LINUX.ORG.RU

Сообщения fet4

 

P2P фильтрация, iptables

Форум — Admin

Привет! Подскажите, чем нынче p2p трафик фильтруют? Желательно для ядер от 3 и выше.

 

fet4
()

Приоритеты трафика HTB

Форум — Admin

Привет! Подскажите в чем загвоздка! Есть сеть, клиенты через pppoe, все это дело заворачивается на imq и там htb делает свое дело.

1:11 это icmp,dns 1:12 это web 1:13 все остальное

Для тестов speedtest.net загнал в 1:11

Все классифицуруется и попадет в нужные классы.

$TC qdisc del root dev $imq_download
$TC qdisc add dev $imq_download root handle 1: htb

$TC class add dev $imq_download parent 1: classid 1:1 htb rate 95 mbit prio 0

$TC class add dev $imq_download parent 1:1 classid 1:11 htb rate 1mbit ceil 95mbit prio 1
$TC class add dev $imq_download parent 1:1 classid 1:12 htb rate 1mbit ceil 95mbit prio 5
$TC class add dev $imq_download parent 1:1 classid 1:13 htb rate 1mbit ceil 95mbit prio 10

$TC qdisc add dev $imq_download parent 1:11 handle 11: sfq perturb 10
$TC qdisc add dev $imq_download parent 1:12 handle 12: sfq perturb 10
$TC qdisc add dev $imq_download parent 1:13 handle 13: sfq perturb 10

$TC filter add dev $imq_download parent 11: protocol all handle 11 flow hash keys dst divisor 1024
$TC filter add dev $imq_download parent 12: protocol all handle 12 flow hash keys dst divisor 1024
$TC filter add dev $imq_download parent 13: protocol all handle 13 flow hash keys dst divisor 1024

Проблема в чем, если я со своего компа качаю торрент и делаю тесты на speedtest.net, торрент проседает отдавая скорость speedtest.net все окей, если качаю на другой машине торрент и в это время делаю замеры speedtest.net, то скорость делится между нами. А хотелось бы преимущества перед торрентом. Подскажите где туплю?

 

fet4
()

Маркировка входящих соединений iptables

Форум — Admin

Подскажите как правильно сделать чтобы маркировка входящих соединений (isp*_if) не перекрывалась маркировкой входящих (clients_if).

Ситуация - допустим через инт. isp6_if пробрасываем порт кому-то на инт. clients_if и заходим с мира на этот порт. А этот клиент попадает под --set-mark 1 и перемаркировует входящее соединение через isp6_if, хотя указано --ctstate NEW.

Сейчас такая конструкция. Но почему-то не корректно оно обрабатывается.

$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp1_tbl src -j CONNMARK --set-mark 1
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp2_tbl src -j CONNMARK --set-mark 2
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp3_tbl src -j CONNMARK --set-mark 3
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp4_tbl src -j CONNMARK --set-mark 4
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp5_tbl src -j CONNMARK --set-mark 5
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp6_tbl src -j CONNMARK --set-mark 6
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp7_tbl src -j CONNMARK --set-mark 7

$IPT -w -t mangle -A PREROUTING -i $isp1_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 1
$IPT -w -t mangle -A PREROUTING -i $isp2_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 2
$IPT -w -t mangle -A PREROUTING -i $isp3_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 3
$IPT -w -t mangle -A PREROUTING -i $isp4_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 4
$IPT -w -t mangle -A PREROUTING -i $isp5_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 5
$IPT -w -t mangle -A PREROUTING -i $isp6_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 6
$IPT -w -t mangle -A PREROUTING -i $isp7_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 7

$IPT -w -t mangle -A PREROUTING -j CONNMARK --restore-mark

 ,

fet4
()

ping потери и диагностика сети

Форум — Admin

Привет ребята! Тут такая паранойя небольшая, не могу разобраться с диагностикой сети помогите. Есть шлюз на Debian около 500 человек выходят в сеть через него. На мониторинге заметил обрывы на аплинке. http://piccy.info/view3/9042188/dcaf553a74b4c4af234d97d8d5fcb343/

Выяснилось следующее - скрипт который пингом проверяет доступность шлюза в момент проверки натыкается на потерю и переключает на резерв, в следующую проверку все нормально и переключает назад. Пингуя этот шлюз

ping -v -c100 *.*.*.*
получаю от 1 до 4 % потерь, если увеличить размер пакета то потери увеличиваются. На других шлюзах аплинков иногда тоже бывает по 1% потерь.

Если пинговать свое оборудования в сети то потерь нет все окей.

И тут вопрос как мне проверить свой шлюз на предмет того что он не справляется или это какой-то сбой\ошибка или неправильная конфигурация, не хочется бежать к провайдеру с таким вопросом, а потом еще выясниться что проблема у меня.

На шлюзе ванильное ядро 3.18.23 патчилось ядро,iptables под imq это как-то может повлиять? Может фаервол на этот как-то повлиять или его неправильная настройка?

Скрипт проверки аплинков

#!/bin/bash

. /usr/net-conf/vars

arr_stat_isp=( )

for i in 1 2 3 4 5 6 7; do
  curtable=isp$i
  curint1=${curtable}_if
  curint2=${!curint1}
  curfwmark1=${curtable}_fwmark
  curfwmark2=${!curfwmark1}
  currule=$(ip rule | awk '/fwmark '$curfwmark2'/{print $7}')
  curip=$(ip a l $curint2 | grep "  inet " | head -n 1 | cut -d " " -f 6 | cut -d / -f 1)
  curdef=$(ip route | awk '/default/ && /'$curint2'/{print $5}')
  curgw=$(ip route show table $curtable | awk '/default/ && /'$curint2'/{print $3}')

  if ping -c1 -I $curip $pinghost; then

    arr_stat_isp+=([$i]=works)

    if [ "$curtable" = "$currule" ]; then
        echo "ip rule yes"
     else
#        echo "add ip rule"
        ip rule add fwmark $curfwmark2 table $curtable prio $prio_mark
        ip route flush cache
     fi

     if [ "$curint2" = "$curdef" ]; then
        echo "default route yes"
     else
#        echo "add default route"
        ip route add default via $curgw dev $curint2 metric $i
        ip route flush cache
     fi

  else

     arr_stat_isp+=([$i]=not_works)

     if [ "$curtable" = "$currule" ]; then
#        echo "ip rule yes"
        ip rule del fwmark $curfwmark2
        ip route flush cache
     else
        echo "no ip rule"
     fi

     if [ "$curint2" = "$curdef" ]; then
#        echo "default route yes"
        ip route del default via $curgw dev $curint2 metric $i
        ip route flush cache
     else
        echo "no default route"
     fi

  fi

done

flag=0

for i2 in "${arr_stat_isp[@]}"; do

    if [ "$i2" = "works" ]
       then
        flag=1
    fi

done

redirect2="$(iptables-save | awk '/'PREROUTING'/&&'/redirect2'/')"

if [ "$flag" -eq 0 ]; then
   echo "ничего не работает"

   if [ -z "$redirect2" ]; then
      echo "строка пустая"
      $IPT -w -t nat -A PREROUTING -i $clients_if -s $clients_ippool -j redirect2
      fi

   else
   echo "минимум 1 аплинк работает"

   if [ -n "$redirect2" ]; then
      echo "строка не пустая"
      $IPT -w -t nat -D PREROUTING -i $clients_if -s $clients_ippool -j redirect2
      fi
   fi

exit 0

iptables-save

iptables-save
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*mangle
:PREROUTING ACCEPT [956223385:836581798825]
:INPUT ACCEPT [9849265:712417670]
:FORWARD ACCEPT [946313355:835864730969]
:OUTPUT ACCEPT [124518:71314230]
:POSTROUTING ACCEPT [946395895:835933065624]
:add_set_isp1 - [0:0]
:add_set_isp2 - [0:0]
:add_set_isp3 - [0:0]
:add_set_isp4 - [0:0]
:add_set_isp5 - [0:0]
:add_set_isp6 - [0:0]
:add_set_isp7 - [0:0]
:balancing - [0:0]
:class_imq0_isp1 - [0:0]
:class_imq0_isp2 - [0:0]
:class_imq0_isp3 - [0:0]
:class_imq1_isp1 - [0:0]
:class_imq1_isp2 - [0:0]
:class_imq1_isp3 - [0:0]
:ipt_isp1 - [0:0]
:ipt_isp2 - [0:0]
:ipt_isp3 - [0:0]
:ipt_isp4 - [0:0]
:ipt_isp5 - [0:0]
:ipt_isp6 - [0:0]
:ipt_isp7 - [0:0]
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -j NETFLOW
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -m conntrack --ctstate NEW -m set --match-set ALLOWED src -j balancing
-A PREROUTING -s 10.193.0.0/16 -i vlan10 -m conntrack --ctstate NEW -j balancing
-A PREROUTING -s 10.192.0.0/16 -i vlan10 -m conntrack --ctstate NEW -j balancing
-A PREROUTING -m set --match-set isp1 src -j ipt_isp1
-A PREROUTING -m set --match-set isp2 src -j ipt_isp2
-A PREROUTING -m set --match-set isp3 src -j ipt_isp3
-A PREROUTING -m set --match-set isp4 src -j ipt_isp4
-A PREROUTING -m set --match-set isp5 src -j ipt_isp5
-A PREROUTING -m set --match-set isp6 src -j ipt_isp6
-A PREROUTING -m set --match-set isp7 src -j ipt_isp7
-A PREROUTING -i ppp10001 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x1/0xffffffff
-A PREROUTING -i ppp10002 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x2/0xffffffff
-A PREROUTING -i vlan9 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x3/0xffffffff
-A PREROUTING -i vlan13 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x4/0xffffffff
-A PREROUTING -i ppp10005 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x5/0xffffffff
-A PREROUTING -i ppp10006 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x6/0xffffffff
-A PREROUTING -i ppp10007 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x7/0xffffffff
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -d 10.193.0.0/16 -o ppp+ -j NETFLOW
-A add_set_isp1 -j SET --add-set isp1 src
-A add_set_isp2 -m set --match-set isp1 src -j RETURN
-A add_set_isp2 -j SET --add-set isp2 src
-A add_set_isp3 -m set --match-set isp1 src -j RETURN
-A add_set_isp3 -m set --match-set isp2 src -j RETURN
-A add_set_isp3 -j SET --add-set isp3 src
-A add_set_isp4 -m set --match-set isp1 src -j RETURN
-A add_set_isp4 -m set --match-set isp2 src -j RETURN
-A add_set_isp4 -m set --match-set isp3 src -j RETURN
-A add_set_isp4 -j SET --add-set isp4 src
-A add_set_isp5 -m set --match-set isp1 src -j RETURN
-A add_set_isp5 -m set --match-set isp2 src -j RETURN
-A add_set_isp5 -m set --match-set isp3 src -j RETURN
-A add_set_isp5 -m set --match-set isp4 src -j RETURN
-A add_set_isp5 -j SET --add-set isp5 src
-A add_set_isp6 -m set --match-set isp1 src -j RETURN
-A add_set_isp6 -m set --match-set isp2 src -j RETURN
-A add_set_isp6 -m set --match-set isp3 src -j RETURN
-A add_set_isp6 -m set --match-set isp4 src -j RETURN
-A add_set_isp6 -m set --match-set isp5 src -j RETURN
-A add_set_isp6 -j SET --add-set isp6 src
-A add_set_isp7 -m set --match-set isp1 src -j RETURN
-A add_set_isp7 -m set --match-set isp2 src -j RETURN
-A add_set_isp7 -m set --match-set isp3 src -j RETURN
-A add_set_isp7 -m set --match-set isp4 src -j RETURN
-A add_set_isp7 -m set --match-set isp5 src -j RETURN
-A add_set_isp7 -m set --match-set isp6 src -j RETURN
-A add_set_isp7 -j SET --add-set isp7 src
-A balancing -m set --match-set isp1 src -j RETURN
-A balancing -m set --match-set isp2 src -j RETURN
-A balancing -m set --match-set isp3 src -j RETURN
-A balancing -m set --match-set isp4 src -j RETURN
-A balancing -m set --match-set isp5 src -j RETURN
-A balancing -m set --match-set isp6 src -j RETURN
-A balancing -m set --match-set isp7 src -j RETURN
-A balancing -m statistic --mode random --probability 0.14300000016 -j add_set_isp1
-A balancing -m statistic --mode random --probability 0.16699999990 -j add_set_isp2
-A balancing -m statistic --mode random --probability 0.20000000019 -j add_set_isp3
-A balancing -m statistic --mode random --probability 0.25000000000 -j add_set_isp4
-A balancing -m statistic --mode random --probability 0.33300000010 -j add_set_isp5
-A balancing -m statistic --mode random --probability 0.50000000000 -j add_set_isp6
-A balancing -j add_set_isp7
-A class_imq0_isp1 -j CLASSIFY --set-class 0001:0103
-A class_imq0_isp1 -p icmp -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp2 -j CLASSIFY --set-class 0001:0203
-A class_imq0_isp2 -p icmp -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp3 -j CLASSIFY --set-class 0001:0303
-A class_imq0_isp3 -p icmp -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0301
-A class_imq1_isp1 -j CLASSIFY --set-class 0001:0013
-A class_imq1_isp1 -p icmp -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp2 -j CLASSIFY --set-class 0001:0023
-A class_imq1_isp2 -p icmp -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp3 -j CLASSIFY --set-class 0001:0033
-A class_imq1_isp3 -p icmp -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0031
-A ipt_isp1 -j CONNMARK --set-xmark 0x1/0xffffffff
-A ipt_isp1 -j SET --add-set isp1 src --exist
-A ipt_isp2 -j CONNMARK --set-xmark 0x2/0xffffffff
-A ipt_isp2 -j SET --add-set isp2 src --exist
-A ipt_isp3 -j CONNMARK --set-xmark 0x3/0xffffffff
-A ipt_isp3 -j SET --add-set isp3 src --exist
-A ipt_isp4 -j CONNMARK --set-xmark 0x4/0xffffffff
-A ipt_isp4 -j SET --add-set isp4 src --exist
-A ipt_isp5 -j CONNMARK --set-xmark 0x5/0xffffffff
-A ipt_isp5 -j SET --add-set isp5 src --exist
-A ipt_isp6 -j CONNMARK --set-xmark 0x6/0xffffffff
-A ipt_isp6 -j SET --add-set isp6 src --exist
-A ipt_isp7 -j CONNMARK --set-xmark 0x7/0xffffffff
-A ipt_isp7 -j SET --add-set isp7 src --exist
COMMIT
# Completed on Sat Nov 21 22:12:03 2015
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*nat
:PREROUTING ACCEPT [18681272:1333376593]
:INPUT ACCEPT [12014:768269]
:OUTPUT ACCEPT [31309:2882521]
:POSTROUTING ACCEPT [23115:2187998]
:redirect - [0:0]
:redirect2 - [0:0]
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -j redirect
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 172.19.0.1
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 6036,50000 -j DNAT --to-destination 10.193.0.1
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50001,50002 -j DNAT --to-destination 10.193.0.2
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50004,50005 -j DNAT --to-destination 10.193.0.3
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A PREROUTING -d *.*.*.*/32 -p udp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50008,50029 -j DNAT --to-destination 10.193.0.6
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50009,50010,50012 -j DNAT --to-destination 10.193.0.5
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50013 -j DNAT --to-destination 10.193.0.5:80
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50014,50015,50050 -j DNAT --to-destination 10.193.0.7
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50016,50017,50025 -j DNAT --to-destination 10.193.0.8
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50027,50028 -j DNAT --to-destination 10.193.0.9
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j DNAT --to-destination 10.193.0.11
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j DNAT --to-destination 10.193.0.13
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 172.19.0.1
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 6036,50000 -j DNAT --to-destination 10.193.0.1
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50001,50002 -j DNAT --to-destination 10.193.0.2
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50004,50005 -j DNAT --to-destination 10.193.0.3
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A OUTPUT -d *.*.*.*/32 -p udp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50008,50029 -j DNAT --to-destination 10.193.0.6
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50009,50010,50012 -j DNAT --to-destination 10.193.0.5
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50013 -j DNAT --to-destination 10.193.0.5:80
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50014,50015,50050 -j DNAT --to-destination 10.193.0.7
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50016,50017,50025 -j DNAT --to-destination 10.193.0.8
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50027,50028 -j DNAT --to-destination 10.193.0.9
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j DNAT --to-destination 10.193.0.11
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j DNAT --to-destination 10.193.0.13
-A POSTROUTING -o ppp10001 -j MASQUERADE
-A POSTROUTING -o ppp10002 -j MASQUERADE
-A POSTROUTING -o vlan9 -j MASQUERADE
-A POSTROUTING -o vlan13 -j MASQUERADE
-A POSTROUTING -o ppp10005 -j MASQUERADE
-A POSTROUTING -o ppp10006 -j MASQUERADE
-A POSTROUTING -o ppp10007 -j MASQUERADE
-A POSTROUTING -d 172.19.0.0/24 -o vlan10 -j MASQUERADE
-A POSTROUTING -s 10.193.0.0/16 -d 172.19.0.1/32 -p tcp -m multiport --dports 80,443 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.1/32 -p tcp -m multiport --dports 6036,50000 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.2/32 -p tcp -m multiport --dports 50001,50002 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 50004,50005 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.4/32 -p tcp -m multiport --dports 50006,50007 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.4/32 -p udp -m multiport --dports 50006,50007 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.6/32 -p tcp -m multiport --dports 50008,50029 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.5/32 -p tcp -m multiport --dports 50009,50010,50012 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.5/32 -p tcp -m multiport --dports 80 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.7/32 -p tcp -m multiport --dports 50014,50015,50050 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.8/32 -p tcp -m multiport --dports 50016,50017,50025 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.9/32 -p tcp -m multiport --dports 50027,50028 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.11/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.13/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j SNAT --to-source 172.31.1.254
-A redirect -m set --match-set ALLOWED src -j RETURN
-A redirect -m set --match-set liqpay dst -j RETURN
-A redirect -d 172.30.0.1/32 -j RETURN
-A redirect -d 172.30.1.1/32 -j RETURN
-A redirect -d *.*.*.*/32 -j RETURN
-A redirect -p tcp -j DNAT --to-destination 172.30.1.1:8080
-A redirect -p udp -j DNAT --to-destination 172.30.1.1:8080
-A redirect2 -d 172.30.0.1/32 -j RETURN
-A redirect2 -d 172.30.1.1/32 -j RETURN
-A redirect2 -d *.*.*.*/32 -j RETURN
-A redirect2 -p tcp -j DNAT --to-destination 172.30.1.1:8081
-A redirect2 -p udp -j DNAT --to-destination 172.30.1.1:8081
COMMIT
# Completed on Sat Nov 21 22:12:03 2015
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*filter
:INPUT DROP [9568763:651070390]
:FORWARD DROP [124:7420]
:OUTPUT ACCEPT [122785:70314662]
:forwarding - [0:0]
:incoming - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -j incoming
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j forwarding
-A OUTPUT -m conntrack --ctstate INVALID -j DROP
-A forwarding -s 10.193.0.50/32 -i ppp+ -m set --match-set ALLOWED src -j ACCEPT
-A forwarding -d 10.193.0.50/32 -o ppp+ -m set --match-set ALLOWED dst -j ACCEPT
-A forwarding -i ppp+ ! -o vlan10 -m set --match-set ALLOWED src -j ACCEPT
-A forwarding ! -i vlan10 -o ppp+ -m set --match-set ALLOWED dst -j ACCEPT
-A forwarding -s 10.193.0.0/16 -i ppp+ ! -o vlan10 -m set --match-set liqpay dst -j ACCEPT
-A forwarding -d 10.193.0.0/16 ! -i vlan10 -o ppp+ -m set --match-set liqpay src -j ACCEPT
-A forwarding -i vlan10 -j ACCEPT
-A forwarding -o vlan10 -j ACCEPT
-A incoming -i ppp10001 -j RETURN
-A incoming -i ppp10002 -j RETURN
-A incoming -i vlan9 -j RETURN
-A incoming -i ppp10005 -j RETURN
-A incoming -i ppp10006 -j RETURN
-A incoming -i ppp10007 -j RETURN
-A incoming -i lo -j ACCEPT
-A incoming -s 10.193.0.50/32 -j ACCEPT
-A incoming -i vlan10 -p tcp -m multiport --dports 22 -j ACCEPT
-A incoming -p tcp -m multiport --dports 53,80,443,953 -j ACCEPT
-A incoming -p udp -m multiport --dports 53 -j ACCEPT
-A incoming -p icmp -j ACCEPT
COMMIT
# Completed on Sat Nov 21 22:12:03 2015

 ,

fet4
()

Bind ответ из кэша.

Форум — Admin

Подскажите можно ли как-то заставить отвечать bind из кэша, если у него нет доступа к сети?

 

fet4
()

Вопрос по Bash и переменным

Форум — Admin

Привет всем! Помогите, не могу разобраться. Есть цикл, в зависимости от значения переменной i нужно формировать новую переменную

for i in 1 2 3 4 5 6 7; do
test$i=10
done

Или как правильно это сделать?

 

fet4
()

Русский язык в ванильном ядре debian 8

Форум — Admin

Привет всем. Имеется проблема с русским языком после компиляции ванильного ядра на debian 8.

# dpkg-reconfigure keyboard-configuration
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults

Тоже самое выбивает если dpkg-reconfigure console-cyrillic

В текстовых редакторах вот такие крюкозябры

lbl_room => ' ^      ^  ^    ^   ',

Всякие dpkg-reconfigure связанные с локализациями в разных примерах на просторах интернета не помогают.

Помогите отстроить правильно.

 , ,

fet4
()

Дерево HTB

Форум — Admin

Привет всем! Подскажите где моя ошибка и как правильно строить дерево htb. Есть несколько потоков трафика от пользователей, промаркированны в iptables. Создаю корневую дисциплину

$TC qdisc add dev $imq_download root handle 1: htb
Создаю классы для потоков с маркерами
$TC class add dev $imq_download parent 1: classid 1:1 htb rate $rate_isp
$TC class add dev $imq_download parent 1: classid 1:2 htb rate $rate_isp
Фильтром подаю в нужный класс
$TC filter add dev $imq_download parent 1:0 protocol ip prio 1 handle 1 fw classid 1:1
$TC filter add dev $imq_download parent 1:0 protocol ip prio 1 handle 2 fw classid 1:2
Делаю
tc -s -d class show dev imq1
И вижу трафик побежал по классам.

Но задача в каждом из промаркированных потоков еще разбить трафик на три очереди для приоритетов. И тут как только добавляю дочерние классы к существующим чтобы в них разбить.

$TC class add dev $imq_download parent 1:1 classid 1:11 htb rate $rate_min ceil $rate_isp prio 1
$TC class add dev $imq_download parent 1:1 classid 1:12 htb rate $rate_min ceil $rate_isp prio 2
$TC class add dev $imq_download parent 1:1 classid 1:13 htb rate $rate_min ceil $rate_isp prio 3
Счетчики в родительском классе 1:1 по нулям, т.е. фильтры уже не срабатывают. Подскажите как правильно строить такие деревья, чтобы можно было оперировать трафиком по-классово.

Спасибо.

 

fet4
()

Per Connection Classifier на Linux

Форум — Admin

Привет всем! RouterOS (MikroTik) обладает такой функцией как PCC (Per Connection Classifier) и может балансировать исходящие соединения по нескольким каналам на основе src адреса. Возможно ли организовать такое же на Linux ?

 

fet4
()

Netflow внешний интерфейс

Форум — Admin

Привет! Прошу помощи, не могу разобраться со сбором трафика. Использую netflow сенсор ipt_netflow, отсылаю трафик на flow-capture . С последующей обработкой трафика биллингом для внесения статистики в базу.

Трафик приходит на коллектор, но не зачисляется в базу. Для этого нужен какой-то номер внешнего интерфейса, который отсылает сенсор. В этом и вопрос где его глянуть этот номер?

 

fet4
()

rsh-client и ключ -t

Форум — Admin

Привет. В одном биллинге на freebsd снимается статистика с ipcad через rsh в формате :

rsh -t 5 -n 127.0.0.1 ...
rsh -t 20 -n 127.0.0.1 ...

Но на линуксе ключ t не принимается. Что определяет этот ключ и возможно ли поддержка на линукс чтобы не править код биллинга?

 rsh

fet4
()

ipt_NETFLOW и ppp интерфейсы.

Форум — Admin

Привет! Есть проблема с ipt_NETFLOW. Сенсор не захватывает статистику с ppp инт.

В фаерволе есть правила

-A INPUT -j NETFLOW
-A FORWARD -j NETFLOW
-A OUTPUT -j NETFLOW

Но на коллектор flow-capture не приходит статистика по ip с ppp инт. Хотя интерфейсы присутствуют и трафик идет по ним.

root@srv-nodeny:~# flow-print -f6 < /var/flows/8888.txt
   Source           Destination              Packets               Bytes
 0.0.0.0          255.255.255.255                  3                 984
 127.0.0.1        127.0.0.1                        1                 532
 127.0.0.1        127.0.0.1                        1                 532
 192.168.0.105    192.168.0.102                   47                3352
 192.168.0.102    192.168.0.105                   34                5008
 127.0.0.1        127.0.0.1                        1                 217
 127.0.0.1        127.0.0.1                        1                 217

Только localhost и eth*

В чем может быть проблема?

# cat /proc/net/stat/ipt_netflow
ipt_NETFLOW 2.1-18-gf4b6edd, srcversion 84060DBEF9AC08236C49EE8;
Protocol version 5 (netflow)
Timeouts: active 1800s, inactive 15s. Maxflows 2000000
Flows: active 2 (peak 208 reached 0d0h22m ago), mem 1864K, worker delay 25/250 [1..25] (92 ms, 0 us, 2:0 [cpu1]).
Hash: size 238585 (mem 1863K), metric 1.00 [1.00, 1.00, 1.00]. InHash: 5 pkt, 0 K, InPDU 14, 2744.
Rate: 0 bits/sec, 0 packets/sec; Avg 1 min: 579 bps, 0 pps; 5 min: 1287 bps, 0 pps
cpu#     pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes>
Total      0;      1   3292    939 [1.00],    0    0    0    0, traffic: 4231, 0 MB, drop: 0, 0 K
cpu0       0;      0    196    308 [1.00],    0    0    0    0, traffic: 504, 0 MB, drop: 0, 0 K
cpu1       0;      0    180    238 [1.00],    0    0    0    0, traffic: 418, 0 MB, drop: 0, 0 K
cpu2       0;      1   2805    366 [1.00],    0    0    0    0, traffic: 3171, 0 MB, drop: 0, 0 K
cpu3       0;      0    111     27 [1.00],    0    0    0    0, traffic: 138, 0 MB, drop: 0, 0 K
Export: Rate 0 bytes/s; Total 51 pkts, 0 MB, 931 flows; Errors 0 pkts; Traffic lost 0 pkts, 0 Kbytes, 0 flows.
sock0: 127.0.0.1:8888, sndbuf 212992, filled 1, peak 1; err: sndbuf reached 0, connect 0, cberr 0, other 0

 

fet4
()

Debian 8 systemd

Форум — Admin

Привет! Подскажите как включить вывод информации о start/restart/stop сервиса. Допустим раньше я делал service networking restart и видел сопутствующею информацию о сервисе. В systemd такого нет. Спасибо.

 ,

fet4
()

Смена MAC адреса VLAN

Форум — Admin

Привет. Подскажите как правильно выполнить смену mac для vlan на debian?

 , ,

fet4
()

Выбор наименьшего значения

Форум — Admin

Привет! Подскажите как правильно на bash выбрать наименьшее число, а потом его подставить в команду?

Допустим есть переменные i1=1, i2=0, i3=7 с разными числами, нужно выбрать наименьшее, а потом с этой переменной выполнить операцию.

Заранее спасибо.

 

fet4
()

Поднятие пачки vlan на debian

Форум — Admin

Привет! Хочу поднять много vlan через interfaces. Если их 1,2 то можно ручками заменить номера их, а если 200 то очень долго. Есть ли способ указать «range» как в коммутаторах или за один проход заменить нумерацию. Заранее спасибо.

...
auto vlan106
iface vlan106 inet manual
vlan_raw_device eth0

auto vlan107
iface vlan107 inet manual
vlan_raw_device eth0
...

 ,

fet4
()

DNAT перенаправление портов

Форум — Admin

Здравствуйте! Присутствует проблема. Перенаправляем порты для видео наблюдения с 2-х ip.

-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A POSTROUTING -s 10.192.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 80,8080,6036 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 80,8080,6036 -j SNAT --to-source 172.31.1.254
-A FORWARD -d 10.193.0.3/32 -m conntrack --ctstate NEW -j ACCEPT

Если заходить с локальной сети на 10.193.0.3:8080 то все работает. TCPdump пишет.

18:06:58.997329 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [S], seq 1550724797, win 14600, options [mss 1440,sackOK,TS val 8831890 ecr 0,nop,wscale 7], length 0
18:06:58.998039 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [S.], seq 136687280, ack 1550724798, win 14600, options [mss 1440,nop,nop,sackOK,nop,wscale 1], length 0
18:06:59.000020 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 1, win 115, length 0
18:06:59.016073 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 1:65, ack 1, win 7300, length 64
18:06:59.020685 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 65, win 115, length 0
18:06:59.021638 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 1:145, ack 65, win 115, length 144
18:06:59.022339 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 145, win 7300, length 0
18:06:59.114685 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 65:437, ack 145, win 7300, length 372
18:06:59.135825 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 145:297, ack 437, win 123, length 152
18:06:59.136627 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 297, win 7300, length 0
18:06:59.220982 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 437:497, ack 297, win 7300, length 60
18:06:59.263854 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 497, win 123, length 0
18:06:59.272882 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 497:949, ack 297, win 7300, length 452
18:06:59.274254 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 949, win 131, length 0
18:06:59.298846 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 949:2389, ack 297, win 7300, length 1440
18:06:59.298849 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 2389:3829, ack 297, win 7300, length 1440
18:06:59.299056 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 3829:5269, ack 297, win 7300, length 1440
18:06:59.299058 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 5269:6709, ack 297, win 7300, length 1440
18:06:59.299189 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 6709:8149, ack 297, win 7300, length 1440
18:06:59.299477 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 8149:9589, ack 297, win 7300, length 1440
18:06:59.299479 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 9589:11029, ack 297, win 7300, length 1440
18:06:59.299687 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 11029:12469, ack 297, win 7300, length 1440
18:06:59.299689 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 12469:13909, ack 297, win 7300, length 1440
18:06:59.299771 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 13909:15349, ack 297, win 7300, length 1440
18:06:59.302549 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 2389, win 154, length 0
18:06:59.302791 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 3829, win 176, length 0
18:06:59.310941 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 22549, win 469, length 0
18:06:59.310972 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 23989, win 491, length 0
18:06:59.311010 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 25429, win 514, length 0
18:06:59.311030 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 26869, win 536, length 0
18:06:59.311071 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 28309, win 559, length 0
18:06:59.311094 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 29749, win 581, length 0
18:06:59.311112 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 31189, win 604, length 0
18:06:59.311135 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 32629, win 626, length 0
18:06:59.311244 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 34069, win 649, length 0
18:06:59.311265 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 35509, win 671, length 0
18:06:59.311643 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 36949, win 694, length 0
18:06:59.311708 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 38389, win 716, length 0
18:06:59.311745 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 39829, win 739, length 0
18:06:59.311869 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 41269, win 761, length 0
18:06:59.311906 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 42073, win 784, length 0
18:07:00.144415 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 297:305, ack 42073, win 784, length 8
18:07:00.145269 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 305, win 7300, length 0
18:07:00.696975 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697041 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697093 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697096 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697130 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697166 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.766079 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766294 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766507 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766685 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.767013 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.767065 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:01.353003 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:01.354408 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [.], ack 16, win 7300, length 0
18:07:01.636460 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:01.637389 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [.], ack 16, win 7300, length 0
18:07:03.447159 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:03.453684 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [.], ack 16, win 7300, length 0
18:07:03.662405 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8

Если снаружи заходить и снутри на внешний ip, на страницу авторизации заходит, а дальше нет.

18:09:40.691925 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [S], seq 2011636996, win 14600, options [mss 1440,sackOK,TS val 8846678 ecr 0,nop,wscale 7], length 0
18:09:40.693518 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [S.], seq 1158243796, ack 2011636997, win 14600, options [mss 1440,nop,nop,sackOK,nop,wscale 1], length 0
18:09:40.694693 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 1, win 115, length 0
18:09:40.696953 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [P.], seq 1:81, ack 1, win 115, length 80
18:09:40.697711 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [.], ack 81, win 7300, length 0
18:09:41.718699 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:41.718821 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:41.720453 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [.], ack 25, win 7300, length 0
18:09:41.720455 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [.], ack 25, win 7300, length 0
18:09:41.774319 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [P.], seq 1:105, ack 81, win 7300, length 104
18:09:41.775590 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 105, win 115, length 0
18:09:41.776567 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [P.], seq 105:159, ack 81, win 7300, length 54
18:09:41.778066 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [P.], seq 202:404, ack 159, win 229, length 202
18:09:41.778156 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 159, win 115, length 0
18:09:41.778964 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [.], ack 404, win 7300, length 0
18:09:41.782568 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [P.], seq 159:263, ack 404, win 7300, length 104
18:09:41.784697 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [.], ack 263, win 229, length 0
18:09:41.785382 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [P.], seq 263:317, ack 404, win 7300, length 54
18:09:41.786432 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [.], ack 317, win 229, length 0
18:09:42.077008 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:42.077830 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [.], ack 25, win 7300, length 0
18:09:42.422522 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [R.], seq 81, ack 159, win 115, length 0
18:09:42.761491 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:42.771119 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [.], ack 25, win 7300, length 0
18:09:44.195048 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195087 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195121 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195161 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195190 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.195225 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.195268 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.302494 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.302934 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.303465 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.303946 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.304452 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 24, win 784, length 0
18:09:44.304969 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.305549 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.722077 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 24, win 784, length 8
18:09:44.736022 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 25, win 7300, length 0
18:09:45.175156 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175218 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175248 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175270 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175308 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 24:84, ack 17, win 7300, length 60

/etc/sysctl.conf
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0

Вроде бы связь есть но не пашет.

 

fet4
()

Скрипты ip-up.d и ip-down.d

Форум — Admin

Доброго времени суток! Есть ppp сессии. При поднятии и опускании интерфейса выполняются скрипты с папок ip-up.d и ip-down.d

В ip-up.d есть файлик с:

      if [ "$numb_isp1" -ge "$numb_isp3" ]
         then
             iptables -t mangle -A PREROUTING -s $5 -j balance_isp3
         else
             iptables -t mangle -A PREROUTING -s $5 -j balance_isp1
         fi

   fi
А ip-down.d есть файлик с:
iptables -t mangle -D PREROUTING -s $5 -j $(iptables-save | awk '/'$5'/{print $6}')

Есть проблема, иногда некоторые правила не удаляются с фаервола, видимо из-за повисших сессий которые закрываются по таймауту. Так как при поднятии правила успешно добавляются и если корректно завершить то удаляются так же успешно. Но через время правил становится больше чем сессий. Как заставить ppp корректно удалять правила?

Заранее спасибо.

fet4
()

Цикл for с несколькими параметрами в каждом из элементов списка

Форум — General

Здравствуйте прошу помощи разобраться.

Есть файл (/run/balance-ipt-restart) вида:

-A PREROUTING -s 10.192.234.108/32 -j balance_isp3
-A PREROUTING -s 10.192.234.108/32 -j balance_isp3
-A PREROUTING -s 10.192.236.102/32 -j balance_isp1
-A PREROUTING -s 10.192.186.115/32 -j balance_isp3

Есть цикл:

for iptrestore in $(cat /run/balance-ipt-restart)
   do
        iptables -t mangle $iptrestore
   done
При подстановке переменной с cat элементы списка разбиваются по словам в виде:
+ cat /run/balance-ipt-restart
+ iptables -t mangle -A
iptables v1.4.14: option "-A" requires an argument
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle PREROUTING
Bad argument `PREROUTING'
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle -s
iptables v1.4.14: option "-s" requires an argument
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle 10.192.234.108/32
Bad argument `10.192.234.108/32'
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle -j
iptables v1.4.14: option "-j" requires an argument
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle balance_isp3
Bad argument `balance_isp3'
Хотелось бы получить конструкцию вида
for iptrestore in '-A PREROUTING -s 10.192.234.108/32 -j balance_isp3' '-A PREROUTING -s 10.192.234.108/32 -j balance_isp3'
   do
        iptables -t mangle $iptrestore
   done
То есть что бы каждая строка была элементом списка. Заранее спасибо.

 

fet4
()

Настройка ATI HD 4350

Форум — Linux-hardware

Привет всем, проблема такая. Не могу нормально настроить видео карту ATI HD 4350. После установки проприетарных драйверов всеми способами эффект один и тот же - легкое притормаживание всего, особенно видно при просмотре видео, кто что подскажет, может где чет дописать?! Без драйверов все нормально бегает, только иногда выскакивают артефакты в панеле, хотелось бы поставить нормальные... Система ubuntu 11.04 x64 чистая.

fet4
()

RSS подписка на новые темы