:
ip addr add 192.168.1.77/24 dev eth1
или
ifconfig eth1 add 192.168.1.77

Роутинг от удаленного к локальному:
iptables -t nat -A PREROUTING -s 1.2.3.4 -i eth0 -j DNAT --to-destination 192.168.1.22
iptables -t filter -A FORWARD -s 1.2.3.4 -d 192.168.1.22 -j ACCEPT
iptables -t nat -A POSTROUTING -s 1.2.3.4 -j SNAT --to-source 192.168.1.77

Роутинг к удаленному от локального:
iptables -t nat -A PREROUTING -d 192.168.1.77 -i eth1 -j DNAT --to-destination 1.2.3.4
iptables -t filter -A FORWARD -d 1.2.3.4 -s 192.168.1.22 -j ACCEPT
POSTROUTING — не нужен, ибо и так есть NAT, настроенный самим роутером

ИМХО, должно так работать. Если что — пишите какие ошибки, будем разбираться.

Ответ написан более трёх лет назад

2 комментария

Iptables и подмена ip?

icoz @icoz

Только у удаленного компа айпи белый?

Ответ написан более трёх лет назад

3 комментария

Iptables и подмена ip?

icoz @icoz

Эх. Придётся чуть подождать. Щас накидаю примерно.

Ответ написан более трёх лет назад

1 комментарий

Iptables и подмена ip?

merlin-vrn @merlin-vrn

Ну что, у меня получилось так сделать. Рассказываю.

Пусть у нас есть локалка, которая получает в интернет доступ через роутер.
на роутере два интерфейса:

eth0 — интернет, имеет адрес 192.0.2.55/24 (такой адрес выдал провайдер, у провайдера шлюз 192.0.2.1)
eth1 — локалка, имеет адрес 192.168.1.1/24 (так было по умолчанию. менять не стали.) — серый

Роутер делает трансляцию адресов (белый адрес только у него). На нём есть маршруты:

192.168.1.0/24 dev eth1 src 192.168.1.1
192.0.2.0/24 dev eth0 src 192.0.2.55
default via 192.0.2.1

и одно правило трансляции (это всё, что нужно для того, чтобы интернет появился в локалке): либо так

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

либо так

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 192.0.2.55

В локалке есть компьютер, скажем, с адресом

192.168.1.22/24

и маршрутами

192.168.1.0/24 dev eth0 src 192.168.1.22
default via 192.168.1.1

и на нём работает интернет.

Мы хотим подключиться к компьютеру с адреса 192.0.2.66 (извне) так, чтобы компьютер думал, будто мы на самом деле подключаемся с 192.168.1.77.

На роутере добавляем трансляцию назначения:

iptables -t nat -A PREROUTING -s 192.0.2.66 -i eth0 -j DNAT --to-destination 192.168.1.22

чтобы все пакеты с нужного адреса завернуть на компьютер (а были они направлены роутеру, которому не нужны)

iptables -t filter -A FORWARD -s 192.0.2.66 -d 192.168.1.22 -j ACCEPT

чтобы разрешить прохождение всех таких пакетов

iptables -t nat -A POSTROUTING -s 192.0.2.66 -j SNAT --to-source 192.168.1.77

чтобы адрес источника в пакетах заменять на поддельный.

С точки зрения компьютера, 192.168.1.77 находится в локалке, ему не нужен роутер, чтобы послать туда пакет. Поэтому ответов мы не увидим — всё закончится тем, что компьютер получит приветственный пакет извне с нужными нам адресами и начнёт искать (arp who-has) на какой физический адрес отправлять ответы. Поскольку такого физического адреса нет, то ему никто и не ответит.

Решить эту проблему можно двумя способами. Либо можно назначить этот адрес роутеру: (на роутере)

ip addr add 192.168.1.77/24 dev eth1

теперь у роутера два адреса. Когда компьютер будет искать, кому бы отправить ответ, отзовётся роутер. Пакет подхватится conntrackом, будут сделаны обратные преобразования адресов и ответ пойдёт куда надо.

Либо можно сказать компьютеру, чтобы он конкретно до этого адреса ходил через роутер: (на компьютере)

ip route add 192.168.1.77 via 192.168.1.1

Есть и кардинальное решение. Пусть поддельный адрес будет в другой сети, не в локалке: 192.168.2.77/24; тогда никаких дополнительных проблем решать не придётся, а на роутере просто изменится аргумент в последнем --to-source.

Ответ написан более трёх лет назад

5 комментариев

Iptables и подмена ip?

Ingtar @Ingtar

Насколько я знаю, это делается функцией SNAT (source NAT) в цепочке prerouting таблицы nat

Ответ написан более трёх лет назад

3 комментария

Могут ли песочницы антивирусов изолировать код драйвера?

ntkt @ntkt

Потомственный рыцарь клавиатуры и паяльника

Нет. Об изоляции там речи не идет.
Теоретически это возможно, но будет медленно, нестабильно и нерентабельно.
Борьбу на одном уровне привилегий с врагом средства безопасности всегда проигрывают. Если вредоносный код уже в ring0 — пиши пропало.
Решение — уйти на уровень ниже и поместить средства безопасности в гипервизор. Но это уже совсем другая история.

Ответ написан более трёх лет назад

Комментировать