Подскажите, как решить такую проблему:

Проблема: дебиан, соединение с провайдером на dhcp, иногда рвется линк, соединение в этом случае автоматом не поднимается.

Подскажите что изменить ? (может dhclient.conf покрутить где?)

interfaces // (отваливается eth3)

auto lo eth2 eth3

iface lo inet loopback

# The primary network interface

allow-hotplug eth2

iface eth2 inet static

address 10.100.10.100

netmask 255.255.255.0

network 10.100.10.0

broadcast 10.100.10.255

allow-hotplug eth3

iface eth3 inet dhcp

Подскажите как ограничить диапазон портов разрешенных к пробросу в upnpd ..

Дело в следующем .. на сервере стоит apache на 80 порту .. через 30-40 минут ктонить с сети запрашивает порт 80 через upnpd - он сразу добавляется в -t nat PREROUTING соответственно любые входящие на порт 80 идут не на апач, а на того кто запросил этот порт через upnpd

Мне вот интересен вопрос :

Возможно ли полноценно защититься от DOS (!не распределенная) используя технологию TCP Медленный старт, т.е как я это представляю:

Атакующий заваливает пакетами:
1. создаем 2 класса в tc 1 с максимальной скоростью и приоритетом, второй с самой минимальной.
2. Фильтром все пакеты от атакующего маркируем и посылаем в цепь с наименьшим приоритетом и каналом, все что от него лишнее сбрасывается в tc.

Думаю для атакующего по идее это будет выглядеть как уменьшение общей пропускной способности канала. И собственно с помощью самого Медленного старта занижается вред от атаки.

Это будет работать ? Или я чегото напутал ?

Подсуньте ктонить доку ... в инетернете практически ничего нет.

Стандартные параметры прописанные в оф.доке работают, но нужно мониторить с помощью snmp события на удаленных серваках. к примеру мониторить неудачные логины на ssh.

чисто интуитивно понимаю, что надо делать примерно следующее.

1. в snmpd.conf прописать exec(extend) с запуском скрипта и присвоить результаты какомулибо OID
2. Прописть SetEvent с генерацией события, после чего
3. Сам monitor с отловом события.

Но вот где прочитать о том как это делается все никак не найду. Или может у кого подобный пример есть. сильно прошу не жадничать ) поделитесь ...

Или может это правильней решить просто через exec на клиенте, в котором прописан скрит на проверку наличия ошибок при логине по ssh с последующем отправлением trapа на сервер(именно скриптом) ? но Имхо както кривовато получается.

Чтот не могу понять как такое может быть .. есть 2 интерфейса на серваке, слушаю тот которые в сторону провайдера смотрит.

Адреса пока заменил, но суть в том, что ни в адресе отправителя, ни в адресе получателя моего IP нет.

15:39:15.025279 IP (tos 0x0, ttl 60, id 53134, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 61320:62xx0(1460) ack 1 win 33580
15:39:15.041950 IP (tos 0x0, ttl 60, id 53135, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 62xx0:64240(1460) ack 1 win 33580
15:39:15.058638 IP (tos 0x0, ttl 60, id 53157, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 64240:65700(1460) ack 1 win 33580
15:39:15.075308 IP (tos 0x0, ttl 60, id 53307, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 65700:67160(1460) ack 1 win 33580
15:39:15.0919xx IP (tos 0x0, ttl 60, id 53308, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 67160:68620(1460) ack 1 win 33580
15:39:15.108695 IP (tos 0x0, ttl 60, id 53394, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 68620:70080(1460) ack 1 win 33580
15:39:15.125330 IP (tos 0x0, ttl 60, id 53395, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 70080:71540(1460) ack 1 win 33580
15:39:15.143985 IP (tos 0x0, ttl 60, id 55592, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 71540:73000(1460) ack 1 win 33580
15:39:15.160668 IP (tos 0x0, ttl 60, id 55593, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 73000:74460(1460) ack 1 win 33580
15:39:15.177340 IP (tos 0x0, ttl 60, id 55595, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 74460:75920(1460) ack 1 win 33580
15:39:15.194016 IP (tos 0x0, ttl 60, id 55597, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 75920:77380(1460) ack 1 win 33580
15:39:15.210668 IP (tos 0x0, ttl 60, id 55808, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . 77380:xx840(1460) ack 1 win 33580
15:39:15.227337 IP (tos 0x0, ttl 60, id 55905, offset 0, flags [DF], length: 1500) xx.140.yy.16.80 > 81.yy.209.132.34190: . xx840:80300(1460) ack 1 win 33580

Есть пара вопросов, буду рад, если ктонить сможет прояснить:
Соответственно ману понял что скорость tc режет на ИСХОДЯЩЕМ интерфейсе .. у меня схема:

local-eth0-|linux|-eth2-internet

Из которой по идее следует, что чтобы зарезать скорость Закачки с Инеренета в локал нужно работать с интерфейсом eth0.

Вот правило.

======================================================
tc qdisc del dev eth0 root > /dev/null 2>&1 &
tc qdisc del dev eth0 ingress > /dev/null 2>&1 &
# HTB Queque
tc qdisc add dev eth0 root handle 1: htb default 11

# Class
tc class add dev eth0 parent 1:0 classid 1:1 htb rate 100mbit ceil 100mbit burst 131000
tc class add dev eth0 parent 1:1 classid 1:11 htb rate 512kbit ceil 1mbit burst 13100 prio 1
tc class add dev eth0 parent 1:1 classid 1:12 htb rate 10mbit ceil 100mbit burst 131000 prio 2

#
tc qdisc add dev eth0 parent 1:11 handle 10: sfq perturb 10
tc qdisc add dev eth0 parent 1:12 handle 40: sfq perturb 10

#Filter
tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 5 fw flowid 1:12

#Ring set mark (5) ТЕСТИРУЮ ПОКА ТОЛЬКО С ПАКЕТАМИ ИСХ. с сервера
iptables -t mangle -A INPUT -s 10.246.0.0/16 -j MARK --set-mark 5
iptables -t mangle -A INPUT -s 20.246.128.0/17 -j MARK --set-mark 5
===========================

Качаю - скорость как положено 100 МБит/с.

меняю параметр в tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 5 fw flowid 1:11 (сменил поток на 11, там скорость 512кбит)

Получается скорость промаркированных пакетов должна быть теперь 512Кбит-1Мбит. Скорость остается по прежнему 100 Мбит. в чом может быть дело ? Буду оч. признателен если кто-нибудь подскажет

Пакеты маркируются (качаю, потом смотрю таблицу mangle - скока скачал - стока отметилось). В tc -s -d qdisc ls dev eth0 пакеты тоже идут
===
qdisc htb 1: root r2q 10 default 11 direct_packets_stat 0 ver 3.17
Sent 106464582 bytes 432084 pkt (dropped 0, overlimits 173369 requeues 0)
rate 0bit 0pps backlog 0b 0p requeues 0
qdisc sfq 10: parent 1:11 limit 127p quantum 1514b flows 127/1024 perturb 10sec
Sent 106463034 bytes 432082 pkt (dropped 0, overlimits 0 requeues 0)
rate 0bit 0pps backlog 0b 0p requeues 0
qdisc sfq 40: parent 1:12 limit 127p quantum 1514b flows 127/1024 perturb 10sec
Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
rate 0bit 0pps backlog 0b 0p requeues 0

===

Здравствуйте, проблема следующая:
Есть задача, 10 юзеров, 2 сетевухи, 1 внутрь сети 100Мб, 2 к провайдеру в кольцо тоже 100 Мб из которой раздаеццо инет 512 Кб.
Как поделить динамически канал между 10 юзерами с учетом трафика внутри кольца оператора и интернетом.

Сделал следующую схему на Traffic Controler c помощью tcng:

====
#include "fields.tc"
#include "ports.tc"


#define INTERFACE eth2

dev INTERFACE {
egress {

class (<$main_service>)
if tcp_dport == 80
if tcp_dport == 443
if tcp_dport == 21
if udp_dport == 21
;


class (<$all_others>)
if 1
;


htb () {
class ( rate 64kbps, ceil 64kbps ) {
$main_service = class ( rate 40kbps, ceil 64kbps, prio 1 ) { sfq; } ;
$all_others = class ( rate 20kbps, ceil 64kbps, prio 2 ) { sfq; } ;
}
}

}

}
===

Работать стало, но как сказано в описании проблемы, с провода провайдера приходит 2 типа ресурсов. 1 "кольцевой" трафик с скоростью 100 второй интернет с 512. Данная схема ограничивает по заданой пропускной способности оба типа ресурсов.
Вопрос: как разделить 2 типа ресурсов в tcng (в манах не нашел), или посоветуйте какуюлибо альтернативу tcng

Почемуто не работает в wormux'e звук :(

Вот что выдает ... интуитивно догадываюсь, что гдето в флагах не проставлена поддержка звука ... но ничего подобного не нашел .. как пофигсить ? 

PS: Gentoo 2007.0 Wormux версии 0.7.9

[ Начать игру ]
o Opened audio at 11025 Hz 16 bit
o Loading sound profile share
o Loading music
[Music] Unable to find /usr/share/games/wormux/music/ingame/ingame1.ogg music file.
[Music] Unable to find /usr/share/games/wormux/music/ingame/ingame2.ogg music file.
[Music] Unable to find /usr/share/games/wormux/music/ingame/ingame3.ogg music file.
o Загрузка команд: snortteam, spipteam, wilberteam, thunderbirdteam, nupikteam, beastieteam, workraveteam, tuxteam, gnuteam, oooteam, firefoxteam, phpteam, konqiteam
o Загрузка карт: hell, noel, cowland, qingqong, arbre, leafs, grenouilles, space, prehistorik, catacombes, cheese, desert, halloween, island, araignee, electronik, easterisland, aquarium, paradis, wildwestdv, champignon, battlenight, monkeybubbleworld, banquise, pirates, vulcano, goodandevil

>>>

Есть проблемка с Gentoo 2007.0 на ноуте dell Inspiron 1501... Ставлю генту .собираю ядро сам, прописываю в лило .. загружаюсь - говорит

-=-=-=- VFS: Cannot open root device "802" or unknown-block Please append a correct "root=" boot option Kernel panic - not syncing : VFS: Unable to mount root fs on unknown-block(8,2) -=-=-=-

Ставлю с genkernell'a - тоже самое ... потом делаю так - захоже в режим shell там в /dev/ винта нету ..

загружаюсь с лифки ... делаю # zcat /proc/config.gz > /usr/src/linux/.config

Собираю с этим конфигом - нифига не работает .. хотя сама лифка диск видит и отлично с ним пашет ...

Ставить coldplug пытаюсь - говорит что заблокирован udev .. в инете посмотрел .. вроде как coldplug убрали (хотя в хэндбуках он пока есть)... тогда я так понимаю udev фигово работает .. винт не видит .. что настроить нужно чтобы работало-то ? :))

>>> Emerging (1 of 53) sys-apps/hotplug-base-20040401 to /
rm: невозможно удалить `/var/tmp/portage/hotplug-base-20040401/temp/logging': Функция не реализована
rm: невозможно удалить `/var/tmp/portage/hotplug-base-20040401/temp/eclass-debug.log': Функция не реализована
rm: невозможно удалить `/var/tmp/portage/hotplug-base-20040401/build-info/hotplug-base-20040401.ebuild'
: Функция не реализована
rm: невозможно удалить `/var/tmp/portage/hotplug-base-20040401/work/hotplug-2004_04_01': Функция не реализована
rm: невозможно удалить `/var/tmp/portage/hotplug-base-20040401/distdir/hotplug-2004_04_01.tar.gz': Функция не реализована
Cannot chown a lockfile. This could cause inconvenience later.
 * hotplug-2004_04_01.tar.gz MD5 ;-) ...                                                                               [ ok ] * hotplug-2004_04_01.tar.gz size ;-) ...                                                                              [ ok ] * checking ebuild checksums ;-) ...                                                                                   [ ok ] * checking auxfile checksums ;-) ...                                                                                  [ ok ] * checking miscfile checksums ;-) ...                                                                                 [ ok ] * checking hotplug-2004_04_01.tar.gz ;-) ...                                                                          [ ok ]>>> Checking hotplug-2004_04_01.tar.gz's mtime...
 >>> Not marked as unpacked; recreating WORKDIR...
 rm: невозможно удалить `/var/tmp/portage/hotplug-base-20040401/work/hotplug-2004_04_01': Функция не реализована
 >>> Unpacking source...
 >>> Unpacking hotplug-2004_04_01.tar.gz to /var/tmp/portage/hotplug-base-20040401/work
 chmod: невозможно получить доступ к `./hotplug-2004_04_01': Функция не реализована
 >>> Source unpacked.
 >>> Compiling source in /var/tmp/portage/hotplug-base-20040401/work/hotplug-2004_04_01 ...
 rm: невозможно удалить `hotplug-2007_01_13/debian': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/etc': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/sbin': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/mkinstalldirs': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/ChangeLog': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/Makefile': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/README': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/hotplug.8': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/hotplug.spec': Функция не реализована
 rm: невозможно удалить `hotplug-2007_01_13/hotplug-2007_01_12': Функция не реализована
 make: [hotplug-2007_01_13.tar.gz] Error 1 (ignored)
 mkdir: невозможно создать каталог `hotplug-2007_01_13': Файл существует
 make: *** [hotplug-2007_01_13.tar.gz] Error 1
 
 !!! ERROR: sys-apps/hotplug-base-20040401 failed.
 Call stack:
   ebuild.sh, line 1546:   Called dyn_compile
     ebuild.sh, line 937:   Called src_compile
       ebuild.sh, line 608:   Called die
       
       !!! emake failed
       !!! If you need support, post the topmost build error, and the call stack if relevant.

Что Может быть ? кто подскажет ..  Есть сервек - АДМ к6 233 Мг + 32 ОЗУ 2 сетевые на RTL 8139.. дак вот ... с 1 стороны локалка 10.10.10.0/24 (eth0)
с другой инет A.B.C.0/255.255.255.128 (eth1), с десктопа я пытаюсь подключиться к ВПН (в интернете)(VPN_ADDR к примеру), ч/з шлюз на сервере 10.10.10.111 

----------------
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
A.B.C.0         0.0.0.0         255.255.255.128 U     0      0        0 eth1
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         A.B.C.1         0.0.0.0         UG    1      0        0 eth1
----------------

Слака 11 - Ядро 2.4.33.3 (Дефолтное)

---------------
iptables -L -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            10.10.10.0/24
ACCEPT     all  --  10.10.10.0/24        0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
---------------

---------------
iptables -L -n -t nat

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.10.10.0/24        0.0.0.0/0           to:A.B.C.5

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

---------------

Вот что пишет tcp_dump

tcpdump -i eth1 -n |grep $VPN_ADDR
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
00:06:35.387758 IP A.B.C.5.1666 > $VPN_ADDR.1723: S 3427830020:3427830020(0) win 16384 <mss 1456,nop,nop,sackOK>
00:06:35.388556 IP $VPN_ADDR.1723 > A.B.C.5.1666: S 1066973930:1066973930(0) ack 3427830021 win 5840 <mss 1460,nop,nop,sackOK>
00:06:35.389242 IP A.B.C.5.1666 > $VPN_ADDR.1723: P 1:157(156) ack 1 win 17472: pptp CTRL_MSGTYPE=SCCRQ PROTO_VER(1.0) FRAME_CAP(A) BEARER_CAP(A) MAX_CHAN(0) FIRM_REV(2600) [|pptp]
00:06:35.389647 IP $VPN_ADDR.1723 > A.B.C.5.1666: . ack 157 win 6432
00:06:35.395282 IP $VPN_ADDR.1723 > A.B.C.5.1666: P 1:157(156) ack 157 win 6432: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0) FRAME_CAP() BEARER_CAP() MAX_CHAN(1) FIRM_REV(1) [|pptp]
00:06:35.396117 IP A.B.C.5.1666 > $VPN_ADDR.1723: P 157:325(168) ack 157 win 17316: pptp CTRL_MSGTYPE=OCRQ CALL_ID(49152) CALL_SER_NUM(10375) MIN_BPS(300) MAX_BPS(100000000) BEARER_TYPE(Any) FRAME_TYPE(E) RECV_WIN(64) PROC_DELAY(0) PHONE_NO_LEN(0) [|pptp]
00:06:35.415614 IP $VPN_ADDR.1723 > A.B.C.5.1666: P 157:189(32) ack 325 win 7504: pptp CTRL_MSGTYPE=OCRP CALL_ID(34688) PEER_CALL_ID(49152) RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(100000000) RECV_WIN(64) PROC_DELAY(0) PHY_CHAN_ID(0)
00:06:35.420880 IP A.B.C.5.1666 > $VPN_ADDR.1723: P 325:349(24) ack 189 win 17284: pptp CTRL_MSGTYPE=SLI PEER_CALL_ID(34688) SEND_ACCM(0xffffffff) RECV_ACCM(0xffffffff)
00:06:35.455690 IP $VPN_ADDR.1723 > A.B.C.5.1666: . ack 349 win 7504
00:06:35.465999 IP $VPN_ADDR > A.B.C.5: GREv1, call 49152, ack 4294967295, no-payload, length 12
00:06:35.466103 IP A.B.C.5 > $VPN_ADDR: ICMP A.B.C.5 protocol 47 unreachable, length 40
00:06:35.500753 IP $VPN_ADDR > A.B.C.5: GREv1, call 49152, seq 0, length 37: LCP, Conf-Request (0x01), id 1, length 23
00:06:35.500828 IP A.B.C.5 > $VPN_ADDR: ICMP A.B.C.5 protocol 47 unreachable, length 65
00:06:35.521758 IP $VPN_ADDR.1723 > A.B.C.5.1666: F 189:189(0) ack 349 win 7504
00:06:35.522220 IP A.B.C.5.1666 > $VPN_ADDR.1723: F 349:349(0) ack 190 win 17284
00:06:35.522711 IP $VPN_ADDR.1723 > A.B.C.5.1666: . ack 350 win 7504


И напоследок:
================
top - 00:30:03 up 29 min,  1 user,  load average: 0.00, 0.00, 0.00
Tasks:  25 total,   1 running,  24 sleeping,   0 stopped,   0 zombie
Cpu(s):   0.8% user,   7.8% system,   0.0% nice,  91.4% idle
Mem:     29208k total,    28456k used,      752k free,     3728k buffers
Swap:   391064k total,        0k used,   391064k free,    16248k cached
================


Винда при всем этом выдает следующее 619 ошибка - (говорит что не удается подкл. к удаленному компу, поэтому порт подкл. закрыт) ..
Весь остальной инет работает нормально ... 

Что самое интересно доступ то пропадает, то появляется снова, без чьеголибо вмешательства .. что это ??? Слабые сетевухи ? слабый комп ?
кривой фаерволл ? старое ядро ? что-то недонастроенно ? Буду благодарен если кто-нибудь поможет решить проблемму :)

Вопрос вижу частый, надоел видать всем ... но всеже что взять-то чтобы в Linux работало безглючно ... пока остановился на IBM но только делает их Lenovo - китайцы ... кто-нитьбудь пробовал уже ? или нет ? я вот что-то поискал везде говорят, что они качественные типа классика ... интересует также возможность его апгрейда в дальшнейшем, ну по мелочи - модуль добавить/винчестер .........

пока остановился на этих моделях:

http://www.uti-note.ru/product114053523/ http://www.uti-note.ru/product121484991/ http://www.uti-note.ru/product97076948/