P2P фильтрация, iptables
Привет! Подскажите, чем нынче p2p трафик фильтруют? Желательно для ядер от 3 и выше.
Сообщения fet4
Приоритеты трафика HTB
Привет! Подскажите в чем загвоздка! Есть сеть, клиенты через pppoe, все это дело заворачивается на imq и там htb делает свое дело.
1:11 это icmp,dns 1:12 это web 1:13 все остальное
Для тестов speedtest.net загнал в 1:11
Все классифицуруется и попадет в нужные классы.
$TC qdisc del root dev $imq_download
$TC qdisc add dev $imq_download root handle 1: htb
$TC class add dev $imq_download parent 1: classid 1:1 htb rate 95 mbit prio 0
$TC class add dev $imq_download parent 1:1 classid 1:11 htb rate 1mbit ceil 95mbit prio 1
$TC class add dev $imq_download parent 1:1 classid 1:12 htb rate 1mbit ceil 95mbit prio 5
$TC class add dev $imq_download parent 1:1 classid 1:13 htb rate 1mbit ceil 95mbit prio 10
$TC qdisc add dev $imq_download parent 1:11 handle 11: sfq perturb 10
$TC qdisc add dev $imq_download parent 1:12 handle 12: sfq perturb 10
$TC qdisc add dev $imq_download parent 1:13 handle 13: sfq perturb 10
$TC filter add dev $imq_download parent 11: protocol all handle 11 flow hash keys dst divisor 1024
$TC filter add dev $imq_download parent 12: protocol all handle 12 flow hash keys dst divisor 1024
$TC filter add dev $imq_download parent 13: protocol all handle 13 flow hash keys dst divisor 1024
Проблема в чем, если я со своего компа качаю торрент и делаю тесты на speedtest.net, торрент проседает отдавая скорость speedtest.net все окей, если качаю на другой машине торрент и в это время делаю замеры speedtest.net, то скорость делится между нами. А хотелось бы преимущества перед торрентом. Подскажите где туплю?
Маркировка входящих соединений iptables
Подскажите как правильно сделать чтобы маркировка входящих соединений (isp*_if) не перекрывалась маркировкой входящих (clients_if).
Ситуация - допустим через инт. isp6_if пробрасываем порт кому-то на инт. clients_if и заходим с мира на этот порт. А этот клиент попадает под --set-mark 1 и перемаркировует входящее соединение через isp6_if, хотя указано --ctstate NEW.
Сейчас такая конструкция. Но почему-то не корректно оно обрабатывается.
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp1_tbl src -j CONNMARK --set-mark 1
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp2_tbl src -j CONNMARK --set-mark 2
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp3_tbl src -j CONNMARK --set-mark 3
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp4_tbl src -j CONNMARK --set-mark 4
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp5_tbl src -j CONNMARK --set-mark 5
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp6_tbl src -j CONNMARK --set-mark 6
$IPT -w -t mangle -A PREROUTING -i $clients_if -m conntrack --ctstate NEW -m set --match-set $isp7_tbl src -j CONNMARK --set-mark 7
$IPT -w -t mangle -A PREROUTING -i $isp1_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 1
$IPT -w -t mangle -A PREROUTING -i $isp2_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 2
$IPT -w -t mangle -A PREROUTING -i $isp3_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 3
$IPT -w -t mangle -A PREROUTING -i $isp4_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 4
$IPT -w -t mangle -A PREROUTING -i $isp5_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 5
$IPT -w -t mangle -A PREROUTING -i $isp6_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 6
$IPT -w -t mangle -A PREROUTING -i $isp7_if -m conntrack --ctstate NEW -j CONNMARK --set-mark 7
$IPT -w -t mangle -A PREROUTING -j CONNMARK --restore-mark
ping потери и диагностика сети
Привет ребята! Тут такая паранойя небольшая, не могу разобраться с диагностикой сети помогите. Есть шлюз на Debian около 500 человек выходят в сеть через него. На мониторинге заметил обрывы на аплинке. http://piccy.info/view3/9042188/dcaf553a74b4c4af234d97d8d5fcb343/
Выяснилось следующее - скрипт который пингом проверяет доступность шлюза в момент проверки натыкается на потерю и переключает на резерв, в следующую проверку все нормально и переключает назад. Пингуя этот шлюз
ping -v -c100 *.*.*.*
Если пинговать свое оборудования в сети то потерь нет все окей.
И тут вопрос как мне проверить свой шлюз на предмет того что он не справляется или это какой-то сбой\ошибка или неправильная конфигурация, не хочется бежать к провайдеру с таким вопросом, а потом еще выясниться что проблема у меня.
На шлюзе ванильное ядро 3.18.23 патчилось ядро,iptables под imq это как-то может повлиять? Может фаервол на этот как-то повлиять или его неправильная настройка?
Скрипт проверки аплинков
#!/bin/bash
. /usr/net-conf/vars
arr_stat_isp=( )
for i in 1 2 3 4 5 6 7; do
curtable=isp$i
curint1=${curtable}_if
curint2=${!curint1}
curfwmark1=${curtable}_fwmark
curfwmark2=${!curfwmark1}
currule=$(ip rule | awk '/fwmark '$curfwmark2'/{print $7}')
curip=$(ip a l $curint2 | grep " inet " | head -n 1 | cut -d " " -f 6 | cut -d / -f 1)
curdef=$(ip route | awk '/default/ && /'$curint2'/{print $5}')
curgw=$(ip route show table $curtable | awk '/default/ && /'$curint2'/{print $3}')
if ping -c1 -I $curip $pinghost; then
arr_stat_isp+=([$i]=works)
if [ "$curtable" = "$currule" ]; then
echo "ip rule yes"
else
# echo "add ip rule"
ip rule add fwmark $curfwmark2 table $curtable prio $prio_mark
ip route flush cache
fi
if [ "$curint2" = "$curdef" ]; then
echo "default route yes"
else
# echo "add default route"
ip route add default via $curgw dev $curint2 metric $i
ip route flush cache
fi
else
arr_stat_isp+=([$i]=not_works)
if [ "$curtable" = "$currule" ]; then
# echo "ip rule yes"
ip rule del fwmark $curfwmark2
ip route flush cache
else
echo "no ip rule"
fi
if [ "$curint2" = "$curdef" ]; then
# echo "default route yes"
ip route del default via $curgw dev $curint2 metric $i
ip route flush cache
else
echo "no default route"
fi
fi
done
flag=0
for i2 in "${arr_stat_isp[@]}"; do
if [ "$i2" = "works" ]
then
flag=1
fi
done
redirect2="$(iptables-save | awk '/'PREROUTING'/&&'/redirect2'/')"
if [ "$flag" -eq 0 ]; then
echo "ничего не работает"
if [ -z "$redirect2" ]; then
echo "строка пустая"
$IPT -w -t nat -A PREROUTING -i $clients_if -s $clients_ippool -j redirect2
fi
else
echo "минимум 1 аплинк работает"
if [ -n "$redirect2" ]; then
echo "строка не пустая"
$IPT -w -t nat -D PREROUTING -i $clients_if -s $clients_ippool -j redirect2
fi
fi
exit 0
iptables-save
iptables-save
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*mangle
:PREROUTING ACCEPT [956223385:836581798825]
:INPUT ACCEPT [9849265:712417670]
:FORWARD ACCEPT [946313355:835864730969]
:OUTPUT ACCEPT [124518:71314230]
:POSTROUTING ACCEPT [946395895:835933065624]
:add_set_isp1 - [0:0]
:add_set_isp2 - [0:0]
:add_set_isp3 - [0:0]
:add_set_isp4 - [0:0]
:add_set_isp5 - [0:0]
:add_set_isp6 - [0:0]
:add_set_isp7 - [0:0]
:balancing - [0:0]
:class_imq0_isp1 - [0:0]
:class_imq0_isp2 - [0:0]
:class_imq0_isp3 - [0:0]
:class_imq1_isp1 - [0:0]
:class_imq1_isp2 - [0:0]
:class_imq1_isp3 - [0:0]
:ipt_isp1 - [0:0]
:ipt_isp2 - [0:0]
:ipt_isp3 - [0:0]
:ipt_isp4 - [0:0]
:ipt_isp5 - [0:0]
:ipt_isp6 - [0:0]
:ipt_isp7 - [0:0]
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -j NETFLOW
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -m conntrack --ctstate NEW -m set --match-set ALLOWED src -j balancing
-A PREROUTING -s 10.193.0.0/16 -i vlan10 -m conntrack --ctstate NEW -j balancing
-A PREROUTING -s 10.192.0.0/16 -i vlan10 -m conntrack --ctstate NEW -j balancing
-A PREROUTING -m set --match-set isp1 src -j ipt_isp1
-A PREROUTING -m set --match-set isp2 src -j ipt_isp2
-A PREROUTING -m set --match-set isp3 src -j ipt_isp3
-A PREROUTING -m set --match-set isp4 src -j ipt_isp4
-A PREROUTING -m set --match-set isp5 src -j ipt_isp5
-A PREROUTING -m set --match-set isp6 src -j ipt_isp6
-A PREROUTING -m set --match-set isp7 src -j ipt_isp7
-A PREROUTING -i ppp10001 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x1/0xffffffff
-A PREROUTING -i ppp10002 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x2/0xffffffff
-A PREROUTING -i vlan9 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x3/0xffffffff
-A PREROUTING -i vlan13 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x4/0xffffffff
-A PREROUTING -i ppp10005 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x5/0xffffffff
-A PREROUTING -i ppp10006 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x6/0xffffffff
-A PREROUTING -i ppp10007 -m conntrack --ctstate NEW -j CONNMARK --set-xmark 0x7/0xffffffff
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -d 10.193.0.0/16 -o ppp+ -j NETFLOW
-A add_set_isp1 -j SET --add-set isp1 src
-A add_set_isp2 -m set --match-set isp1 src -j RETURN
-A add_set_isp2 -j SET --add-set isp2 src
-A add_set_isp3 -m set --match-set isp1 src -j RETURN
-A add_set_isp3 -m set --match-set isp2 src -j RETURN
-A add_set_isp3 -j SET --add-set isp3 src
-A add_set_isp4 -m set --match-set isp1 src -j RETURN
-A add_set_isp4 -m set --match-set isp2 src -j RETURN
-A add_set_isp4 -m set --match-set isp3 src -j RETURN
-A add_set_isp4 -j SET --add-set isp4 src
-A add_set_isp5 -m set --match-set isp1 src -j RETURN
-A add_set_isp5 -m set --match-set isp2 src -j RETURN
-A add_set_isp5 -m set --match-set isp3 src -j RETURN
-A add_set_isp5 -m set --match-set isp4 src -j RETURN
-A add_set_isp5 -j SET --add-set isp5 src
-A add_set_isp6 -m set --match-set isp1 src -j RETURN
-A add_set_isp6 -m set --match-set isp2 src -j RETURN
-A add_set_isp6 -m set --match-set isp3 src -j RETURN
-A add_set_isp6 -m set --match-set isp4 src -j RETURN
-A add_set_isp6 -m set --match-set isp5 src -j RETURN
-A add_set_isp6 -j SET --add-set isp6 src
-A add_set_isp7 -m set --match-set isp1 src -j RETURN
-A add_set_isp7 -m set --match-set isp2 src -j RETURN
-A add_set_isp7 -m set --match-set isp3 src -j RETURN
-A add_set_isp7 -m set --match-set isp4 src -j RETURN
-A add_set_isp7 -m set --match-set isp5 src -j RETURN
-A add_set_isp7 -m set --match-set isp6 src -j RETURN
-A add_set_isp7 -j SET --add-set isp7 src
-A balancing -m set --match-set isp1 src -j RETURN
-A balancing -m set --match-set isp2 src -j RETURN
-A balancing -m set --match-set isp3 src -j RETURN
-A balancing -m set --match-set isp4 src -j RETURN
-A balancing -m set --match-set isp5 src -j RETURN
-A balancing -m set --match-set isp6 src -j RETURN
-A balancing -m set --match-set isp7 src -j RETURN
-A balancing -m statistic --mode random --probability 0.14300000016 -j add_set_isp1
-A balancing -m statistic --mode random --probability 0.16699999990 -j add_set_isp2
-A balancing -m statistic --mode random --probability 0.20000000019 -j add_set_isp3
-A balancing -m statistic --mode random --probability 0.25000000000 -j add_set_isp4
-A balancing -m statistic --mode random --probability 0.33300000010 -j add_set_isp5
-A balancing -m statistic --mode random --probability 0.50000000000 -j add_set_isp6
-A balancing -j add_set_isp7
-A class_imq0_isp1 -j CLASSIFY --set-class 0001:0103
-A class_imq0_isp1 -p icmp -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp1 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0102
-A class_imq0_isp1 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0101
-A class_imq0_isp2 -j CLASSIFY --set-class 0001:0203
-A class_imq0_isp2 -p icmp -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp2 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0202
-A class_imq0_isp2 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0201
-A class_imq0_isp3 -j CLASSIFY --set-class 0001:0303
-A class_imq0_isp3 -p icmp -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0301
-A class_imq0_isp3 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0302
-A class_imq0_isp3 -m set --match-set speedtest dst -j CLASSIFY --set-class 0001:0301
-A class_imq1_isp1 -j CLASSIFY --set-class 0001:0013
-A class_imq1_isp1 -p icmp -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp1 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0012
-A class_imq1_isp1 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0011
-A class_imq1_isp2 -j CLASSIFY --set-class 0001:0023
-A class_imq1_isp2 -p icmp -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp2 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0022
-A class_imq1_isp2 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0021
-A class_imq1_isp3 -j CLASSIFY --set-class 0001:0033
-A class_imq1_isp3 -p icmp -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p udp -m multiport --sports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p udp -m multiport --dports 22,53,953 -j CLASSIFY --set-class 0001:0031
-A class_imq1_isp3 -p tcp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p tcp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p udp -m multiport --sports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -p udp -m multiport --dports 80,443,110,25,143,220 -j CLASSIFY --set-class 0001:0032
-A class_imq1_isp3 -m set --match-set speedtest src -j CLASSIFY --set-class 0001:0031
-A ipt_isp1 -j CONNMARK --set-xmark 0x1/0xffffffff
-A ipt_isp1 -j SET --add-set isp1 src --exist
-A ipt_isp2 -j CONNMARK --set-xmark 0x2/0xffffffff
-A ipt_isp2 -j SET --add-set isp2 src --exist
-A ipt_isp3 -j CONNMARK --set-xmark 0x3/0xffffffff
-A ipt_isp3 -j SET --add-set isp3 src --exist
-A ipt_isp4 -j CONNMARK --set-xmark 0x4/0xffffffff
-A ipt_isp4 -j SET --add-set isp4 src --exist
-A ipt_isp5 -j CONNMARK --set-xmark 0x5/0xffffffff
-A ipt_isp5 -j SET --add-set isp5 src --exist
-A ipt_isp6 -j CONNMARK --set-xmark 0x6/0xffffffff
-A ipt_isp6 -j SET --add-set isp6 src --exist
-A ipt_isp7 -j CONNMARK --set-xmark 0x7/0xffffffff
-A ipt_isp7 -j SET --add-set isp7 src --exist
COMMIT
# Completed on Sat Nov 21 22:12:03 2015
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*nat
:PREROUTING ACCEPT [18681272:1333376593]
:INPUT ACCEPT [12014:768269]
:OUTPUT ACCEPT [31309:2882521]
:POSTROUTING ACCEPT [23115:2187998]
:redirect - [0:0]
:redirect2 - [0:0]
-A PREROUTING -s 10.193.0.0/16 -i ppp+ -j redirect
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 172.19.0.1
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 6036,50000 -j DNAT --to-destination 10.193.0.1
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50001,50002 -j DNAT --to-destination 10.193.0.2
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50004,50005 -j DNAT --to-destination 10.193.0.3
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A PREROUTING -d *.*.*.*/32 -p udp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50008,50029 -j DNAT --to-destination 10.193.0.6
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50009,50010,50012 -j DNAT --to-destination 10.193.0.5
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50013 -j DNAT --to-destination 10.193.0.5:80
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50014,50015,50050 -j DNAT --to-destination 10.193.0.7
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50016,50017,50025 -j DNAT --to-destination 10.193.0.8
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50027,50028 -j DNAT --to-destination 10.193.0.9
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j DNAT --to-destination 10.193.0.11
-A PREROUTING -d *.*.*.*/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j DNAT --to-destination 10.193.0.13
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 172.19.0.1
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 6036,50000 -j DNAT --to-destination 10.193.0.1
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50001,50002 -j DNAT --to-destination 10.193.0.2
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50004,50005 -j DNAT --to-destination 10.193.0.3
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A OUTPUT -d *.*.*.*/32 -p udp -m multiport --dports 50006,50007 -j DNAT --to-destination 10.193.0.4
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50008,50029 -j DNAT --to-destination 10.193.0.6
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50009,50010,50012 -j DNAT --to-destination 10.193.0.5
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50013 -j DNAT --to-destination 10.193.0.5:80
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50014,50015,50050 -j DNAT --to-destination 10.193.0.7
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50016,50017,50025 -j DNAT --to-destination 10.193.0.8
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50027,50028 -j DNAT --to-destination 10.193.0.9
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j DNAT --to-destination 10.193.0.11
-A OUTPUT -d *.*.*.*/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j DNAT --to-destination 10.193.0.13
-A POSTROUTING -o ppp10001 -j MASQUERADE
-A POSTROUTING -o ppp10002 -j MASQUERADE
-A POSTROUTING -o vlan9 -j MASQUERADE
-A POSTROUTING -o vlan13 -j MASQUERADE
-A POSTROUTING -o ppp10005 -j MASQUERADE
-A POSTROUTING -o ppp10006 -j MASQUERADE
-A POSTROUTING -o ppp10007 -j MASQUERADE
-A POSTROUTING -d 172.19.0.0/24 -o vlan10 -j MASQUERADE
-A POSTROUTING -s 10.193.0.0/16 -d 172.19.0.1/32 -p tcp -m multiport --dports 80,443 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.1/32 -p tcp -m multiport --dports 6036,50000 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.2/32 -p tcp -m multiport --dports 50001,50002 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 50004,50005 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.4/32 -p tcp -m multiport --dports 50006,50007 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.4/32 -p udp -m multiport --dports 50006,50007 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.6/32 -p tcp -m multiport --dports 50008,50029 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.5/32 -p tcp -m multiport --dports 50009,50010,50012 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.5/32 -p tcp -m multiport --dports 80 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.7/32 -p tcp -m multiport --dports 50014,50015,50050 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.8/32 -p tcp -m multiport --dports 50016,50017,50025 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.9/32 -p tcp -m multiport --dports 50027,50028 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.11/32 -p tcp -m multiport --dports 50029,50030,50031,50032 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.13/32 -p tcp -m multiport --dports 50033,50034,50035,50036 -j SNAT --to-source 172.31.1.254
-A redirect -m set --match-set ALLOWED src -j RETURN
-A redirect -m set --match-set liqpay dst -j RETURN
-A redirect -d 172.30.0.1/32 -j RETURN
-A redirect -d 172.30.1.1/32 -j RETURN
-A redirect -d *.*.*.*/32 -j RETURN
-A redirect -p tcp -j DNAT --to-destination 172.30.1.1:8080
-A redirect -p udp -j DNAT --to-destination 172.30.1.1:8080
-A redirect2 -d 172.30.0.1/32 -j RETURN
-A redirect2 -d 172.30.1.1/32 -j RETURN
-A redirect2 -d *.*.*.*/32 -j RETURN
-A redirect2 -p tcp -j DNAT --to-destination 172.30.1.1:8081
-A redirect2 -p udp -j DNAT --to-destination 172.30.1.1:8081
COMMIT
# Completed on Sat Nov 21 22:12:03 2015
# Generated by iptables-save v1.4.21 on Sat Nov 21 22:12:03 2015
*filter
:INPUT DROP [9568763:651070390]
:FORWARD DROP [124:7420]
:OUTPUT ACCEPT [122785:70314662]
:forwarding - [0:0]
:incoming - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -j incoming
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j forwarding
-A OUTPUT -m conntrack --ctstate INVALID -j DROP
-A forwarding -s 10.193.0.50/32 -i ppp+ -m set --match-set ALLOWED src -j ACCEPT
-A forwarding -d 10.193.0.50/32 -o ppp+ -m set --match-set ALLOWED dst -j ACCEPT
-A forwarding -i ppp+ ! -o vlan10 -m set --match-set ALLOWED src -j ACCEPT
-A forwarding ! -i vlan10 -o ppp+ -m set --match-set ALLOWED dst -j ACCEPT
-A forwarding -s 10.193.0.0/16 -i ppp+ ! -o vlan10 -m set --match-set liqpay dst -j ACCEPT
-A forwarding -d 10.193.0.0/16 ! -i vlan10 -o ppp+ -m set --match-set liqpay src -j ACCEPT
-A forwarding -i vlan10 -j ACCEPT
-A forwarding -o vlan10 -j ACCEPT
-A incoming -i ppp10001 -j RETURN
-A incoming -i ppp10002 -j RETURN
-A incoming -i vlan9 -j RETURN
-A incoming -i ppp10005 -j RETURN
-A incoming -i ppp10006 -j RETURN
-A incoming -i ppp10007 -j RETURN
-A incoming -i lo -j ACCEPT
-A incoming -s 10.193.0.50/32 -j ACCEPT
-A incoming -i vlan10 -p tcp -m multiport --dports 22 -j ACCEPT
-A incoming -p tcp -m multiport --dports 53,80,443,953 -j ACCEPT
-A incoming -p udp -m multiport --dports 53 -j ACCEPT
-A incoming -p icmp -j ACCEPT
COMMIT
# Completed on Sat Nov 21 22:12:03 2015
Bind ответ из кэша.
Подскажите можно ли как-то заставить отвечать bind из кэша, если у него нет доступа к сети?
Вопрос по Bash и переменным
Привет всем! Помогите, не могу разобраться. Есть цикл, в зависимости от значения переменной i нужно формировать новую переменную
for i in 1 2 3 4 5 6 7; do
test$i=10
done
Или как правильно это сделать?
Русский язык в ванильном ядре debian 8
Привет всем. Имеется проблема с русским языком после компиляции ванильного ядра на debian 8.
# dpkg-reconfigure keyboard-configuration
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
Тоже самое выбивает если dpkg-reconfigure console-cyrillic
В текстовых редакторах вот такие крюкозябры
lbl_room => ' ^ ^ ^ ^ ',
Всякие dpkg-reconfigure связанные с локализациями в разных примерах на просторах интернета не помогают.
Помогите отстроить правильно.
Дерево HTB
Привет всем! Подскажите где моя ошибка и как правильно строить дерево htb. Есть несколько потоков трафика от пользователей, промаркированны в iptables. Создаю корневую дисциплину
$TC qdisc add dev $imq_download root handle 1: htb
$TC class add dev $imq_download parent 1: classid 1:1 htb rate $rate_isp
$TC class add dev $imq_download parent 1: classid 1:2 htb rate $rate_isp$TC filter add dev $imq_download parent 1:0 protocol ip prio 1 handle 1 fw classid 1:1
$TC filter add dev $imq_download parent 1:0 protocol ip prio 1 handle 2 fw classid 1:2tc -s -d class show dev imq1Но задача в каждом из промаркированных потоков еще разбить трафик на три очереди для приоритетов. И тут как только добавляю дочерние классы к существующим чтобы в них разбить.
$TC class add dev $imq_download parent 1:1 classid 1:11 htb rate $rate_min ceil $rate_isp prio 1
$TC class add dev $imq_download parent 1:1 classid 1:12 htb rate $rate_min ceil $rate_isp prio 2
$TC class add dev $imq_download parent 1:1 classid 1:13 htb rate $rate_min ceil $rate_isp prio 3
Спасибо.
Per Connection Classifier на Linux
Привет всем! RouterOS (MikroTik) обладает такой функцией как PCC (Per Connection Classifier) и может балансировать исходящие соединения по нескольким каналам на основе src адреса. Возможно ли организовать такое же на Linux ?
Netflow внешний интерфейс
Привет! Прошу помощи, не могу разобраться со сбором трафика. Использую netflow сенсор ipt_netflow, отсылаю трафик на flow-capture . С последующей обработкой трафика биллингом для внесения статистики в базу.
Трафик приходит на коллектор, но не зачисляется в базу. Для этого нужен какой-то номер внешнего интерфейса, который отсылает сенсор. В этом и вопрос где его глянуть этот номер?
rsh-client и ключ -t
Привет. В одном биллинге на freebsd снимается статистика с ipcad через rsh в формате :
rsh -t 5 -n 127.0.0.1 ...
rsh -t 20 -n 127.0.0.1 ...
Но на линуксе ключ t не принимается. Что определяет этот ключ и возможно ли поддержка на линукс чтобы не править код биллинга?
ipt_NETFLOW и ppp интерфейсы.
Привет! Есть проблема с ipt_NETFLOW. Сенсор не захватывает статистику с ppp инт.
В фаерволе есть правила
-A INPUT -j NETFLOW
-A FORWARD -j NETFLOW
-A OUTPUT -j NETFLOW
Но на коллектор flow-capture не приходит статистика по ip с ppp инт. Хотя интерфейсы присутствуют и трафик идет по ним.
root@srv-nodeny:~# flow-print -f6 < /var/flows/8888.txt
Source Destination Packets Bytes
0.0.0.0 255.255.255.255 3 984
127.0.0.1 127.0.0.1 1 532
127.0.0.1 127.0.0.1 1 532
192.168.0.105 192.168.0.102 47 3352
192.168.0.102 192.168.0.105 34 5008
127.0.0.1 127.0.0.1 1 217
127.0.0.1 127.0.0.1 1 217
Только localhost и eth*
В чем может быть проблема?
# cat /proc/net/stat/ipt_netflow
ipt_NETFLOW 2.1-18-gf4b6edd, srcversion 84060DBEF9AC08236C49EE8;
Protocol version 5 (netflow)
Timeouts: active 1800s, inactive 15s. Maxflows 2000000
Flows: active 2 (peak 208 reached 0d0h22m ago), mem 1864K, worker delay 25/250 [1..25] (92 ms, 0 us, 2:0 [cpu1]).
Hash: size 238585 (mem 1863K), metric 1.00 [1.00, 1.00, 1.00]. InHash: 5 pkt, 0 K, InPDU 14, 2744.
Rate: 0 bits/sec, 0 packets/sec; Avg 1 min: 579 bps, 0 pps; 5 min: 1287 bps, 0 pps
cpu# pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes>
Total 0; 1 3292 939 [1.00], 0 0 0 0, traffic: 4231, 0 MB, drop: 0, 0 K
cpu0 0; 0 196 308 [1.00], 0 0 0 0, traffic: 504, 0 MB, drop: 0, 0 K
cpu1 0; 0 180 238 [1.00], 0 0 0 0, traffic: 418, 0 MB, drop: 0, 0 K
cpu2 0; 1 2805 366 [1.00], 0 0 0 0, traffic: 3171, 0 MB, drop: 0, 0 K
cpu3 0; 0 111 27 [1.00], 0 0 0 0, traffic: 138, 0 MB, drop: 0, 0 K
Export: Rate 0 bytes/s; Total 51 pkts, 0 MB, 931 flows; Errors 0 pkts; Traffic lost 0 pkts, 0 Kbytes, 0 flows.
sock0: 127.0.0.1:8888, sndbuf 212992, filled 1, peak 1; err: sndbuf reached 0, connect 0, cberr 0, other 0
Debian 8 systemd
Привет! Подскажите как включить вывод информации о start/restart/stop сервиса. Допустим раньше я делал service networking restart и видел сопутствующею информацию о сервисе. В systemd такого нет. Спасибо.
Смена MAC адреса VLAN
Привет. Подскажите как правильно выполнить смену mac для vlan на debian?
Выбор наименьшего значения
Привет! Подскажите как правильно на bash выбрать наименьшее число, а потом его подставить в команду?
Допустим есть переменные i1=1, i2=0, i3=7 с разными числами, нужно выбрать наименьшее, а потом с этой переменной выполнить операцию.
Заранее спасибо.
Поднятие пачки vlan на debian
Привет! Хочу поднять много vlan через interfaces. Если их 1,2 то можно ручками заменить номера их, а если 200 то очень долго. Есть ли способ указать «range» как в коммутаторах или за один проход заменить нумерацию. Заранее спасибо.
...
auto vlan106
iface vlan106 inet manual
vlan_raw_device eth0
auto vlan107
iface vlan107 inet manual
vlan_raw_device eth0
...
DNAT перенаправление портов
Здравствуйте! Присутствует проблема. Перенаправляем порты для видео наблюдения с 2-х ip.
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A PREROUTING -d 212.115.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A PREROUTING -d 188.247.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50011 -j DNAT --to-destination 10.193.0.3:80
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50004 -j DNAT --to-destination 10.193.0.3:8080
-A OUTPUT -d 212.115.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A OUTPUT -d 188.247.***.***/32 -p tcp -m multiport --dports 50005 -j DNAT --to-destination 10.193.0.3:6036
-A POSTROUTING -s 10.192.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 80,8080,6036 -j SNAT --to-source 172.31.1.254
-A POSTROUTING -s 10.193.0.0/16 -d 10.193.0.3/32 -p tcp -m multiport --dports 80,8080,6036 -j SNAT --to-source 172.31.1.254
-A FORWARD -d 10.193.0.3/32 -m conntrack --ctstate NEW -j ACCEPT
Если заходить с локальной сети на 10.193.0.3:8080 то все работает. TCPdump пишет.
18:06:58.997329 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [S], seq 1550724797, win 14600, options [mss 1440,sackOK,TS val 8831890 ecr 0,nop,wscale 7], length 0
18:06:58.998039 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [S.], seq 136687280, ack 1550724798, win 14600, options [mss 1440,nop,nop,sackOK,nop,wscale 1], length 0
18:06:59.000020 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 1, win 115, length 0
18:06:59.016073 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 1:65, ack 1, win 7300, length 64
18:06:59.020685 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 65, win 115, length 0
18:06:59.021638 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 1:145, ack 65, win 115, length 144
18:06:59.022339 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 145, win 7300, length 0
18:06:59.114685 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 65:437, ack 145, win 7300, length 372
18:06:59.135825 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 145:297, ack 437, win 123, length 152
18:06:59.136627 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 297, win 7300, length 0
18:06:59.220982 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 437:497, ack 297, win 7300, length 60
18:06:59.263854 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 497, win 123, length 0
18:06:59.272882 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 497:949, ack 297, win 7300, length 452
18:06:59.274254 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 949, win 131, length 0
18:06:59.298846 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 949:2389, ack 297, win 7300, length 1440
18:06:59.298849 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 2389:3829, ack 297, win 7300, length 1440
18:06:59.299056 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 3829:5269, ack 297, win 7300, length 1440
18:06:59.299058 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 5269:6709, ack 297, win 7300, length 1440
18:06:59.299189 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 6709:8149, ack 297, win 7300, length 1440
18:06:59.299477 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 8149:9589, ack 297, win 7300, length 1440
18:06:59.299479 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 9589:11029, ack 297, win 7300, length 1440
18:06:59.299687 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 11029:12469, ack 297, win 7300, length 1440
18:06:59.299689 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 12469:13909, ack 297, win 7300, length 1440
18:06:59.299771 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], seq 13909:15349, ack 297, win 7300, length 1440
18:06:59.302549 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 2389, win 154, length 0
18:06:59.302791 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 3829, win 176, length 0
18:06:59.310941 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 22549, win 469, length 0
18:06:59.310972 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 23989, win 491, length 0
18:06:59.311010 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 25429, win 514, length 0
18:06:59.311030 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 26869, win 536, length 0
18:06:59.311071 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 28309, win 559, length 0
18:06:59.311094 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 29749, win 581, length 0
18:06:59.311112 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 31189, win 604, length 0
18:06:59.311135 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 32629, win 626, length 0
18:06:59.311244 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 34069, win 649, length 0
18:06:59.311265 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 35509, win 671, length 0
18:06:59.311643 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 36949, win 694, length 0
18:06:59.311708 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 38389, win 716, length 0
18:06:59.311745 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 39829, win 739, length 0
18:06:59.311869 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 41269, win 761, length 0
18:06:59.311906 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 42073, win 784, length 0
18:07:00.144415 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 297:305, ack 42073, win 784, length 8
18:07:00.145269 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 305, win 7300, length 0
18:07:00.696975 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697041 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697093 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697096 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697130 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.697166 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [P.], seq 1:9, ack 8, win 7300, length 8
18:07:00.766079 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766294 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766507 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.766685 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.767013 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:00.767065 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [.], ack 9, win 454, length 0
18:07:01.353003 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:01.354408 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [.], ack 16, win 7300, length 0
18:07:01.636460 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:01.637389 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [.], ack 16, win 7300, length 0
18:07:03.447159 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
18:07:03.453684 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [.], ack 16, win 7300, length 0
18:07:03.662405 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [P.], seq 8:16, ack 9, win 454, length 8
Если снаружи заходить и снутри на внешний ip, на страницу авторизации заходит, а дальше нет.
18:09:40.691925 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [S], seq 2011636996, win 14600, options [mss 1440,sackOK,TS val 8846678 ecr 0,nop,wscale 7], length 0
18:09:40.693518 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [S.], seq 1158243796, ack 2011636997, win 14600, options [mss 1440,nop,nop,sackOK,nop,wscale 1], length 0
18:09:40.694693 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 1, win 115, length 0
18:09:40.696953 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [P.], seq 1:81, ack 1, win 115, length 80
18:09:40.697711 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [.], ack 81, win 7300, length 0
18:09:41.718699 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:41.718821 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:41.720453 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [.], ack 25, win 7300, length 0
18:09:41.720455 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [.], ack 25, win 7300, length 0
18:09:41.774319 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [P.], seq 1:105, ack 81, win 7300, length 104
18:09:41.775590 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 105, win 115, length 0
18:09:41.776567 IP 10.193.0.3.http-alt > 172.31.1.254.56126: Flags [P.], seq 105:159, ack 81, win 7300, length 54
18:09:41.778066 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [P.], seq 202:404, ack 159, win 229, length 202
18:09:41.778156 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [.], ack 159, win 115, length 0
18:09:41.778964 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [.], ack 404, win 7300, length 0
18:09:41.782568 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [P.], seq 159:263, ack 404, win 7300, length 104
18:09:41.784697 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [.], ack 263, win 229, length 0
18:09:41.785382 IP 10.193.0.3.http-alt > 172.31.1.254.56002: Flags [P.], seq 263:317, ack 404, win 7300, length 54
18:09:41.786432 IP 172.31.1.254.56002 > 10.193.0.3.http-alt: Flags [.], ack 317, win 229, length 0
18:09:42.077008 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:42.077830 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [.], ack 25, win 7300, length 0
18:09:42.422522 IP 172.31.1.254.56126 > 10.193.0.3.http-alt: Flags [R.], seq 81, ack 159, win 115, length 0
18:09:42.761491 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 16, win 454, length 8
18:09:42.771119 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [.], ack 25, win 7300, length 0
18:09:44.195048 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195087 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195121 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195161 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 16:24, ack 25, win 7300, length 8
18:09:44.195190 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.195225 IP 10.193.0.3.6036 > 172.31.1.254.36646: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.195268 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [P.], seq 16:24, ack 17, win 7300, length 8
18:09:44.302494 IP 172.31.1.254.36601 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.302934 IP 172.31.1.254.36619 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.303465 IP 172.31.1.254.36623 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.303946 IP 172.31.1.254.36646 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.304452 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [.], ack 24, win 784, length 0
18:09:44.304969 IP 172.31.1.254.36608 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.305549 IP 172.31.1.254.36621 > 10.193.0.3.6036: Flags [.], ack 24, win 454, length 0
18:09:44.722077 IP 172.31.1.254.36667 > 10.193.0.3.6036: Flags [P.], seq 17:25, ack 24, win 784, length 8
18:09:44.736022 IP 10.193.0.3.6036 > 172.31.1.254.36667: Flags [.], ack 25, win 7300, length 0
18:09:45.175156 IP 10.193.0.3.6036 > 172.31.1.254.36601: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175218 IP 10.193.0.3.6036 > 172.31.1.254.36608: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175248 IP 10.193.0.3.6036 > 172.31.1.254.36619: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175270 IP 10.193.0.3.6036 > 172.31.1.254.36621: Flags [P.], seq 24:84, ack 25, win 7300, length 60
18:09:45.175308 IP 10.193.0.3.6036 > 172.31.1.254.36623: Flags [P.], seq 24:84, ack 17, win 7300, length 60
/etc/sysctl.conf
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0
Вроде бы связь есть но не пашет.
Скрипты ip-up.d и ip-down.d
Доброго времени суток! Есть ppp сессии. При поднятии и опускании интерфейса выполняются скрипты с папок ip-up.d и ip-down.d
В ip-up.d есть файлик с:
if [ "$numb_isp1" -ge "$numb_isp3" ]
then
iptables -t mangle -A PREROUTING -s $5 -j balance_isp3
else
iptables -t mangle -A PREROUTING -s $5 -j balance_isp1
fi
fi
iptables -t mangle -D PREROUTING -s $5 -j $(iptables-save | awk '/'$5'/{print $6}')Есть проблема, иногда некоторые правила не удаляются с фаервола, видимо из-за повисших сессий которые закрываются по таймауту. Так как при поднятии правила успешно добавляются и если корректно завершить то удаляются так же успешно. Но через время правил становится больше чем сессий. Как заставить ppp корректно удалять правила?
Заранее спасибо.
Цикл for с несколькими параметрами в каждом из элементов списка
Здравствуйте прошу помощи разобраться.
Есть файл (/run/balance-ipt-restart) вида:
-A PREROUTING -s 10.192.234.108/32 -j balance_isp3
-A PREROUTING -s 10.192.234.108/32 -j balance_isp3
-A PREROUTING -s 10.192.236.102/32 -j balance_isp1
-A PREROUTING -s 10.192.186.115/32 -j balance_isp3
Есть цикл:
for iptrestore in $(cat /run/balance-ipt-restart)
do
iptables -t mangle $iptrestore
done
+ cat /run/balance-ipt-restart
+ iptables -t mangle -A
iptables v1.4.14: option "-A" requires an argument
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle PREROUTING
Bad argument `PREROUTING'
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle -s
iptables v1.4.14: option "-s" requires an argument
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle 10.192.234.108/32
Bad argument `10.192.234.108/32'
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle -j
iptables v1.4.14: option "-j" requires an argument
Try `iptables -h' or 'iptables --help' for more information.
+ iptables -t mangle balance_isp3
Bad argument `balance_isp3'
for iptrestore in '-A PREROUTING -s 10.192.234.108/32 -j balance_isp3' '-A PREROUTING -s 10.192.234.108/32 -j balance_isp3'
do
iptables -t mangle $iptrestore
done
Настройка ATI HD 4350
Привет всем, проблема такая. Не могу нормально настроить видео карту ATI HD 4350. После установки проприетарных драйверов всеми способами эффект один и тот же - легкое притормаживание всего, особенно видно при просмотре видео, кто что подскажет, может где чет дописать?! Без драйверов все нормально бегает, только иногда выскакивают артефакты в панеле, хотелось бы поставить нормальные... Система ubuntu 11.04 x64 чистая.
| ← предыдущие | следующие → |