» Материалы за 20.04.2018

Как правильно настраивать bridge vlan на Debian 9 (aka Stretch)

Как управлять настройкой сети с помощью systemd. [1]
Никаких других менеджеров для сети, таких как network-manager, ifup/down и т. д.
Прямое соединение с сетевой картой. Здесь я предполагаю, что 10 и 20 транковые сети для сетевой карты eth1

Сетевой интерфейс eth1 имеет vlans (10, 20) первый vlan (10) со стандартным адресом ipv4, второй vlan для использования, например libvirt, kvm в качестве моста.

Конфигурация eth1:

Это конфигурация физической сетевой карты. Здесь мы определяем только наличие двух вланов.

$ cat /etc/systemd/network/eth1.network

[Match]
Name=eth1

[Network]
VLAN=eth1.10
VLAN=eth1.20

Конфигурация Vlan10:

Это рабочий интерфейс.

$ cat/etc/systemd/network/eth1.10.netdev

[NetDev]
Name=eth1.10
Kind=vlan

[VLAN]
Id=10

Далее задается сеть на интерфейсе:

$ cat /etc/systemd/network/eth1.10.network

[Match]
Name=eth1.10

[Network]
Description="VLAN 10"
Address=10.0.0.10/24
Gateway=10.0.0.1
DNS=8.8.8.8
DNS=10.0.0.100
Domains=example.com
NTP=ntp.example.com

Конфигурация в качестве моста:

$ cat /etc/systemd/network/eth1.20.netdev

[NetDev]
Name=eth1.20
Kind=vlan

[VLAN]
Id=20

В этом конфигурационном файле мы определяем, что link неуправляемый по systemd и сетевое соединение будет следовать (BindCarrier) статусу реального интерфейса eth1.

$ cat /etc/systemd/network/eth1.20.network

[Match]
Name=eth1.20


[Network]
Bridge=br1.20

Ну и создаем девайс моста:

$ cat /etc/systemd/network/br1.20.netdev

[NetDev]
Name=br1.20
Kind=bridge


$ cat/etc/systemd/network/br1.20.network

[Match]
Name=br1.20

[Network]
DHCP=ipv4

P.S. Команды в помощь.

.link – описывают физические параметры каждого интерфейс: имя, MAC, MTU и другие
.network – описывают параметры сети: IP, маршруты, DNS и другие
.netdev – описывают виртуальные интерфейсы, мосты



$ systemctl enable systemd-networkd.service
$ systemctl status systemd-networkd.service
$ networkctl

Автор: hellevil | 20-04-2018, 09:50 | Просмотров: 2 240 Подробнее

Установка и настройка балансировщика dnsdist

Статьи

Dnsdist - это высокопроизводительный DNS-, DoS- и abuse
балансировщик. Основная его задача заключается в маршрутизации трафика на
лучший сервер, обеспечивающий максимальную производительность для разрешенных
пользователей, в то время как происходит шунтирование или блокировка зловредного трафика.

Обладает огромным количество фичей:

• Фильтровать трафик (из ядра)
• Проверять прямой трафик с консоли
• Задерживать и ограничивать скорость плохих запросов
• Интеллектуальная балансировка нагрузки
• Ограничение QPS и пр.

Более подробно можно почитать на сайте

Установим пакет dnsdist.

yum install dnsdist

Открываем конфигурационный файл /etc/dnsdist/dnsdist.conf и приводим к следующему виду:

setLocal('127.0.0.1')
addLocal('ANOTHER_IP')
addLocal('ANOTHER_IPV6_IP')
setACL({'0.0.0.0/0'}) -- Allow all IPs access
newServer({address='127.0.0.1:5300', pool='auth'})
newServer({address='127.0.0.1:5301', pool='recursor'})
recursive_ips = newNMG()
recursive_ips:addMask('127.0.0.1/32')
recursive_ips:addMask('192.168.0.0/23')
addAction(NetmaskGroupRule(recursive_ips), PoolAction('recursor'))
addAction(AllRule(), PoolAction('auth'))

Если хотим открыть рекурсию для всех, то убираем все правила, и добавляем recursive_ips:addMask('0.0.0.0/0').
ВНИМАНИЕ! В таком режиме есть вероятность DDoS-атаки!

Добавляем сервис в автозагрузку и запускаем:

systemctl enable dnsdist && systemctl start dnsdist

Проверяем, что сервер запустился без ошибок и все в порядке:

# systemctl status dnsdist 
● dnsdist.service - DNS Loadbalancer
Loaded: loaded (/usr/lib/systemd/system/dnsdist.service; disabled; vendor preset: disabled)
Active: active (running) since Thu 2018-04-01 23:17:51 MSK; 3s ago
Docs: man:dnsdist(1)
http://dnsdist.org
Process: 2850 ExecStartPre=/usr/bin/dnsdist -u dnsdist -g dnsdist --check-config (code=exited, status=0/SUCCESS)
Main PID: 2852 (dnsdist)
Tasks: 16 (limit: 8192)
CGroup: /system.slice/dnsdist.service
└─2852 /usr/bin/dnsdist -u dnsdist -g dnsdist --supervised --disable-syslog
Apr 01 23:17:51 owndns.ru dnsdist[2852]: Added downstream server 127.0.0.1:5300
Apr 01 23:17:51 owndns.ru dnsdist[2852]: Added downstream server 127.0.0.1:5301
Apr 01 23:17:51 owndns.ru dnsdist[2852]: Listening on 127.0.0.1:53
Apr 01 23:17:51 owndns.ru dnsdist[2852]: Listening on 192.168.0.11:53
Apr 01 23:17:51 owndns.ru dnsdist[2852]: dnsdist 1.2.0 comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistri...version 2
Apr 01 23:17:51 owndns.ru dnsdist[2852]: ACL allowing queries from: 0.0.0.0/0
Apr 01 23:17:51 owndns.ru dnsdist[2852]: Marking downstream 127.0.0.1:5300 as 'up'
Apr 01 23:17:51 owndns.ru systemd[1]: Started DNS Loadbalancer.
Apr 01 23:17:51 owndns.ru dnsdist[2852]: Marking downstream 127.0.0.1:5301 as 'up'
Hint: Some lines were ellipsized, use -l to show in full.

Проверяем:

$ dig ANY yap.ru @127.0.0.1 +short
ns1.netmediadata.com.
ns2.netmediadata.com.
5.187.1.122
ns1.netmediadata.com. noc.yap.ru. 2018030601 3600 600 604800 600