Сегодня один компьютер в сети забил весь канал. Я не смог разобраться какой процесс это делает, на машине было поднято много интерфейсов и адресов, и DNS сервер (bind9) .. Трафик необычно большой был именно с\на 53 UDP порт (скриншот прилагается) . Я остановил named, трафик уменьшился заметно, но все равно было очень много пакетов, с того адреса, на котором работал named. Вроде этот адрес никто из процессов больше не мог использовать...

Подскажите, как определить, какой процесс посылает пакеты? http://patri0t.adygnet.ru/wtf.JPG - скрин

День добрый.. При пинге одного сервера постоянно такая лажа.. Подскажите пожалуйста, что это за хрень? Что за редиректы? Коммутатор старенький cisco 3750, сервер SUN 2200 4 года, стоит Debian 6

From 192.168.200.7: icmp_seq=5 Redirect Host(New nexthop: 192.168.200.3)
64 bytes from 192.168.200.3: icmp_req=5 ttl=63 time=0.713 ms
From 192.168.200.7: icmp_seq=6 Redirect Host(New nexthop: 192.168.200.3)
64 bytes from 192.168.200.3: icmp_req=6 ttl=63 time=0.755 ms
64 bytes from 192.168.200.3: icmp_req=7 ttl=63 time=0.737 ms
From 192.168.200.7: icmp_seq=8 Redirect Host(New nexthop: 192.168.200.3)
64 bytes from 192.168.200.3: icmp_req=8 ttl=63 time=0.725 ms
64 bytes from 192.168.200.3: icmp_req=9 ttl=63 time=0.667 ms
64 bytes from 192.168.200.3: icmp_req=10 ttl=63 time=0.674 ms
From 192.168.200.7: icmp_seq=11 Redirect Host(New nexthop: 192.168.200.3)

Куда копать? Эти редиректы не будут ли мешать, если на этом сервере будет находиться фаервол?

День добрый, встала такая проблема.. Настроил Backuppc, копирую c помощью rsync. Выяснилось, что если при восстановлении на восстанавливаемой машине существует файл, которого нет в резервной копии, то он не удалится. А мне нужно, чтобы была точная копия... Что делать?

У rsync есть опции для этого (--delete и вариации), но к сожалению с этой опцией вообще всё ломается:

( читать дальше... )

Как починить rsync, чтобы мог делать точную копию, либо подскажите другие варианты. О системе - Backuppc 3.2.0, Debian GNU/Linux 5.0/6.0;

здрасте, подскажите, как из строки (кусок трассировки iptables)

TRACE: raw:PREROUTING:policy:2 IN=eth0 OUT= MAC=52:54:00:85:82:e6:00:0f:90:dc:63:ff:08:00 SRC=192.168.5.50 DST=192.168.200.7 LEN=40 TOS=0x00.... 

Добрый день. Пишу конфиг фаервола (iptables) который будет балансировать трафик между тремя провайдерами и шейпить его. Маршрутизация и классификация трафика осуществляется через маркировку nfmark, для меня это очень удобно. Также на этом сервере будет находиться прокси-сервер squid работающий в full-transparent (TPROXY) режиме.

В процессе обнаружилась очень странная особенность работы TPROXY: в iptables я не могу отловить первый пакет в соединении, которое squid устанавливает с удаленным хостом.

Самая простая конфигурация, взятая из руководства http://wiki.squid-cache.org/Features/Tproxy4

$IPT -F -t mangle ; $IPT -F -t nat ; $IPT -F -t raw; $IPT -F -t filter;
$IPT -X DIVERT -t mangle ; $IPT -t mangle -N DIVERT;

ip rule del fwmark 1 table 100
ip route flush table 100

ip rule add 1 fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

echo 0 > /proc/sys/net/ipv4/conf/lo/rp_filter
echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -t mangle -A DIVERT -j MARK --set-mark 1
$IPT -t mangle -A DIVERT -j ACCEPT
$IPT -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
$IPT -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3129
$IPT -A POSTROUTING -t mangle -p tcp ! --sport 22 -j LOG --log-prefix "POST "
$IPT -t nat -A POSTROUTING -s 192.168.5.48/28 -j SNAT --to-source 82.179.92.7

IN= OUT=eth0 SRC=93.158.134.203 DST=192.168.5.49 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=54612 WINDOW=14480 RES=0x00 ACK SYN URGP=0

При этом Tproxy работает как положено.. т.е. все пакеты проходят через сквид, в FORWARD их нет и вообще, все зашибись.

При выключенном же TPROXY все нормально. Пакеты есть как с одной стороны так и c другой:

IN= OUT=eth1 SRC=192.168.5.49 DST=93.158.134.203 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=19276 DF PROTO=TCP SPT=54616 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
IN= OUT=eth0 SRC=93.158.134.203 DST=192.168.5.49 LEN=52 TOS=0x00 PREC=0x00 TTL=57 ID=0 DF PROTO=TCP SPT=80 DPT=54616 WINDOW=14100 RES=0x00 ACK SYN URGP=0
IN= OUT=eth1 SRC=192.168.5.49 DST=93.158.134.203 LEN=40 TOS=0x00 PREC=0x00 TTL=62 ID=19277 DF PROTO=TCP SPT=54616 DPT=80 WINDOW=92 RES=0x00 ACK URGP=0

Я показал только начало соединения. Дальше пакеты в OUTPUT и POSTROUTING все же появляются, т.е. там есть пакеты как ЛОКАЛНЫЙ_ХОСТ <-> SQUID, так и SQUID <-> УДАЛЕННЫЙ ХОСТ, и порты клиентских сторон различаются, что говорит о двух установленных соединениях. т.е. все правильно.

Все бы ничего, но у меня 3 провайдера.. вопрос, каким образом настроить маршрутизацию в этом случае, если пакетов от сквида в интернет просто не видно.. Или куда же все таки они деваются, как их отловить..

[
О системе: Linux 2.6.39 - самосборное,
squid 3.1.9 (--enable-linux-netfilter --enable-zph-qos)
iptables 1.4.11.1
ipset 6.9.1
]

Добрый день. Подскажите, есть ли способ нарисовать таблицу в консоли из входных данных (делаю разбор логов iptables), чтобы удобнее было читать, как например это сделано в mysql..

Вечер добрый всем. Скачал xtables-addon с sourceforge, установил как надо, пытаюсь выполнить:

# iptables -A PREROUTING -d 9.9.9.9 -j LOGMARK 
  iptables v1.4.11.1: Couldn't load target `LOGMARK':No such file or directory

root@tproxy:# lsmod | grep x_tables
x_tables               24408  21 xt_TRACE,xt_CLASSIFY,ipt_REJECT,xt_connbytes,xt_length,xt_dscp,ipt_LOG,xt_mark,xt_TPROXY,xt_tcpudp,xt_multiport,xt_set,xt_connmark,xt_state,xt_socket,ip6_tables,iptable_raw,iptable_filter,iptable_nat,iptable_mangle,ip_tables

root@tproxy:~# pkg-config xtables --variable=xtlibdir
/usr/local/lib/xtables

ls /usr/local/lib/xtables | grep -i log
root@tproxy:~# ls -l /usr/local/lib/xtables  | grep log -i
-rwxr-xr-x 1 root root 23340 2011-09-30 17:28 libip6t_LOG.so
-rwxr-xr-x 1 root root 23380 2011-09-30 17:28 libipt_LOG.so
-rwxr-xr-x 1 root root 22735 2011-09-30 17:28 libipt_ULOG.so
-rwxr-xr-x 1 root root 22588 2011-11-12 14:07 libxt_LOGMARK.so
-rwxr-xr-x 1 root root 22186 2011-09-30 17:28 libxt_NFLOG.so

Не понимаю, в чем дело.. Откуда вообще iptables берет модули? /lib/xtables ? Я туда скопировал все из /usr/local/lib/xtables, но он упорно не видит ничего.. Подскажите кто разбирается

случайно удалил один файл через mc, как его восстановить? есть бекап, но из-за одного файла не хотелось бы откатывать

файловая система ext3

Вечер добрый, ковыряю новинку. linux 2.6.39, iptables 1.4.11.1, ipset 6.9.1

Помогите разобраться, что такое set:list и как его использовать? Читал http://ipset.netfilter.org/ipset.man.html, но все равно немного непонятно.

Главный вопрос, можно ли создать список из 10 списков и одним правилом проверить, допустим соответствие src ip сразу по всем наборам?

Добрый день всем. Локальная сеть с подключенными тремя провайдерами. Необходимо равномерно распределить нагрузку между ними.

Мои раздумки: Маркировать соединения, и распихивать их по таблицам маршрутизации, при этом соединения на один и тот же ip адрес пускать через одного провайдера. (чтобы не было проблем с авторизацией на сайтах). Ко всему этому как-то прикрутить критерий rateest, который позволяет выбрать менее загруженный интерфейс.. Таким образом, инструменты, которые могут пригодиться: Connmark, ipset, rateest, nth..

Поделитесь опытом, каким образом можно отправлять все соединения на один и тот же ip адрес через одного провайдера. А также, если кто-то использует rateest у себя, расскажите, хорошо ли работает

Доброе утро всем. создал цепочку iptables -A MULTIPROV -t mangle Перенаправления в нее будут как из цепочки PREROUTING, так и из OUTPUT (-t mangle). Вопрос: Будет ли работать все правильно в этом случае? В каком месте диаграммы прохождения пакетов будет находиться моя созданная цепочка?

$IPT -A PREROUTING -t mangle -m set --match-set BOSS src -j MULTIPROV
	$IPT -A MULTIPROV -t mangle -j CONNMARK --set-mark $KTTK/$PROV
	$IPT -A MULTIPROV -t mangle -m statistic --mode random --probability 0.34 -j RETURN
	$IPT -A MULTIPROV -t mangle -j CONNMARK --set-mark $KTTK/$PROV
	$IPT -A MULTIPROV -t mangle -m statistic --mode random --probability 0.5 -j RETURN
	$IPT -A MULTIPROV -t mangle -j CONNMARK --set-mark $KTTK/$PROV	

$IPT -A OUTPUT -t mangle -m set --match-set BOSS src -j MULTIPROV
	

Нужен маленький ЛикБез. Действительно, а как? И где про это можно подробнее почитать? Выбирается первый адрес на первом интерфейсе?

День добрый. Конфигурю фаерволл для универа, изучаю в каких цепочках какой трафик гуляет..
Система - ubuntu server 10.04, ядро самособранное 2.6.39, iptables 1.4.11.1, Установлен Squid 3.1.9, работающий через TPROXY.
Обнаружил, что сейчас идет какая-то передача по udp протоколу на мой порт 35691. Подскажите пожалуйста, как определитЬ, чье это соединение? netstat -na, lsof -i -n молчат..

Вот tcpdump: http://paste.org/pastebin/view/35182

Собственно, в этом вопрос и есть.. В сети имеется 3 провайдера.. Есть сервера с хостингом, почтой и прочей лабудой, которые необходимо обслуживать, и желательно на хорошей скорости. Но помимо серверов еще куча смертных людишек. Можно ли создать несколько htb классов таким образом:
serv - rate 50%,
Class1 - rate 20%,
Class2 - rate 30%,
Class3 - rate 50%.

Т.е, в случае, если сервер что-то запросил, то все замолкли. А в остальное время сервер молчит, и благодаря возможности заемов у HTB, оставшиеся классы получают свое.

Вопрос - при применении к пакету действия ACCEPT, например в таблице mangle цепочки PREROUTING пакет попадет ли в таблицу mangle цепочек FORWARD или POSTROUTING, если он транзитный. Или же после применения этого действия пакет не появится больше в таблице mangle, а только в nat и filter?

На википедии написан первый вариант, с другой стороны, в классической доке по iptables http://www.opennet.ru/docs/RUS/iptables/ описано, что пакет прекращает движение по этой таблице... Подскажите плз, как оно есть на самом деле.

День добрый. linux 2.6.39, iptables 1.4.11
Ввожу два правила.

# iptables -A OUTPUT -p tcp -m multiport ! --dport 222 -j ACCEPT
# iptables -A OUTPUT -p tcp ! --dport 222 -j ACCEPT

получаю

109 10887 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 multiport dports !222
0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:222

- во второй строке не распозналась инверсия --dport.. Получается, что для tcp проблемы с парсером опций... То говорят и разрабы, патч выпустили соответствующий (iptables 1.4.11.1), якобы с фиксом..
http://comments.gmane.org/gmane.comp.security.firewalls.netfilter.general/42618
http://netfilter.org/projects/iptables/files/changes-iptables-1.4.11.1.txt

Вопрос.. у меня ли одного после применения последнего патча не заработало инвертирование, и будет ли нормально работать ipset, если поставить iptables 1.4.10.. Ядро, повторюсь, 2.6.39, все вкручено как надо.

День добрый еще раз. Опробую эту новинку, и выясняется, что при установке из сырцов http://netfilter.org/projects/iptables/files/iptables-1.4.11.tar.bz2

После make install создаются симлинки для ip6tables, ip6tables-restore, ip6tables-save, iptables, iptables-restore, iptables-save, ссылающиеся на отсутствующий файл iptables-multi. Опаньки... И что делать? при этом рядом лежит файл xtables-multi.. и через него вроде бы можно все делать.. Хрень какая-то

День добрый, возникла такая проблема.
Делаю по http://help.ubuntu.ru/wiki/создание_deb_пакетов. Собираю пакет iptables 1.4.11, скачал сырец, скачал готовый пакет 1.4.10-1, взял от туда папку debian, скопировал куда надо.
(http://mirror.yandex.ru/debian/pool/main/i/iptables/iptables_1.4.10-1.debian.... - папка debian, которую брал)
Вобщем, dpkg-buildpackage -rfakeroot вываливается в самом конце с таким:


make[2]: Entering directory `/var/src/inst/iptables-1.4.11/debian/build'
Making check in extensions
make[3]: Entering directory `/var/src/inst/iptables-1.4.11/debian/build/extensions'
make[3]: *** No rule to make target `check'. Stop.
make[3]: Leaving directory `/var/src/inst/iptables-1.4.11/debian/build/extensions'
make[2]: *** [check-recursive] Error 1
make[2]: Leaving directory `/var/src/inst/iptables-1.4.11/debian/build'
dh_auto_test: make -j1 check returned exit code 2
make[1]: *** [debian/stamp-build] Error 29
make[1]: Leaving directory `/var/src/inst/iptables-1.4.11/debian/build'
make: *** [build] Error 2
dpkg-buildpackage: error: debian/rules build gave error exit status 2

Подскажите, что делать, это мой первый раз :)

Добрый день. В ВЦ моего универа целый этаж переводится на тонкие станции. Уже подобрали и сервер, который все это дело будет тянуть. Подскажите пожалуйста, каким образом на Linux огранизовать распределение трафика между пользователями\станциями..

Есть ли возможность установить взаимооднозначное соответствие
<ip адрес тонкого клиента> - <ip адрес исходящий>.
В этом случае я смогу делить трафик на шлюзе.. Если существуют какие-нибудь другие способы для классификации трафика на терминале, подскажите пожалуйста

Добрый день, подскажите пожалуйста.

Есть KVM машина c двумя разделами reiserfs. Необходимо увеличить второй . fdisk -l показывает 14G, а используется только 6.

Как это сделать