华云代理服务器网站,智汇华云 | 通过TProxy实现haproxy 透传用户IP

最新推荐文章于 2022-09-17 10:26:43 发布
最新推荐文章于 2022-09-17 10:26:43 发布
阅读量455 收藏
点赞数
文章标签: 华云代理服务器网站

图四

如果OPTIONS中没有USE_LINUX_TPROXY=1,需要重新编译haproxy打开透传用户IP的代码,haproxy编译步骤如下:

1. wget http://www.haproxy.org/download/1.5/src/haproxy-1.5.14.tar.gz

2. tar zxvf haproxy-1.5.14.tar.gz

3. cd haproxy-1.5.14

4. yum install gcc gcc-c++ autoconf automake -y

5. make TARGET=linux2628 arch=x86_64 USE_LINUX_TPROXY=1

6. make install

3.2 haproxy IP透传如何透传用户IP

这一步其实非常简单。haproxy进程只需要拿到用户IP,然后在创建到后端server的tcp连接时,做三件件事情:

1. 将要启用 IP透传的后端服务器组对应的 backend 字段部分增加配置 "source 0.0.0.0 usesrc clientip",这样会将flags设置为1,使能IP透传,详细配置如下:

1. backend XXXX

2.     mode tcp

3.     balance XXX

4.     source 0.0.0.0 usesrc clientip

5.     . . .

2. 创建和后端server通信的socket,并调用setsockopt函数, 将socket设置为IP_TRANSPARENT或IP_FREEBIND

3. 调用bind函数,将用户IP绑定到该socket,绑定后后端server看到的该tcp连接IP,即为用户源IP。

haproxy相关代码:

1. int tcp_bind_socket(int fd, int flags, struct sockaddr_storage *local, struct sockaddr_storage *remote)

2. {

3. struct sockaddr_storage bind_addr;

4. int foreign_ok = 0;

5. int ret;

6. static int ip_transp_working = 1;

7. static int ip6_transp_working = 1;

8.

9.  switch (local->ss_family) {

10. case AF_INET:

11.      /* backend 字段部分增加配置 "source 0.0.0.0 usesrc clientip"后,flags变量值为1 */

12.         if (flags && ip_transp_working) {

13.             /* 调用setsockopt函数, 将socket设置IP_TRANSPARENT或IP_FREEBIND标识 */

14.             if (0

15. #if defined(IP_TRANSPARENT)

16.                 || (setsockopt(fd, SOL_IP, IP_TRANSPARENT, &one, sizeof(one)) == 0)

17. #endif

18. #if defined(IP_FREEBIND)

19.                 || (setsockopt(fd, SOL_IP, IP_FREEBIND, &one, sizeof(one)) == 0)

20. #endif

21. #if defined(IP_BINDANY)

22.                 || (setsockopt(fd, IPPROTO_IP, IP_BINDANY, &one, sizeof(one)) == 0)

23. #endif

24. #if defined(SO_BINDANY)

25.                 || (setsockopt(fd, SOL_SOCKET, SO_BINDANY, &one, sizeof(one)) == 0)

26. #endif

27.                 )

28.                 foreign_ok = 1;

29.             else

30.                 ip_transp_working = 0;

31.         }

32.         break;

33.     }

34.     if (flags) {

35.         memset(&bind_addr, 0, sizeof(bind_addr));

36.         bind_addr.ss_family = remote->ss_family;

37.         switch (remote->ss_family) {

38.         case AF_INET:

39.             if (flags & 1)

40.             /* 因为flags变量值为1,这儿只会将客户端IP赋值给bind_addr */

41.                 ((struct sockaddr_in *)&bind_addr)->sin_addr = ((struct sockaddr_in *)remote)->sin_addr;

42.             if (flags & 2)

43.                 ((struct sockaddr_in *)&bind_addr)->sin_port = ((struct sockaddr_in *)remote)->sin_port;

44.             break;

45.  default:

46.             /* we don't want to try to bind to an unknown address family */

47.             foreign_ok = 0;

48.         }

49.     }

50.     setsockopt(fd, SOL_SOCKET, SO_REUSEADDR, &one, sizeof(one));

51.     if (foreign_ok) {

52.         if (is_inet_addr(&bind_addr)) {

53.         /* 这儿会将客户端IP绑定到该socket */

54.             ret = bind(fd, (struct sockaddr *)&bind_addr, get_addr_len(&bind_addr));

55.             if (ret 

56.                 return 2;

57.         }

58.     }

59.     else {

60.         if (is_inet_addr(local)) {

61.             ret = bind(fd, (struct sockaddr *)local, get_addr_len(local));

62.             if (ret 

63.                 return 1;

64.         }

65.     }

66.     if (!flags)

67.         return 0;

3.2 后端server如何返回给haproxy服务器

由于后端收到的包源IP为client IP,默认无法返回给haproxy服务器,因此需要配置haproxy服务器的IP设置client IP端的网关IP,后端server才能将回包返回给haproxy服务器

1. route add -net 10.10.0.0/16 gw 10.10.46.198

其中10.10.0.0/16替换成client的网段,10.10.46.198替换成LB的IP地址

3.3 haproxy 服务器将非本地IP的IP包路由到本地环路

配置iptable规则,将发往非haproxy服务器本地(目的IP为客户端源IP)的tcp网络包打上标记(–set-mark 1)

1. iptables -t mangle -F

2. iptables -t mangle -N DIVERT,

3. iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT

4. iptables -t mangle -A DIVERT -j MARK --set-mark 1,

5. iptables -t mangle -A DIVERT -j ACCEPT

haproxy 上配置路由将标记(mark 1)的包返回到本地环路lo

1. ip rule del from all fwmark 0x1 lookup 100

2. ip rule add fwmark 1 lookup 100

3. ip route add local 0.0.0.0/0 dev lo table 100

4 总结

综上所述,通过TProxy实现haproxy IP透传,需要做如下四件事情:

1. 确认linux内核版本大于2.6.28,确认haproxy编译时配置了USE_LINUX_TPROXY=1选项

2. 修改haproxy配置,需要启用IP透传的后端服务器组对应的backend 字段部分增加配置 "source 0.0.0.0 usesrc clientip"

3. 后端服务器配置路由规则,将客户端IP端的网关配置haproxy服务器IP

4. haproxy服务器上添加iptables规则和路由策略,将后端服务器的回包路由给本地环路lo

5 参考文献

http://www.360doc.com/content/13/0821/17/13047933_308812287.shtml

https://blog.csdn.net/frockee/article/details/78641188

weixin_39916360
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用nginx搭建http透明代理
weixin_34072458的博客
05-15 2222
背景 代理我们经常听,在技术层面我们谈论的代理往往是非透明代理,那么既然有非透明代理那就存在有透明代理。我们先看看什么是透明代理,引用百度百科的一句话可以描述明白 透明代理的意思是客户端根本不需要知道有代理服务器的存在。既然透明代理是感知不了代理的存在,那么非透明代理就是可以感知到代理的存在了,最简单的方式就是你要去访问网站A,在正常情况下,网站A看到访问是来自于你的终端的(比如源IP地址是你自己...
Iptables+Tproxy+RedSocks2的udp转发相关
TANG_XIAO_BIN的专栏
01-27 2732
Iptables Tproxy RedSocks2
Haproxy实现Exchange全透明代理服务
weixin_34037515的博客
10-27 689
一:背景 公司最近exchange邮件系统来构建高可用邮件系统架构。前端负载均衡就是使用了微软的NLB来实现cas的负载均衡。但是方案实施工程中也发现了一些问题,使用NLB在网络中产生大量广播报,出现丢包严重问题。后改用haproxy替代NLB实现cas的负载均衡,但也这就导致了一个问题,最明显的就是用户通过Haproxy来访问邮件系统后 真正达到邮件系统的地址都是H...
socket的IP_TRANSPARENT选项实现代理
热门推荐
Netfilter
04-27 2万+
socket有一个IP_TRANSPARENT选项,其含义就是可以使一个服务器程序侦听所有的IP地址,哪怕不是本机的IP地址,这个特性在实现透明代理服务器时十分有用,而其使用也很简单:int opt =1;setsockopt(server_socket,SOL_IP, IP_TRANSPARENT,&opt,sizeof(opt));0.导引:TCP绑定0.0.0.0的情况TCP可以绑定0.0.
TPROXY之殇-NAT设备加代理的恶果
互联网
10-26 595
一段往事无独有偶,过了N多年,又到了这个时候,碰到了同样的事情...xx年的万圣节,由于服务器瘫痪我们被罚了500块钱,最终发现瘫痪的原因是TPROXY造成的,当时每个大服务区有一台LVS负载均衡设备,工作在NAT模式下,下联一台核心交换机,核心交换机分出N条线路去往各小区域服务器群,每一个小区域服务群拥有一台TPROXY实现的登录代理服务器,仅仅对登录数据包做代理,其它的包直接通过。 事情发生在...
Haproxy 透传IP配置方法及测试
三枪八路的博客
09-17 3072
Haproxy 透传IP配置方法1. 环境准备2. 启动Haproxy容器方法1.1 拉取官方haproxy镜像1.2 删除旧的容器1.3 编写haproxy配置1.4 运行配置检查1.5 启动容器3 Golang测试代码3.1 TCP Server测试代码3.2 HTTP Server测试代码4. TCP 透传4.1 无send_proxy参数 1. 环境准备 golang 运行环境 docker 运行环境 2. 启动Haproxy容器方法 1.1 拉取官方haproxy镜像 docker pull
mysql 透明代理_haproxy 透明代理
weixin_39526564的博客
02-02 251
环境要求:kernel大于2.6.25iptables大于1.4.0系统:rhel6.3x86_64Linuxpuppetmaster.info.com2.6.32-279.el6.x86_64iptablesv1.4.7拓扑:客户端:192.168.1.101---------haproxy节点:192.168.1.102-------------后端服务器节点:192.168.1.1...
绑定非本机地址与透明代理
redwingz的博客
04-10 2788
内核代码内核中对绑定非本地地址的相关判断代码,位于net/ipv4/af_inet.c中:int inet_bind(struct socket *sock, struct sockaddr *uaddr, int addr_len) { chk_addr_ret = inet_addr_type(net, addr->sin_addr.s_addr); if (!net-&g...
华云数据代理商平台测试操作使用手册.pdf
11-25
华云数据代理商平台测试操作使用手册.pdf
华云:“越沟通,越有效”——深度解读hiring manager的需求
05-29
从实际案例入手开始分析JD和实际需求的差距。为我们介绍了获取核心价值需求的三阶段——试用期,发展期和成熟期。最后提出了我们要敢于否定权威和自我。
华云智慧园区.zip
03-02
华云智慧园区.zip
华云智慧园区.rar
01-15
资源内容:项目全套源码+完整文档 源码说明: 全部项目源码都是经过测试校正后百分百成功运行。 SpringBoot 毕业设计,SpringBoot 课程设计,基于SpringBoot+Vue开发的,含有代码注释,新手也可看懂。...
华云数据 云计算“重”公司.pdf
07-21
华云数据 云计算“重”公司.pdf
多图表实现员工满意度调查数据分析python
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
2020届软件工程本科毕业生毕业设计项目.zip
04-22
2020届软件工程本科毕业生毕业设计项目
基于stm32平衡小车
04-22
平衡小车 基于stm32 平衡小车 基于stm32 平衡小车 基于stm32
c语言火车票订票管理源码.rar
04-22
c语言火车票订票管理源码.rar
施耐德PLC例程源码四台水泵的轮换
04-22
施耐德PLC例程源码四台水泵的轮换提取方式是百度网盘分享地址
node-v16.13.2-linux-s390x.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
7-51 子矩阵(NOIP-2014-普及组-4) 分数 100 作者 严华云 单位 湖州师范学院 题目.png 输入格式: 第一行包含用空格隔开的四个整数n,m,r,c,意义如问题描述中所述,每两个整数之间用一个空格隔开。 接下来的n行,每行包含m个用空格隔开的整数,用来表示问题描述中那个n行m列的矩阵。 输出格式: 输出共1行,包含1个整数,表示满足题目描述的子矩阵的最小分值。 输入样例: 5 5 2 3 9 3 3 3 9 9 4 8 7 4 1 7 4 6 6 6 8 5 6 9 7 4 5 6 1 输出样例: 6 【输入输出样例 1 说明】 该矩阵中分值最小的2行3列的子矩阵由原矩阵的第4行、第5行与第1列、第3列、第4列交叉位置的元素组成,为 21.png ,其分值为|6-5|+|5-6|+|7-5|+|5-6|+|6-7|+|5-5|+|6-6|=6。 【数据说明】 对于50%的数据,1≤n≤12,1≤m≤12, 矩阵中的每个元素1≤a[i][j]≤20; 对于100%的数据,1≤n≤16,1≤m≤16,矩阵中的每个元素1≤a[i][j]≤1000,1≤r≤n,1≤c≤m。
06-11
首先,我们可以暴力枚举所有可能的子矩阵,并计算它们的分值,最后选出分值最小的一个。具体来说,对于每个子矩阵,我们可以先计算出它的每个元素与它所在行和列的中位数之差的绝对值,然后将这些绝对值相加即可得到该子矩阵的分值。时间复杂度为 $O(n^6)$,无法通过本题。 注意到题目中给定了 $r$ 和 $c$,因此我们可以通过预处理每个元素所在行和列的中位数,将每个元素与其所在行和列的中位数之差的绝对值预处理出来,从而将计算子矩阵分值的时间复杂度优化到 $O(n^4)$。具体来说,我们可以使用前缀和的思想,先预处理出每一行和每一列的前缀和,然后对于每个元素,可以通过前缀和求出它所在行和列的中位数,从而计算出它与它所在行和列的中位数之差的绝对值。时间复杂度为 $O(n^2)$。 接下来,我们考虑如何高效地枚举所有可能的子矩阵。我们可以枚举子矩阵的左边界和右边界,然后利用前缀和快速计算出该子矩阵内每一行的和以及每一列的和,从而在 $O(n)$ 的时间内计算出该子矩阵的和。具体来说,我们可以使用前缀和的思想,先预处理出每一行和每一列的前缀和,然后对于每个子矩阵,可以通过前缀和求出该子矩阵内每一行的和以及每一列的和,从而计算出该子矩阵的和。时间复杂度为 $O(n^4)$。 综上所述,总时间复杂度为 $O(n^4)$,可以通过本题。具体实现时,可以先预处理出每个元素与其所在行和列的中位数之差的绝对值,然后再枚举子矩阵的左边界和右边界,利用前缀和计算出该子矩阵的和并更新答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值