bonjour cher journal,

cela fait bien longtemps que je n'avais pas partagé avec toi une découverte qui m'a bien fait plaisir.
en cherchant une solution de répartition de charge (load balancing), j'ai pu trouver des solutions des plus simples, au plus compliquées.
en passant du DNS round robin au LVS et son problème d'adresse MAC...

et , par hasard, je tombe sur un logiciel tout simple, qui se nomme simplement balance.

il est distribué sous GPL, et est disponible à cette adresse :

http://www.inlab.de(...)

balance est un proxy tcp qui marche au niveau user.
c'est à dire qu'il tourne comme un daemon, qu'il faut être root pour écouter les ports en dessous de 1024... etc

il s'installe d'une manière on ne peut plus simple.
un simple make && make install et vous voila prêt. (testé sur une debian sarge)

vous voila prêt à faire votre répartition de charge...

./balance http serveur_1 serveur_2

fera du load balancing du port 80 sur le serveur_1 et sur le serveur_2, le plus simplement du monde.

comme il s'agit d'un proxy tcp, dans les logs du serveur web, vous verrez l'IP du serveur ou balance a été lancé, et non pas l'IP du client web. ce qui peut être gênant pour le calcul des statistiques...
mais pour servir des images, ou des vidéos...

balance peut gérer le nombre de session simultanées, le fail over (la bascule quoi...)

on peut se connecter en mode interactif avec le deamon qui tourne, pour modifier la configuration.

c'est vraiment un logiciel très simple qui respect à mon point de vue le KISS (Keep It Stupid Simple)

je vous laisse le soin de le découvrir par vous même.
c'est un vrai plaisir. (je vous le dit, ça se teste en 10 minutes, montre en main)

j'ai pu rentrer en contact avec son auteur, il m'a répondu dans les deux heures, ce qui est bien agréable en cas de réflection intense sur un problème technique :-)

il y a sur ce même site deux autres logiciels qui ne sont pas open source (tcpproxy et balanceng) qui offrent plus de possibilitées.
(par exemple, le VRRP, ...)

bon test donc :-)

> Lire le journal (6 commentaires, moyenne: 1,8).

bonjour cher journal,

voila l'aventure que j'ai vécue aujourd'hui...
un collègue jouant avec son AP wifi m'a fait découvrir le projet layer7...

ça commence toujours de la même manière...

"tu connais layer7 ?"...


"euh... non, ça parle de quoi ?"

et c'est la que ça commence...
c'est comme une recette de cuisine, ça fait saliver...
il existe des patchs disponible sur http://l7-filter.sourceforge.net(...)
qui permettent à iptables de se comporter en partie comme un firewall applicatif.

ce qui signifie pour ceux qui le découvriraient, qu'il pourrait taper sur la couche 7 du modèle iso, et non plus seulement sur la couche 3...
(c'est plus clair hein ? :-) )...

voila ce que j'ai fait.
j'ai téléchargé un noyau 2.4.27 ftp://ftp.kernel.org(...)
j'ai téléchargé le patch ebtables (pour en faire un bridge-firewall transparent) à l'adresse suivante :
http://ebtables.sourceforge.net/(...)
et le patch l7layer à l'adresse suivante : http://sourceforge.net/projects/l7-filter/(...)

on obtient les fichiers suivants :
l7-protocols-2004_09_13.tar.gz
linux-2.4.27.tar.gz
netfilter-layer7-v0.9.1.tar.gz
ebtables-brnf-7_vs_2.4.27.diff.bz2

pour patcher tout cela, ce n'est pas bien difficile, et c'est plutot bien expliquer dans la doc :
on se place dans /usr/src/linux
puis, on lance un
patch -p1 avec le fichier qui va bien (voir doc)

on fait de meme pour netfilter.

à la compilation du noyau, on demande à acceder aux modules experimentaux.
on choisit d'avoir le support du bridge, et du layer7, ainsi que tout ce qu'il faut pour un firewall...
mais ce journal n'est pas l'endroit pour apprendre ca, n'est il pas ?

on recompile le tout, on modifie son lilo, on reboot.
paf... deux cartes reseaux...
en avant pour les tests !

(pour ce qui est de la configuration du bridge, je vous conseillerais de lire la doc tres bien faite sur http://ebtables.sourceforge.net/(...))

en gros, il faut les bridge-tools... et taper qqch comme ca

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
brctl setfd br0 1
ifconfig br0 up
ifconfig eth0 up
ifconfig eth1 up

on verifie son iptables :

which iptables
/usr/local/sbin/iptables

ca roule !

iptables -A FORWARD -m layer7 --l7proto http -j LOG

on se lance un apache sur le port 81...
on verifie qu'il marche bien...
que ca loggue bien au niveau firewall...
ensuite, on ferme !
iptables -A FORWARD -m layer7 --l7proto http -j DROP

et la, Ô miracle !

plus de web !

bon, c'est encore experimental encore...
mais c'est une tres bon debut.
c'est pas bien compliqué à mettre en place, j'ai moi meme reussi...
il y a environ une soixantaine de 60 protocoles plus ou moins detectés...

à vous de jouer !

ps : desolé pour les accents perdus...
ps/2: merci à mon collegue de m'avoir fait decouvrir ce nouveau jouet

> Lire le journal (31 commentaires, moyenne: 2,5).

j'ai un sympa 3.4.4.2 qui tourne bien, il fonctionne bien...
tout ca ronronne sans soucis...

mais j'ai un probleme de configuration...
et je ne trouve pas la doc tres clair à ce sujet...

par exemple, si j'envois une mailing liste à une adresse qui est l'alias d'une autre... par exemple :

j'ecris à toto@mondomaine.fr, et l'adresse est reecrite à barnabo@unautredomaine.com

barnabo n'est pas content... il veut que je le retire de la mailing list...

comment faire ? j'ai pas de barnabo dans ma liste...

je trouve pas de moyen de forcer l'envoi du toto@mondomaine.fr dans les en-tetes du mail qui finira en barnabo...

je dois passer à coté, j'ai pas envie de renvoyer un reminder à chaque fois...

qqn aurait deja eu à faire à ce genre de probleme ?
un grand merci d'avance
je me perds un peu dans la doc...

bien cordialement

dunain

> Lire le journal (3 commentaires, moyenne: 1,7).

bonjour, j'en appelle à l'experience de toute la communauté pour resoudre mon probleme...
j'heberge un site en php qui tape sur une base oracle...
pour ameliorer le tout, j'ai compilé turck mm cache, et j'ai relancé toute l'affaire.
de ce coté la, pas de soucis.

mais je n'ai pas trouvé les performances améliorées...
j'ai été verifier avec le script php mmcache.php fourni avec turck mmcache... il n'avait activé dans son cache que :

le script lui meme... (mmcache.php)
et la lib php oci8 en include du code php...

alors que derriere, le site fait en php est gigantesque...

qqn aurait il deja rencontré ce probleme ?
j'ai pourtant bien lu la doc (courte), l'installation est top simple...
j'ai vraiment l'impression de n'etre passé à coté de rien...

bizarre, vous avez dit bizarre...
comme c'est bizarre...

> Lire le journal (3 commentaires, moyenne: 2,7).

je suis à la recherche d'un cms open source qui me permettrait de publier des fichiers en statique sur plusieurs frontaux...
ce qui me permettrait de faire du load balancing, et avoir un site qui repond... si une alim grille...

il y a opencms... mais c'est une usine à gaz (de mon point de vue)

qqun aurait il une bonne xperience à me faire partager ?

merci :-)

ps: pour ceux qui ne savent pas CMS, c'est pour Content Management System

> Lire le journal (5 commentaires, moyenne: 1).

je ne comprends pas le monde qui nous heberge...
vivons nous dans la 4eme dimension ?

plutot que de corriger son navigateur internet, microsoft decide que ca sera aux utilisateurs et au concepteurs de sites de modifier leurs habitudes...

on ne pourra plus se logguer sur un site de la maniere suivante sur un site

http://mon_login:mon_passwd@mon_site(...)

car cela pose un probleme avec IE....
souvenez vous... l'adresse invisible...

pour plus d'info...
ma source :

http://www.theregister.co.uk/content/55/35253.html(...)

je cite

The problem is compounded by an unpatched security vulnerability which could be exploited to display a fake URL in the address and status bars of IE.

Rather than fix that specific flaw, which first emerged almost two months ago, Microsoft is ditching an entire approach.

Microsoft is giving advanced notice of the changes to allow Web designers a chance to review Web site code.

> Lire le journal (28 commentaires, moyenne: 1,9).

fun !

> Lire le journal (0 commentaire).

yatcha !

> Lire le journal (1 commentaire, moyenne: 4).