Hi Serguei!
SEL> Хм. Откуда известно, что 1/N? И хорошо ли это?

Я это взял вот отсюда:
http://stackoverflow.com/questions/14388706/socket-options-so-reuseaddr-and-so-reuseport-how-do-they-differ-do-they-mean-t

Linux tries to optimize distribution so that, for example, multiple instances
of a simple server process can easily use SO_REUSEPORT sockets to achieve a
kind of simple load balancing and that absolutely for free as the kernel is
doing "all the hard work" for them.

Не первоисточник, конечно, но глубже проверять поленился.
Хорошо это или нет? Не знаю, но я не вижу в этом ничего плохого. А что-то
хорошее вижу. :)
SEL> Hаверное это неплохо. Hо при других способах построения серверов можно
SEL> обеспечить то же самое.

При каких?
Кластер, reverse proxy? Это немного не то, всё-таки.
К тому же, тут kernel level.
SEL> Подозреваю, что в существенной доле случаев uid=0. Сдаётся мне, что даже
SEL> те, кто делает seteuid() и/или chroot(), делаю это после bind(). Так что,
SEL> сия защита практически бесполезна.

От uid=0 защита в любом случае бесполезна.
Так что рассматриваем только случаи портов выше тысячи и нерутовые сервисы.
SEL> Hо тебе нравится, комплектное повторное использование локального адреса,
SEL> т.е. для современных ОС это SO_REUSEPORT + SO_REUSEADDR. Hаверняка ты в
SEL> курсе особенностей такого использования и они не станут для тебя
SEL> неожиданностью (Валентин описывал их в общем виде, IMHO может доходить
SEL> до
SEL> случайного дублирования информации от клиента).

SEL> Hо и частичное повторное использование локального адреса (для современных
SEL> ОС SO_REUSEADDR), как мне кажется, возможно я не прав, имеет все те же
SEL> негативные/опасные особенности с одной стороны. А с другой стороны, вроде
SEL> как не реашает полностью проблему закрытия/открытия сокета.

Если честно, я не понял недостатки SO_REUSEPORT и SO_REUSEADDR (кроме очевидных
и документированных), как и причины, почему они не решают проблему
закрытия/открытия сокета. Наверное, потом перечитаю ещё раз внимательнее. Пока
у меня сложилось впечатление, что это недостатки реализации, а не концепции.

Lucky carrier,
Паша
aka ***@gul.kiev.ua

Hi Valentin!

05 Feb 14, Valentin Nechayev ==> Pavel Gulchouck:

PG>> Hо вот есть второе предназначение той же самой опции: разрешать bind(),
PG>> когда
PG>> есть соединения в состоянии TIME_WAIT. А вот это уже нужно часто. И мне
PG>> непонятно, почему это та же самая опция, а не другая. Почему, если я хочу
PG>> биндиться на 0.0.0.0 при наличии соединений в TIME_WAIT, я обязан
PG>> разрешать
PG>> кому-то другому после меня биндиться на тот же порт конкретного
PG>> интерфейса?

VN> А по всё той же логике о целостности TCP связи и защите от
VN> дурных коллизий, которые невозможно предусмотреть.
VN> Смотри:
[...]

Иными словами, если коннектиться прибинденным сокетом с явно указанным
локальным портом, возможны коллизии - так?
Если дело именно в этом, то, на мой взгляд, ошибку должна возвращать та
функция, результат которой приводит к коллизии, в данном случае это connect().
Как оно и происходит в твоём примере.

Но чем соединение в TIME_WAIT мешает выполнить bind()? Может, там и не будет
никакого connect(), а уж тем более - коннекта именно на тот адрес/порт, с
которым висит соединение.

[...]
VN> Traceback (most recent call last):
VN> File "<stdin>", line 1, in <module>
VN> File "/usr/local/lib/python2.7/socket.py", line 224, in meth
VN> return getattr(self._sock,name)(*args)
VN> socket.error: [Errno 48] Address already in use

VN> Грубо говоря, эта опция означает "да, разрешить мне выстрелить
VN> себе в ногу", но объединяет как минимум два разных случая. Первый
VN> (слушание и общего, и частного адреса) тебе понятен, мне - нет.

Поясню, как я его понимаю для слушающих сокетов (bind() для исходящих опустим).

Можно слушать один конкретный интерфейс, а можно все сразу. Причём, "слушать
всё" - не то же самое, что пробежаться по списку интерфейсов и прибиндиться на
каждый из них, потому что интерфейсы могут появляться, и если пробежались по
списку, то не будем слушать на новых, а если сказали "слушать везде", то будем
и на тех, которые будут потом созданы.

В таком случае может возникнуть ситуация, когда один из интерфейсов кто-то уже
слушает, а мы хотим слушать все остальные. Опять же, пробежаться по списку и
прибиндиться на все свободные - не очень хорошо. Вот и получается, что мы можем
сказать "слушать всё", и будем получать соединения от всех интерфейсов, кроме
занятого кем-то другим, включая те, которые будут созданы потом.

Ну а раз возможна ситуация, когда один слушает один конкретный интерфейс, а
второй все остальные, заодно разрешили и менее очевидную штуку: биндиться на
конкретный интерфейс уже после того, как кто-то начал слушать всё. Наверное,
чтобы в случае легальной ситуации типа "один слушает лупбэк, а второй все
внешние интерфейсы" можно было не зависеть от того, кто запустился первым. И
чтобы слушающий loopback в такой ситуации мог безболезненно рестартовать.

Но чтобы предотвратить перехват входящих, прибиндившись на конкретный
интерфейс, когда системный демон слушает всё, сделали SO_REUSEADDR. Если
системный демон прибиндился без этой опции, никто ни на какой конкретный
интерфейс прибиндиться не сможет.

А при чём тут TIME_WAIT, я по-прежнему не понимаю.

VN> Второй - понятнее мне. Чтобы его понять в деталях, надо учесть
VN> некоторые хитрые свойства TCP. Hапример, что в нём возможны
VN> встречные коннекты двух сокетов, ни один из которых не сделал
VN> listen(), но вместо этого даётся connect() на второй адрес.

На TCP, встречный коннект двух сокетов без listen()? 8-()
Мне казалось, что если connect(), то отправляем syn req и ждём syn ack. А если
listen(), то наоборот.
Разве сокет, отправивший syn req, будет реагировать на полученный syn req даже
при полном совпадении всех адресов/портов?
Может, всё-таки, UDP?

Напоминает встречный звонок двух телефонов друг другу - там в такой ситуации
иногда возможен коннект, как ни странно. Хотя чаще бывает обоюдное "занято".

VN> Кстати, мне удалось, вероятно, воспроизвести твой начальный случай
VN> (на FreeBSD).
VN> Меньше чем через минуту после предыдущих экспериментов попробовал
VN> Traceback (most recent call last):
VN> File "<stdin>", line 1, in <module>
VN> File "/usr/local/lib/python2.7/socket.py", line 224, in meth
VN> return getattr(self._sock,name)(*args)
VN> socket.error: [Errno 48] Address already in use

VN> при этом было видно:

VN> $ netstat -an | fgrep 9900
VN> tcp4 0 0 127.0.0.1.9900 127.0.0.1.22
VN> TIME_WAIT

Вот какого хрена, спрашивается? Да ещё и при SO_REUSEADDR?
Я ведь могу сделать два коннекта на разные хосты от одного и того же локального
127.0.0.1:9900?

VN> Тестовая программа для устойчивого воспроизведения:
[...]

В этой тестовой программе фейлится connect(), это нормально.
Ненормально (для меня), когда фейлится bind().

Lucky carrier,
Паша
aka ***@gul.kiev.ua