Глюк взаимодействия nat и mangle

0

0

Народ, может кто-нить чего подскажет. В iptables nat

*nat :PREROUTING ACCEPT [0:0]

-A PREROUTING -i eth0 -p tcp -m tcp --dport 17043 -j DNAT --to-destination 192.168.2.200-192.168.2.216:17043

-A PREROUTING -i eth0 -p tcp -m tcp --dport 61304 -j DNAT --to-destination 192.168.2.200-192.168.2.216:61304

-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.2.200-192.168.2.216:25

-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.2.200-192.168.2.216:110

-A PREROUTING -i eth0 -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.2.207:6881

-A PREROUTING -i eth0 -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.2.207:6881

-A PREROUTING -s 192.168.2.0/24 -p tcp --destination-port 80 -j REDIRECT --to-port 8080

:POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source 192.168.1.1

-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 110

-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 25

-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 61304

-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 17043

mangle

*mangle

-A PREROUTING -s 192.168.2.201 -j MARK --set-mark 102 -A PREROUTING -s 192.168.2.201 -j RETURN

-A PREROUTING -s 192.168.2.207 -j MARK --set-mark 103

-A PREROUTING -s 192.168.2.207 -j RETURN

-A PREROUTING -s 192.168.2.216 -j MARK --set-mark 104

-A PREROUTING -s 192.168.2.216 -j RETURN

Я настраиваю на систему htb, потому мангл мне желателен чтобы трафик шейпался корректно. В нате пробрасываю порты на почту,торрент и скайп потому как прокся сквид и легче пробросить чем пропустить их через него. Все работает вполне сносно, но возник странный глюк с почтой. Клиент - Громовая Птица. Так вот, мангл никак не воздействует на проброс портов для торрента и скайпа, все качает и все связывает. А вот почта на Громовую Птицу пробрасывается только при выключенном мангл, при включенном - висит. Система CentOS5.2. Может кто чего знает, это в общем некритично, но хотелось бы понять в чем баг, не люблю, когда не могу понять в чем дело

Ссылка

←	Внутренняя АТС

Ограничение файловой системы

→

С ходу не видно криминала.

true_admin ★★★★★
(02.03.09 18:39:41 MSK)

Ссылка

Покажите остальные правила iptables и правила htb.

Хотя мне совсем не понятен набор правил:

-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE 

Зачем MASQUERADE, если есть SNAT?

В этой кучке:
-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 110
-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 25
-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 61304
-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 17043 
ИМХО, будет работать только перевое правило, приводящее к тому, что все уходящие с eth0 пакеты будут иметь src-порт 110.

А это, если я правильно помню, будет натить каждую новую сессию на новый ip-адрес из диапазона и используется
для балансировки нагрузки, когда несколько серверов "прячутся" под одним ip-адресом:
-A PREROUTING -i eth0 -p tcp -m tcp --dport 17043 -j DNAT --to-destination 192.168.2.200-192.168.2.216:17043
-A PREROUTING -i eth0 -p tcp -m tcp --dport 61304 -j DNAT --to-destination 192.168.2.200-192.168.2.216:61304
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.2.200-192.168.2.216:25
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.2.200-192.168.2.216:110

mky ★★★★★
(02.03.09 22:36:30 MSK)

Ответ на: комментарий от mky 02.03.09 22:36:30 MSK

По снату - там только маскарад, снат был сначала, потом его закомментировали, я просто поленился это удалить, пардон, что ввел в заблуждение. По куче - без двух последних строк скайпа не работает, а с ними - работает, значит не так. Когда я пробрасывал торрент - то пробрасывал его на конкретный компьютер, а порты скайпы и почты днатил на все рабочие айпи. Без маскарада портов на диапазон это не работало, а с маскарадом работало, и почта и все остальное. А с манглом именно почта работать не хочет (все остальное работает). Правда как раз ночью я доконфигурировал htb и расписал мангл на полностью сконфигурированный htb (мне htb вобщем важнее чем один только сандерберд), вроде htb stats показывает все нормально, может завтра приду и с этим тоже будет нормально. Если нет - то что конкретно из htb Вы хотите видеть? Строки компайла, статистики или сами конфиги?

olex
(03.03.09 01:35:05 MSK) автор топика

Ответ на: комментарий от olex 03.03.09 01:35:05 MSK

Если htb вы настраивали через htb.init, то наверное, строки компайла. В общем хотелось бы увидеть то, что содержит команды "tc class", "tc filter", "tc qdisc".

И покажите остальные цепочки iptables, в первую очередь FORWARD таблицы filter.

И ещё, я правильно понял, что у вас на вашем компьютере запускается "Громовая Птица" и она должна просто подключиться к серверу провайдеру и какому другому? Просто не понятно, зачем DNAT --- идёт от вашего компьютера исходящее соединение в Инет, ну SNAT (MASQUERADE) его и все, должно хватать.

mky ★★★★★
(03.03.09 20:36:13 MSK)

Ответ на: комментарий от mky 03.03.09 20:36:13 MSK

И, если не сложно, то покажите вывод команд "iptables -L -n -v", "iptables -L -n -v -t nat", "iptables -L -n -v -t mangle". ИМХО, он более представителен, чем файл конфигурации.

mky ★★★★★
(04.03.09 09:32:34 MSK)

Ответ на: комментарий от mky 04.03.09 09:32:34 MSK

В плане
iptables -L -n -v

Chain INPUT pkts bytes target
Chain FORWARD pkts bytes target
1008 60633 ACCEPT
350K 250M ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
36 2205 ACCEPT
2019 132K ACCEPT
388 48185 ACCEPT
4374 226K ACCEPT
12162 3269K ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
797 573K ACCEPT
17 1655 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
4974 312K ACCEPT
0 0 ACCEPT
0 0 ACCEPT
0 0 ACCEPT
2520 282K ACCEPT
0 0 DROP

Chain OUTPUT pkts bytes target

# iptables -L -n -v -t nat
Chain PREROUTING pkts bytes target
0 0 DNAT
0 0 DNAT
3 144 DNAT
0 0 DNAT
986 48698 DNAT
70 6938 DNAT
613 30924 REDIRECT

Chain POSTROUTING pkts bytes target
8830 429K MASQUERADE 0.0.0.0/0 masq ports: 110

0
0
0
40338 3728K MASQUERADE
Chain OUTPUT pkts bytes target

зачем пробрасывал dnat - стоит прокси-сервер сквид и весь трафик по 80 порту завернут на него, 25 и 110 сквид не пускает. Как и торрент, и скайп. Захотелось получить решение, потому и копал. А htb надо концептуально, его ставил после сквида и дната и получился такой казус с почтой (и что самое смешное - только с ней, с другим все нормально). что Вы просите сейчас дам, только вчера пришла в голову такая мысль: tc вроде понимает 16-ричную систему исчисления, а iptables - десятичную. Может в этом проблема? Но если так, то почему не по всем портам? Теперь коды
(policy ACCEPT 689K packets, 288M bytes)
prot opt in out source destination
(policy ACCEPT 258K packets, 84M bytes)
prot opt in out source destination
all -- * * 192.168.2.206 0.0.0.0/0
all -- * * 192.168.2.207 0.0.0.0/0
all -- * * 192.168.2.209 0.0.0.0/0
all -- * * 192.168.2.203 0.0.0.0/0
all -- * * 192.168.2.202 0.0.0.0/0
all -- * * 192.168.2.205 0.0.0.0/0
all -- * * 192.168.2.204 0.0.0.0/0
all -- * * 192.168.2.208 0.0.0.0/0
tcp -- * * 0.0.0.0/0 192.168.2.207 tcp dpt:6881
udp -- * * 0.0.0.0/0 192.168.2.207 udp dpt:6881
tcp -- * * 0.0.0.0/0 192.168.1.254 tcp dpt:6881
udp -- * * 0.0.0.0/0 192.168.1.254 udp dpt:6881
all -- * * 192.168.2.201 0.0.0.0/0
all -- * * 192.168.2.202 0.0.0.0/0
all -- * * 192.168.2.203 0.0.0.0/0
all -- * * 192.168.2.204 0.0.0.0/0
all -- * * 192.168.2.205 0.0.0.0/0
all -- * * 192.168.2.206 0.0.0.0/0
all -- * * 192.168.2.207 0.0.0.0/0
all -- * * 192.168.2.208 0.0.0.0/0
all -- * * 192.168.2.209 0.0.0.0/0
all -- * * 192.168.2.210 0.0.0.0/0
all -- * * 192.168.2.211 0.0.0.0/0
all -- * * 192.168.2.212 0.0.0.0/0
all -- * * 192.168.2.213 0.0.0.0/0
all -- * * 192.168.2.214 0.0.0.0/0
all -- * * 192.168.2.215 0.0.0.0/0
all -- * * 192.168.2.216 0.0.0.0/0
all -- * * 192.168.2.0/24 0.0.0.0/0
(policy ACCEPT 738K packets, 473M bytes)
prot opt in out source destination
(policy ACCEPT 60147 packets, 4792K bytes)
prot opt in out source destination
tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:17043 to:192.168.2.200-192.168.2.216:17043
tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:61304 to:192.168.2.200-192.168.2.216:61304
tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.2.200-192.168.2.216:25
tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.2.200-192.168.2.216:110
tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6881 to:192.168.2.207:6881
udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:6881 to:192.168.2.207:6881
tcp -- * * 192.168.2.0/24 0.0.0.0/0 tcp dpt:80 redir ports 8080
(policy ACCEPT 8266 packets, 609K bytes)
prot opt in out source destination
tcp -- * eth0 0.0.0.0/0
0 MASQUERADE tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 masq ports: 25
0 MASQUERADE tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 masq ports: 61304
0 MASQUERADE tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 masq ports: 17043
all -- * ppp0 192.168.2.0/24 0.0.0.0/0
(policy ACCEPT 6874 packets, 527K bytes)
prot opt in out source destination

olex
(04.03.09 20:54:43 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 04.03.09 09:32:34 MSK

Тут некоторые компьютеры имеют нули в маркировке, это нормально, они еще со вчерашнего дня просто не подключались к сети. Те, которые подключались, маркируют все как надо

# iptables -L -n -v -t mangle Chain PREROUTING (policy ACCEPT 1338K packets, 632M bytes) pkts bytes target prot opt in out source destination

0 0 MARK all -- * * 192.168.2.201 0.0.0.0/0 MARK set 0x66

0 0 RETURN all -- * * 192.168.2.201 0.0.0.0/0

378K 260M MARK all -- * * 192.168.2.207 0.0.0.0/0 MARK set 0x66

378K 260M RETURN all -- * * 192.168.2.207 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.213 0.0.0.0/0 MARK set 0x66

0 0 RETURN all -- * * 192.168.2.213 0.0.0.0/0

5099 781K MARK all -- * * 192.168.2.216 0.0.0.0/0 MARK set 0x66

5099 781K RETURN all -- * * 192.168.2.216 0.0.0.0/0

54918 8942K MARK all -- * * 192.168.2.204 0.0.0.0/0 MARK set 0x65

54918 8942K RETURN all -- * * 192.168.2.204 0.0.0.0/0

1700 200K MARK all -- * * 192.168.2.208 0.0.0.0/0 MARK set 0x65

1700 200K RETURN all -- * * 192.168.2.208 0.0.0.0/0

102 9001 MARK all -- * * 192.168.2.205 0.0.0.0/0 MARK set 0x67

102 9001 RETURN all -- * * 192.168.2.205 0.0.0.0/0

3185 323K MARK all -- * * 192.168.2.206 0.0.0.0/0 MARK set 0x67

3185 323K RETURN all -- * * 192.168.2.206 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.214 0.0.0.0/0 MARK set 0x67

0 0 RETURN all -- * * 192.168.2.214 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.202 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.202 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.203 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.203 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.209 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.209 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.210 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.210 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.211 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.211 0.0.0.0/0

8884 879K MARK all -- * * 192.168.2.212 0.0.0.0/0 MARK set 0x68

8884 879K RETURN all -- * * 192.168.2.212 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.215 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.215 0.0.0.0/0

Chain INPUT (policy ACCEPT 696K packets, 290M bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 642K packets, 342M bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 744K packets, 475M bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 1386K packets, 817M bytes) pkts bytes target prot opt in out source destination

olex
(04.03.09 21:00:00 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 04.03.09 09:32:34 MSK

Компайлы htb. Если кто увидит баги - буду признателен, чисто визуально все работает отлично, делит, выравнивает и т.д.

/sbin/htb compile

/sbin/tc qdisc del dev eth1 root

/sbin/tc qdisc add dev eth1 root handle 1 htb default 30 r2q 40

/sbin/tc qdisc del dev eth0 root

/sbin/tc qdisc add dev eth0 root handle 1 htb default 30 r2q 20

/sbin/tc class add dev eth1 parent 1: classid 1:2 htb rate 100Mbit

/sbin/tc class add dev eth1 parent 1:2 classid 1:05 htb rate 98Mbit prio 2

/sbin/tc qdisc add dev eth1 parent 1:05 handle 05 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip src 192.168.2.0/24 match ip dst 192.168.2.0/24 classid 1:05

/sbin/tc class add dev eth1 parent 1:2 classid 1:10 htb rate 1024Kbit ceil 2048Kbit prio 10

/sbin/tc qdisc add dev eth1 parent 1:10 handle 10 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip sport 22 0xffff classid 1:10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip sport 53 0xffff classid 1:10

/sbin/tc class add dev eth1 parent 1:2 classid 1:20 htb rate 1100Kbit ceil 2048Kbit prio 20

/sbin/tc qdisc add dev eth1 parent 1:20 handle 20 sfq perturb 10

/sbin/tc class add dev eth1 parent 1:20 classid 1:1011 htb rate 400Kbit prio 4

/sbin/tc qdisc add dev eth1 parent 1:1011 handle 1011 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.204 classid 1:1011

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.208 classid 1:1011

/sbin/tc class add dev eth1 parent 1:20 classid 1:1022 htb rate 900Kbit prio 3

/sbin/tc qdisc add dev eth1 parent 1:1022 handle 1022 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.201 classid 1:1022

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.207 classid 1:1022

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.213 classid 1:1022

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.216 classid 1:1022

/sbin/tc class add dev eth1 parent 1:20 classid 1:1033 htb rate 400Kbit prio 3

/sbin/tc qdisc add dev eth1 parent 1:1033 handle 1033 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.205 classid 1:1033

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.214 classid 1:1033

/sbin/tc class add dev eth1 parent 1:20 classid 1:1044 htb rate 348Kbit prio 5

/sbin/tc qdisc add dev eth1 parent 1:1044 handle 1044 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.203 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.204 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.209 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.268.2.210 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.211 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.212 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.215 classid 1:1044

/sbin/tc class add dev eth1 parent 1:2 classid 1:30 htb rate 1100Kbit ceil 2048Kbit prio 30

/sbin/tc qdisc add dev eth1 parent 1:30 handle 30 sfq perturb 10

/sbin/tc class add dev eth0 parent 1: classid 1:2 htb rate 10Mbit ceil 10Mbit

/sbin/tc class add dev eth0 parent 1:2 classid 1:10 htb rate 20Kbps ceil 50Kbps prio 10

/sbin/tc qdisc add dev eth0 parent 1:10 handle 10 sfq perturb 10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dport 22 0xffff classid 1:10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dport 53 0xffff classid 1:10

/sbin/tc class add dev eth0 parent 1:2 classid 1:20 htb rate 256Kbit ceil 512Kbit prio 20

/sbin/tc qdisc add dev eth0 parent 1:20 handle 20 sfq perturb 10

/sbin/tc class add dev eth0 parent 1:20 classid 1:101 htb rate 100Kbit prio 4

/sbin/tc qdisc add dev eth0 parent 1:101 handle 101 sfq perturb 10 /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 101 fw classid 1:101

/sbin/tc class add dev eth0 parent 1:20 classid 1:102 htb rate 200Kbit prio 3

/sbin/tc qdisc add dev eth0 parent 1:102 handle 102 sfq perturb 10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 102 fw classid 1:102

/sbin/tc class add dev eth0 parent 1:20 classid 1:103 htb rate 100Kbit prio 3

/sbin/tc qdisc add dev eth0 parent 1:103 handle 103 sfq perturb 10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 103 fw classid 1:103

/sbin/tc class add dev eth0 parent 1:20 classid 1:104 htb rate 100Kbit prio 5

/sbin/tc qdisc add dev eth0 parent 1:104 handle 104 sfq perturb 10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 104 fw classid 1:104

/sbin/tc class add dev eth0 parent 1:2 classid 1:30 htb rate 256Kbit ceil 512Kbit prio 30

/sbin/tc qdisc add dev eth0 parent 1:30 handle 30 sfq perturb 10

olex
(04.03.09 21:00:36 MSK) автор топика

Ответ на: комментарий от olex 04.03.09 21:00:36 MSK

У меня сейчас мало времени внимательно изучить все правила, попробую вечером.
Пока не совсем понятно, зачем нужно:

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip src 192.168.2.0/24 match ip dst 192.168.2.0/24 classid 1:05

Это ограничение полосы данных, скачиваемых с сервера (192.168.1.1), или у вас машины
в локалке ходят друг к другу ходят через сервер?

У DNAT правил нулевые (практически нулевые) счетчики, аналогично в MASQRADE правилами, может они все таки не нужны:
3 144 DNAT       tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.2.200-192.168.2.216:25
0   0 DNAT       tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.2.200-192.168.2.216:110
0   0 MASQUERADE tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 masq ports: 25
хотя это ваше личное дело.

Тут ещё появился интерфейс ppp0, это куда?

А по поводу "Громовой птицы", она перестаёт работать при любом правиле в mangle или только если маркировать пакеты с этой машины, где она запущена?
И если для неё сделать исключение:
iptables -t mangle -I PREROUTING 1 -s 192.168.2.0/24 -p tcp --dport 110 -j ACCEPT
то будет работать?

И, кстати, у вас DNS-сервер запущен, или все резолвят имена с помощью DNS-сервера провайдера, и может 20 кбит/с не хватает для всех DNS-запросов (53 порт).

mky ★★★★★
(05.03.09 14:43:44 MSK)

Ответ на: комментарий от mky 05.03.09 14:43:44 MSK

Да, после запуска htb счетчики нулевые, это так, до этого я день перед этим поставил сквид, потом наладил почту, она полдня постояла рабочая, потом мангл и она перестала работать, наверное потому и на счетчиках нули. По правилу 1:05: я часто в локалке гоняю большие объемы информации между сервером и компьютером на винде и другие тоже имеют расшаренные через самбу диски на сервере,да и между собой могут швыряться чем попало, потому есть отдельное правило. Про "громовую птицу" - да, при любом правиле в мангл. Я сейчас так думаю, что порты маскарадятся на все компьютеры, потому как только я делаю марку айпи то под эту марку подходят и пакеты, которые по этому айпи идут через 25-ый и 110-ый порты.И на этом дополнительном уровне возникает какой-то конфликт передачи данных. После маркировки машина перестает понимать, как маскарадить порты, это так выглядит. И счетчики перестают работать. Сам маскарад нужен, потому как без мангл порты пробрасываются (если включить маскарад) и не пробрасываются (если его отключить). Тут мне интересен другой момент - скайповские порты 61304 и 17043 показывают нули на счетчиках, но сам скайп работает, а если выключить эти правила - работать перестает. Этого я пока не пойму, чего так. ДНС-ы у меня через провайдера, но для них выделен специальный канал вместе с ssh на 256 кбит, так что не думаю, что это проблема. Правило на предмет сделать в мангл исключение проверю, но для меня это не выход, потому как исключеные может вызвать глюки уже в работе htb, а вот это хуже. Я ж и с маркировкой начал баловаться потому, что нат поднят, а без маркировки натованый трафик htb при применении правила по айпи учитывать не будет. Я завтра проверю еще вот что:вынесу трафик с 25 и 110 порта в отдельную марку, в аштебе внесу в какой-то отдельный класс а разбрасывать натом и маскарадом буду пробовать уже маркированные пакеты. Может это сработает, во всяком случае сейчас цепочка марка по интерфейсу и айпи - проброс портов - машина не может определить маршрут, а я попробую марка отдельного пула портов - проброс уже маркированных пакетов отдельного пула. Может это сработает.

ppp тут отдельная тема, это сделано в рамках vpnssh, я могу его включать, могу выключать, но это никак не воздействует на общую ситуацию, я пробовал. Это сделано потому, что в Киеве есть понятие ua-ix зона, бесплатный обмен внутри ua-ix сетей. ppp я поднимаю, когда мне нужно пойти за ua-ix зону, для того, чтобы провайдер этого не видел и весь мой не ua-ix трафик считался им как трафик с vpn-сервера, который висит на интерфейсе ppp. Но на маршруты внутри между eth0 eth1 это не воздействует никак.

olex
(05.03.09 23:22:46 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Внутренняя АТС

Admin

Ограничение файловой системы

→

Похожие темы