Construction d'un prototype Network Appliance utilisant un PC standard avec Linux et deux NIC
https://stackoverflow.com/questions/2036415
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis prêt à construire un prototype d'appareil de réseau. Cet appareil est supposé manipuler de manière transparente les paquets Ethernet. On suppose d'avoir deux cartes d'interface de réseau ayant une carte connectée à la jambe extérieure (à savoir eth0 ) et l'autre à l'intérieur de la jambe (à savoir eth1 ).
Dans une configuration de réseau typique comme dans l'image ci-joint, il sera placé entre le routeur et le commutateur du réseau local.
Mes plans sont d'écrire un logiciel qui accroche au niveau du pilote du noyau et faire ce que je dois faire pour les paquets entrants et sortants.
Par exemple, un paquet « sortant » (à eth1) serait manipulé et transmis à l'autre carte réseau (eth0) qui devrait être ensuite transporté à la prochaine espoir
Mes questions sont les suivantes:
- Est-ce faisable?
- Les NIC auront aucune adresse IP, est que devrait être un problème?
Merci d'avance pour vos réponses.
(Et non, il n'y a pas encore un tel dispositif sur le marché, alors s'il vous plaît, « pourquoi réinventer la roue » style de réponses ne sont pas pertinentes)
diagramme réseau typique http://img163.imageshack.us/img163/1249/ stackpost.png
La solution
Je vous suggère libipq , qui semble faire exactement ce que vous voulez:
Netfilter fournit un mécanisme pour passer les paquets de la pile pour faire la queue à l'espace utilisateur, puis la réception de ces paquets de nouveau dans le noyau avec un verdict indiquant ce qu'il faut faire avec les paquets (tels que ACCEPT ou DROP). Ces paquets peuvent aussi être modifiés avant réinjection userspace de nouveau dans le noyau.
Autres conseils
Apparemment, il peut être fait. Je suis en fait en train de construire un prototype en utilisant scapy
tant que les cartes réseau sont en mode promiscous, ils attrapent des paquets sur le réseau sans avoir besoin d'une adresse IP configurée sur eux. Je sais que cela peut être fait comme il y a beaucoup d'entreprises qui produisent le même type d'équipement (i.e.. Juniper Networks, Cisco, F5, Fortinet ect)
