主页 / user-489964

CodyMouse's questions

Martin Hope
CodyMouse
Asked: 2021-01-18 07:33:23 +0800 CST
  • 0

目前我正在设计一个网络。问题是在某个时候我遇到了一个奇怪的请求。客户对她/他自己提出了一些想法。现在我很困扰,因为我对这件事的了解不够深。我无法确定请求本身是否存在固有问题,以及是否有如何将它们传达给客户。该请求特别适用于两台服务器,具体如下:

物理网络(简化):

router.eth0 <--> switch.eth0 | switch.eth1 <--> server1.eth0 | server1.eth1 <--> server2.eth0

逻辑网络:

+----------+      +----------+      +----------+      +----------+
| router   |      | switch   |      | server1  |      | server2  |
| untagged | <--> | untagged |      |          |      |          |
+----------+      | vlan 10  | <----+----------+----> | vlan 10  |
                  |          |      | untagged | <--> | untagged |
                  +----------+      +----------+      +----------+

因此,来自路由器的每个请求首先标记到 vlan 10 并发送到 server1。server1 然后将这些数据包转发到 server2,而 server1 对 vlan 10 数据包没有反应。之后 server2 从 vlan 10 取消标记数据包,并根据数据包的内容将其中一些转发回 server1 或自行处理。最后 server1 可以响应这些数据包,因为它们现在没有标记。

抢先提出一些建议:我知道将 server2 直接连接到路由器并将 server1 连接到 server2 会更容易,但是如果这种方法没有安全问题,客户端会坚持这样做。客户端还将其设置为要求所有指向 server1 的数据包都必须由 server2 处理。

我现在的问题是攻击者是否可以破坏此设置。这样,如果他获得了对其他路由器的控制权。攻击者能否利用通过 server1 的数据包流来发挥自己的优势(不包括拒绝服务)?例如,攻击者能否伪造可以直接发往 server1 且不流经 server2 的数据包?

networking vlan linux-networking
Martin Hope
CodyMouse
Asked: 2020-08-27 04:59:09 +0800 CST
  • 6

我目前正在为无盘启动设置 SAN。我的后端由通过 iSCSI 共享的 ZFS-Vol 组成。到目前为止,除了 TRIM/UNMAP 之外,一切都运行良好。为了测试目的,我在 VirtualBox 中设置了两个运行 Ubuntu20.04 的 VM,它们通过具有静态 IPv4 地址的内部网络连接在一起。在目标 (tgt) 上获得了第二个用 ZFS 格式化的虚拟驱动器。在这个 zpool 上,我创建了一个 zVol 并使用 GPT 和 ext4 对其进行了格式化。

/etc/tgt/conf.d/iscsi.conf
<target example.com:lun1>
    <backing-store /dev/zvol/tank/iscsi_share>
        params thin_provisioning=1
    </backing-store>
    initiator-address 192.168.0.2
</target>

在启动器 (open-iscsi) 上,我使用此命令来引发 TRIM 操作:

sudo mount /dev/sdb1 /iscsi-share
sudo dd if=/dev/zero of=/iscsi-share/zero bs=1M count=512
sudo rm /iscsi-share/zero
sudo fstrim /iscsi-share

但 shell 以“fstrim:/iscsi-share:不支持丢弃选项”响应。如果我在目标机器上发出这些命令,zVol 的“REFER”属性会按预期减少。

由于我在搜索网络时一无所获,我没有发现任何关于为什么这不起作用或者这是否可能的提示。

编辑:当我得到使用选项thin_provisioning的建议时。

在我重新分区驱动器并将其安装在启动器上后,我收到blk_update_request: critical target error, dev sdb, sector 23784 op 0x9:(WRITE_ZEROES) flags 0x800 phys_seg 0 prio class 0 了几个扇区的错误消息,在创建和删除我fstrim的测试文件后,发送消息

blk_update_request: I/O error, dev sdb, sector 68968 op 0x3:(DISCARD) flags 0x800 phys_seg 1 prio class 0
fstrim: iscsi-share: FITRIM ioctl failed: Input/output error

编辑:由于有提到LIO的答案,我现在也尝试了 targetcli。在那里,我在 /backstores/block/iscsi 和set attribute emultate_tpu=1. 在将它导入我的启动器后,我重新分区、格式化并将其安装在启动器上。然后我创建了我的测试文件,删除了它并发出了fstrim命令,它工作了。谢谢您的帮助。

zfsonlinux open-iscsi