Поднял PPPoE, начались проблемы...

0

2

Привет, товарищи админы! Сам я больше программист, чем админ, по-этому и не смог разобраться в проблеме сам.
В общем ситуация такая:
Давным-давно, когда в офисе появился сервер, интернет приходил к нам по DSL. На DSL модеме поднималось соединение по bridge, и сервер получал интернет на прямую, без создания новых соединений.
Сейчас же мы стали счастливыми обладателями выделенной оптики с 10 мегабитным каналом (по сравнению с 800/600 кбит это бомба =)).
Так вот. Поднял я ппп соединение. Интернет на сервере есть, а вот теперь неполадки с доступом к серверу по внутренней сети..
Сеть просто как будто отваливается. Например, клиент работает в шаре на сервере, и происходит так, что клиент не может получить доступ к шаре. Сеть сама не отваливается, а просто как будто что-то блочит...

На сервере установлен прокси squid3 + squidGuard с базами от реджика. Блочит нежелательный контент и логирует действия пользователей в интернете. Для него есть правило в iptables, которое, как я понимаю, перебрасывает запросы клиентов с 80 на 3128 порт

На сервере 2 сетевухи:
eth0 смотрит в сторону локальной сети, имеет адреса 192.168.0.0/24
eth1 - получает интернет и на нем поднимается ппп.

Поднимал ппп по манам из интернета.

В общем, господа гуру, помогите в этой для меня нелегкой проблеме...

ifconfig:

eth0      Link encap:Ethernet  HWaddr 00:14:d1:10:c2:48  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::214:d1ff:fe10:c248/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:491445 errors:0 dropped:0 overruns:0 frame:0
          TX packets:714542 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:39904994 (38.0 MiB)  TX bytes:795463201 (758.6 MiB)
          Interrupt:20 Base address:0xec00 

eth1      Link encap:Ethernet  HWaddr bc:ae:c5:1a:19:29  
          inet6 addr: fe80::beae:c5ff:fe1a:1929/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:720898 errors:0 dropped:0 overruns:0 frame:0
          TX packets:563655 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:698095774 (665.7 MiB)  TX bytes:86293649 (82.2 MiB)
          Interrupt:42 Base address:0x4000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8690868 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8690868 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:690320875 (658.3 MiB)  TX bytes:690320875 (658.3 MiB)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:86.109.216.236  P-t-P:188.94.173.254  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:706745 errors:0 dropped:0 overruns:0 frame:0
          TX packets:552899 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:681697276 (650.1 MiB)  TX bytes:73565077 (70.1 MiB)

Вывод iptables-save:

# Generated by iptables-save v1.4.8 on Mon May 25 22:40:14 2015
*nat
:PREROUTING ACCEPT [1442639:178478705]
:INPUT ACCEPT [1369949:173317155]
:OUTPUT ACCEPT [633983:63471269]
:POSTROUTING ACCEPT [9272:865453]
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.1/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Mon May 25 22:40:14 2015
# Generated by iptables-save v1.4.8 on Mon May 25 22:40:14 2015
*filter
:INPUT ACCEPT [59375360:5017610185]
:FORWARD ACCEPT [1143770:686920318]
:OUTPUT ACCEPT [59732636:5698393687]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon May 25 22:40:14 2015
# Generated by iptables-save v1.4.8 on Mon May 25 22:40:14 2015
*mangle
:PREROUTING ACCEPT [69003099:10565393646]
:INPUT ACCEPT [65714759:7493733286]
:FORWARD ACCEPT [3256207:3069924889]
:OUTPUT ACCEPT [66401341:7658601307]
:POSTROUTING ACCEPT [69667287:10729452459]
COMMIT
# Completed on Mon May 25 22:40:14 2015

Ссылка

←	На чем нонче веб-серверы разворачивают?

yum и владелец, группа пакета после установки, обновления

→

Проблема с маршрутизацией. Что покажет route -n ?

pavel38 ★
(26.05.15 10:35:19 MSK)

Ответ на: комментарий от pavel38 26.05.15 10:35:19 MSK

root@server:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
188.94.173.254  0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

urichalex
(26.05.15 10:43:16 MSK) автор топика

Ссылка

Я бы начал с выключения firewall на сервере и поднятия debug level в samba. Шары ведь у вас на samba? Ну и смотреть логи samba в момент когда

клиент работает в шаре на сервере, и происходит так, что клиент не может получить доступ к шаре.

swarnk ★★
(26.05.15 10:50:46 MSK)

Ответ на: комментарий от swarnk 26.05.15 10:50:46 MSK

При отключении файрвола данная проблема решается, конечно. Доступ к шарам и ресурсам сервера они получают, но не получают интернета. Шару я указал для примера. Помимо шары проблемы одинаковые так же и с сервером 1С и с другими ресурсами.

urichalex
(26.05.15 10:56:06 MSK) автор топика

Ответ на: комментарий от urichalex 26.05.15 10:56:06 MSK

Хорошо, теперь добавьте в firewall правило для прозрачного перенаправления трафика в squid:

Вот это:

-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.1/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

swarnk ★★
(26.05.15 10:59:58 MSK)
Последнее исправление: swarnk 26.05.15 11:00:34 MSK (всего исправлений: 1)

Ответ на: комментарий от swarnk 26.05.15 10:59:58 MSK

не помогло. Насколько я понимаю, это правило тлько лишь перенаправляет 80 порт на 3128 в пределах eth0

urichalex
(26.05.15 18:51:33 MSK) автор топика

Ответ на: комментарий от urichalex 26.05.15 18:51:33 MSK

Что значит не помогло? Интернет на клиентах через squid с этим правилом есть?

swarnk ★★
(26.05.15 19:51:53 MSK)

Ответ на: комментарий от swarnk 26.05.15 19:51:53 MSK

Чёта я не понимаю, как раньше оно работало =)))

root@server:~# iptables -A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.1/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables: No chain/target/match by that name.

urichalex
(27.05.15 09:55:39 MSK) автор топика

Ответ на: комментарий от urichalex 27.05.15 09:55:39 MSK

iptables -t nat -A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.1/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

swarnk ★★
(27.05.15 12:15:33 MSK)

Ответ на: комментарий от swarnk 27.05.15 12:15:33 MSK

Прошло, но сразу же началось то же самое...

urichalex
(27.05.15 12:39:00 MSK) автор топика

Ответ на: комментарий от urichalex 27.05.15 12:39:00 MSK

Что в этот момент в логах samba?

swarnk ★★
(27.05.15 13:30:38 MSK)

Ответ на: комментарий от swarnk 27.05.15 13:30:38 MSK

[2015/05/27 10:04:31.761330,  0] lib/util_sock.c:474(read_fd_with_timeout)
[2015/05/27 10:04:31.761513,  0] lib/util_sock.c:1441(get_peer_addr_internal)
  getpeername failed. Error was Transport endpoint is not connected
  read_fd_with_timeout: client 0.0.0.0 read error = Connection reset by peer.

urichalex
(27.05.15 13:53:35 MSK) автор топика

Ответ на: комментарий от urichalex 27.05.15 13:53:35 MSK

Правильно ли я понял, что у вас сейчас в iptables ТОЛЬКО одно правило - для прозрачного проксирования? Покажите /etc/samba/smb.conf

swarnk ★★
(27.05.15 14:04:04 MSK)

Ответ на: комментарий от swarnk 27.05.15 14:04:04 MSK

Я, может быть мало чего понимаю, но, всё-таки. При чем тут самба? Не работают все ресурсы, включая сервер 1С, мускуль, веб и некоторые другие. Симптомы всех ресурсов абсолютно идентичны. Самбу я привел просто в качестве примера.

urichalex
(27.05.15 14:08:49 MSK) автор топика

Ответ на: комментарий от urichalex 27.05.15 14:08:49 MSK

Проблема в вашем случае в неправильной настройке firewall. Чтобы ее локализовать я и посоветовал вам выключить firewall. Вы это сделали. При выключенном firewall все работает. Теперь определитесь что сделать дальше. В зависимости от этого добавляйте нужные правила в firewall.

По поводу прозрачного проксирования - начните отсюда: https://www.debian-administration.org/article/71/Transparent_proxies_via_Squid.

P.S. Для начала попробуйте настроить squid в непрозрачном режиме, если все заработает - переходите к настройке прозрачного проксирования.

swarnk ★★
(27.05.15 14:16:38 MSK)
Последнее исправление: swarnk 27.05.15 14:18:40 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	На чем нонче веб-серверы разворачивают?

Admin

yum и владелец, группа пакета после установки, обновления

→

Похожие темы