Jump to content

volkoff

Members
  • Content Count

    16
  • Joined

  • Last visited

    Never
  1. В том-то и вся фишка! Поставил iptables-1.3.6, наложил на ядро 4 патча patch-o-matic версий: ng-20040621 (первый) ng-20040701 (второй) ng-20041006 (просто один из сотни промежуточных) ng-20081130 (последний) Заново сгенерил ядро и переустановил iptables-1.3.6 - модуль statistic не появился. Поставил iptables-1.4.2 сначала на пропатченное ядро (версия 2.4.34), потом и посто на новое, не патченное ядро (версии 2.4.37) - этот модуль есть. Немнжко изменю постановку задачи: 1. Или как сделать, чтобы модуль statistic появился в версии iptables-1.3.6 (т.е. какой патч нужно накладывать?), 2. или как мне без ошибок установить версию iptables-1.4.2 (похоже версии 1.4.х чем-то радикально отличаются от версий 1.3.х).
  2. RedHat9, ядро 2.4.34 Решил обновить iptables (нужен модуль statistic) Поcтавил iptables-1.4.1.1 При установке сообщений об ошибках не было. Команда iptables -vnL нормально показывает все таблицы и вроде даже все правила на месте, но перед выводом несколько раз выдается сообщение об ощибке: modprobe: can't locate module ip_tables Попробовал другую версию - поставил более старую iptables-1.3.6 - сообщения об ощибке исчезли. Но беда в том, что в этой версии (и во всех 1.3.х) похоже нет модуля statistic (во всяком случае команда iptables -m statistic --help говорит, что модуля такого нет). Попробовал поставить iptables-1.4.2 - опять появились сообщения об ошибках. Обновил ядро до версии 2.4.37 - не помогло. В чем может быть дело? Откуда этот модуль брать? (точнее как правильно установить iptables, чтобы он появился там где надо?) И, вообще, зачем он нужен? Ведь и без него, кажется все нормально работает (к сожалению в последнем я как раз и не уверен).
  3. Сделал так, как написано в предыдущем посте - все прекрасно работает! Спасибо EvilShadow за подсказку. В принципе тему можно закрывать. Но все-таки не понятно почему со SNAT`ом все работает, а с маскарадингом работать не хочет.
  4. См. скрипты /etc/ppp/ip-up*. хм... т.е. советуете задавать правила SNAT в этих скриптах? поднялся интерфейс - задали правили с нужным адресом упал - удалили (в ip-down) поднялся опять (с новым адресом) - опять задали в принципе, возможно это решение. просто в голову не приходило, что можно вот так (можно сказать динамически) менять правила файерволла.
  5. Поэтому при использовании policy routing нужно применять SNAT, а не MASQUERADE. c удовольствием применил бы SNAT, но беда в том, что адреса x.х.х.х и у.у.у.у. неизвестны - присваиваются динамически. А чтобы задать SNAT нужно явно указать адрес интерфейса. В MASQUERADE достаточно имени интерфейса, поэтому им и пользуюсь. А под что реально маскарадится? Подозреваю, что в указанную таблицу маршрутизации пакеты попадаются после nat-POSTROUTING Вобще-то самому жутко интересно после чего пакеты попадают в таблицу маршрутизации. У меня сложилось впечатление, что ДО прохождения таблицы nat-FORWARD. Я как-то очень сильно почудил: - в nat-PREROUTING маркировал некоторые пакеты, - в далее по этой марке направлял их в нужную таблицу маршрутизации, - в таблице маршрутизации задавал маршрут по умолчанию, - далее в nat-FORWARD пакеты сортировались (и перемаркировывались) в зависимости от того через какой интерфейс уходят, - после этого опять в соответствии с маркой направлялись в нужную таблицу маршрутизации, - а потом еще шейпились в соответствии с маркой. (Ну а натились, соответственно в nat-POSTROUTING. Кстати тоже интересно - до того как шейпились (tc - htb) или позже?) Такая дикая схема получилась случайно (в результате логической ошибки), но все работало. Чем я был очень сильно удивлен.
  6. поэтому трафик маскарадится под адрес интерфейса системного default route как это? маскарадится вот так: iptables –t nat –A POSTROUTING –o ppp0 -j MASQUERADE iptables –t nat –A POSTROUTING –o ppp3 -j MASQUERADE вот маршруты по умолчанию: ip r a default dev ppp0 ip r a default dev ppp3 table vpn2 и почему же вот так IPTABLES –t mangle –I PREROUTING 1 –s 172.20.32.44 –d ! 172.20.0.0/16 –j MARK -–set-mark 2 ip rule add fwmark 2 table vpn2 работает, а вот так ip rule add from 172.20.32.44 table vpn2 не работает?
  7. есть роутер (Linux RedHat9), на нем интерфейс во внутреннюю сеть и 2 в интернет - ррр0 и ррр3. (есть еще несколько интерфейсов в другие локальные сети, но это не существенно). Можно задать маршрут ip r a default dev ppp0 а можно ip r a default dev ppp3 все прекрасно работает. а вот если я пытаюсь сделать вот это: ip route add default equalize nexthop dev ppp0 weight 1 nexthop dev ppp3 weight 1 то все затыкается. Eще есть вот такая бяка (мне кажется, что связана с предыдущей): Если создать таблицу маршрутизации, например vpn2, промаркировать все пакеты идущие из внутренней сети с адреса 172.20.32.44 маркой 2, то задав вот такое правило: ip rule add fwmark 2 table vpn2 мы все эти пакеты направляем в таблицу vpn2 а дальше уже маршрутизируем их как хотим. Все прекрасно работает. Но, ведь можно и по другому (попроще, без маркировки). Сразу дать команду: ip rule add from 172.20.32.44 table vpn2 Но так к сожалению не работает. Причем, самое интересное, пакеты в таблицу vpn2 попадают. Это можно судить по тому, что в этой таблице очень много маршрутов и с указанного адреса можно пойти по любому из них, КРОМЕ МАРШРУТА ПО УМОЛЧАНИЮ. И еще один момент: если на интерфейсе (того самого маршрута по умолчанию, куда не хотят идти пакеты)сделан не маскарадинг, а SNАT, то второй вариант тоже работает. Кто-нибудь сталкивался с подобным? В чем может быть проблема? ЗЫ: Думал, что возможно старый и глючной iproute2 (система-то старая). Обновил - не помогло.
  8. В логе /var/log/messages по этому поводу (падению) появляются вот такие зариси: Feb 4 22:01:31 vit squid[10147]: Squid Parent: child process 10150 started Feb 4 22:02:32 vit squid[10147]: Squid Parent: child process 10150 exited due to signal 6 Feb 4 22:02:35 vit squid[10147]: Squid Parent: child process 10197 started Feb 4 22:03:36 vit squid[10147]: Squid Parent: child process 10197 exited due to signal 6 Feb 4 22:03:39 vit squid[10147]: Squid Parent: child process 10230 started Feb 4 22:04:40 vit squid[10147]: Squid Parent: child process 10230 exited due to signal 6 Сигнал 6 это (из справочника): 6 SIGIOT (IOT) Команда IOT - останов ввода/вывода Куда все же копать?
  9. видимо cron запускает каждую минуту какуюто фигню. Да, действительно, кроном каждую минуту запускалось вот это: /usr/bin/python -S /var/mailman/cron/qrunner Закоментировал эту команду. Почту перестал получать каждую минутую, но сквиду это не помогло. Как падал, так и продолжает падать каждую минуту.
  10. забейте ошибку сквида в гугл и поищите Нашел где обсуждается такая же ошибка, но ... на японском языке. Но у меня уже складывается ощущение, что кальмар сам является жертвой. Независимо от того запущен Squid или нет, моя почта (файл /var/spool/mail/root) каждую минуту пополняется вот такой записью: From mailman@localhost.localdomain Wed Feb 1 22:41:00 2006 Return-Path: <mailman@localhost.localdomain> Received: from localhost.localdomain (vit [127.0.0.1]) by localhost.localdomain (8.12.5/8.12.5) with ESMTP id k11Jf0xc003734 for <mailman@localhost.localdomain>; Wed, 1 Feb 2006 22:41:00 +0300 Received: (from mailman@localhost) by localhost.localdomain (8.12.5/8.12.5/Submit) id k11Jf02g003732 for mailman; Wed, 1 Feb 2006 22:41:00 +0300 Date: Wed, 1 Feb 2006 22:41:00 +0300 Message-Id: <200602011941.k11Jf02g003732@localhost.localdomain> From: root@localhost.localdomain (Cron Daemon) To: mailman@localhost.localdomain Subject: Cron <mailman@vit> /usr/bin/python -S /var/mailman/cron/qrunner X-Cron-Env: <SHELL=/bin/sh> X-Cron-Env: <HOME=/var/mailman> X-Cron-Env: <PATH=/usr/bin:/bin> X-Cron-Env: <LOGNAME=mailman> Traceback (most recent call last): File "/var/mailman/cron/qrunner", line 84, in ? from Mailman import Utils File "/var/mailman/Mailman/Utils.py", line 36, in ? import random File "/usr/lib/python2.2/random.py", line 95, in ? _verify('TWOPI', TWOPI, 6.28318530718) File "/usr/lib/python2.2/random.py", line 87, in _verify raise ValueError( ValueError: computed value for TWOPI deviates too much (computed 6.28319, expected 6.28319) From mailman@localhost.localdomain Wed Feb 1 22:42:00 2006 Return-Path: <mailman@localhost.localdomain> Что бы это могло значить?
  11. Создал вчера в соседнем форуме тему: http://www.linux.ru/forum/index.php?t=msg&th=85091&s tart=0&rid=902&S=98a7a20970988c91e11e03840b33ac69 Сегодня весь день бился над проблемой - ничего хорошего не получилось. Нашел подробнейшую инструкцию по установке сквида. По ней очень тщательно установил все с нуля. Результат такой же - ровно каждую минуту сквид перезапускается. Похоже проблема не в самом сквиде, а в операционной системе, поэтому пишу сюда. Система RedHat 8.0, ядро обновлено до версии 2.4.29,сквид 2.5-12 В чем может быть трабл? Куда копать? Или, может быть, чего-то в операционке не хватает? Что-то нужно доустановить? Или что-то отвалилось?
  12. Может быть кто-нибудь сталкивался с подобным. Помогите разобраться. Если судить по логам, то кальмар каждую минуту выдает какую-то ошибку и перезапускается. При этом, в промежутках между перезапусками работает и даже кэширует страницы. Почему это происходит? Что за ошибка? Обновил Squid до версии 2.5.STABLE12. Не помогло! Очистил и пересоздал кэш. Не помогло! Эта сволочь продолжает перезапускаться каждую минуту. Причем, запись в логе, после которой происходит перезапуск не изменилась: 2006/01/21 21:00:03| assertion failed: StatHist.c:120: "Dest->scale == Orig->scale" Куда же, все-таки, копать? Linux RedHat 8.0, ядро 2.4.29, прокси прозрачный. Вот лог: 2006/01/21 21:00:03| assertion failed: StatHist.c:120: "Dest->scale == Orig->scale" 2006/01/21 21:00:07| Starting Squid Cache version 2.5.STABLE12 for i686-pc-linux-gnu... 2006/01/21 21:00:07| Process ID 9695 2006/01/21 21:00:07| With 1024 file descriptors available 2006/01/21 21:00:07| Performing DNS Tests... 2006/01/21 21:00:07| Successful DNS name lookup tests... 2006/01/21 21:00:07| DNS Socket created at 0.0.0.0, port 34231, FD 6 2006/01/21 21:00:07| Adding nameserver 213.138.113.5 from squid.conf 2006/01/21 21:00:07| Adding nameserver 213.138.110.132 from squid.conf 2006/01/21 21:00:07| Unlinkd pipe opened on FD 13 2006/01/21 21:00:07| Swap maxSize 15360000 KB, estimated 960000 objects 2006/01/21 21:00:07| Target number of buckets: 13333 2006/01/21 21:00:07| Using 16384 Store buckets 2006/01/21 21:00:07| Max Mem size: 32768 KB 2006/01/21 21:00:07| Max Swap size: 15360000 KB 2006/01/21 21:00:07| Rebuilding storage in /var/spool/squid (DIRTY) 2006/01/21 21:00:07| Using Least Load store dir selection 2006/01/21 21:00:07| Current Directory is / 2006/01/21 21:00:07| Loaded Icons. 2006/01/21 21:00:07| Accepting HTTP connections at 0.0.0.0, port 3128, FD 15. 2006/01/21 21:00:07| Accepting ICP messages at 0.0.0.0, port 3130, FD 16. 2006/01/21 21:00:07| WCCP Disabled. 2006/01/21 21:00:07| Ready to serve requests. 2006/01/21 21:00:08| Done reading /var/spool/squid swaplog (65 entries) 2006/01/21 21:00:08| Finished rebuilding storage from disk. 2006/01/21 21:00:08| 65 Entries scanned 2006/01/21 21:00:08| 0 Invalid entries. 2006/01/21 21:00:08| 0 With invalid flags. 2006/01/21 21:00:08| 65 Objects loaded. 2006/01/21 21:00:08| 0 Objects expired. 2006/01/21 21:00:08| 0 Objects cancelled. 2006/01/21 21:00:08| 0 Duplicate URLs purged. 2006/01/21 21:00:08| 0 Swapfile clashes avoided. 2006/01/21 21:00:08| Took 0.6 seconds ( 114.3 objects/sec). 2006/01/21 21:00:08| Beginning Validation Procedure 2006/01/21 21:00:08| Completed Validation Procedure 2006/01/21 21:00:08| Validated 65 Entries 2006/01/21 21:00:08| store_swap_size = 556k 2006/01/21 21:00:08| storeLateRelease: released 0 objects 2006/01/21 21:01:07| assertion failed: StatHist.c:120: "Dest->scale == Orig->scale" 2006/01/21 21:01:11| Starting Squid Cache version 2.5.STABLE12 for i686-pc-linux-gnu... Вот файл конфигурации: # NETWORK OPTIONS http_port 3128 # ssl_unclean_shutdown off icp_port 3130 #htcp_port 4827 # udp_incoming_address 0.0.0.0 # udp_outgoing_address 255.255.255.255 # OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM #cache_peer hostname type http_port icp_port #cache_peer_domain cache-host domain [domain ...] # icp_query_timeout 0 # maximum_icp_query_timeout 2000 # mcast_icp_query_timeout 2000 # dead_peer_timeout 10 seconds hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # OPTIONS WHICH AFFECT THE CACHE SIZE cache_mem 32 MB cache_swap_low 90 cache_swap_high 95 maximum_object_size 8192 KB minimum_object_size 0 KB maximum_object_size_in_memory 16 KB ipcache_size 1024 ipcache_low 90 ipcache_high 95 fqdncache_size 1024 cache_replacement_policy lru memory_replacement_policy lru # LOGFILE PATHNAMES AND CACHE DIRECTORIES cache_dir ufs /var/spool/squid 15000 16 256 # cache_access_log /var/log/squid/access.log cache_access_log /dev/null cache_log /var/log/squid/cache.log # cache_store_log /var/log/squid/store.log cache_store_log /dev/null # cache_swap_log.00 # cache_swap_log.01 # cache_swap_log.02 emulate_httpd_log off log_ip_on_direct on # mime_table /usr/local/squid/etc/mime.conf log_mime_hdrs off pid_filename /var/run/squid.pid debug_options ALL,1 log_fqdn off # client_netmask 255.255.255.255 # OPTIONS FOR EXTERNAL SUPPORT PROGRAMS # ftp_user Squid@ ftp_passive on ftp_sanitycheck on # ftp_telnet_protocol on # cache_dns_program /usr/local/squid/libexec/dnsserver # dns_children 5 dns_retransmit_interval 10 seconds dns_timeout 5 minutes # dns_defnames off dns_nameservers 213.138.113.5 213.138.110.132 hosts_file /etc/hosts # diskd_program /usr/local/squid/libexec/diskd unlinkd_program /usr/local/squid/libexec/unlinkd # pinger_program /usr/local/squid/libexec/pinger # redirect_children 5 # redirect_rewrites_host_header on auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off # authenticate_cache_garbage_interval 1 hour # authenticate_ttl 1 hour # authenticate_ip_ttl 0 seconds # OPTIONS FOR TUNING THE CACHE # wais_relay_port 0 request_header_max_size 64 KB request_body_max_size 0 KB #Suggested default: refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 quick_abort_min 16 KB quick_abort_max 16 KB quick_abort_pct 95 negative_ttl 5 minutes positive_dns_ttl 5 hours negative_dns_ttl 5 minute range_offset_limit 0 KB # TIMEOUTS # forward_timeout 4 minutes connect_timeout 2 minutes peer_connect_timeout 30 seconds read_timeout 15 minutes request_timeout 5 minutes persistent_request_timeout 2 minutes client_lifetime 1 day half_closed_clients on pconn_timeout 120 seconds # ident_timeout 10 seconds shutdown_lifetime 30 seconds # ACCESS CONTROLS #acl allow src "/usr/local/squid/etc/acl/allow.acl" acl allow src 192.168.0.0/24 acl all src 0.0.0.0/0.0.0.0 acl our_networks src 192.168.0.0/24 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT #acl FTP proto FTP #always_direct allow FTP http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow our_networks http_access allow allow http_access deny all icp_access allow allow icp_access deny all miss_access allow all miss_access deny !allow http_reply_access allow all # ident_lookup_access deny all # reply_header_max_size 20 KB reply_body_max_size 0 allow all # ADMINISTRATIVE PARAMETERS # cache_mgr webmaster # mail_program mail cache_effective_user squid cache_effective_group squid visible_hostname localhost.localdomain #unique_hostname HOST1.MYDOMAIN #hostname_aliases HOST2.MYDOMAIN # TRANSPARENT PROXY CONFIGURATION httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on # MISCELLANEOUS # dns_testnames MYDOMAIN logfile_rotate 10 #append_domain MYDOMAIN tcp_recv_bufsize 0 bytes memory_pools on # memory_pools_limit 5 MB forwarded_for on log_icp_queries on icp_hit_stale off # minimum_direct_hops 4 # minimum_direct_rtt 400 # cachemgr_passwd disable all store_avg_object_size 16 KB store_objects_per_bucket 72 # client_db on # netdb_low 900 # netdb_high 1000 # netdb_ping_period 5 minutes query_icmp on test_reachability off buffered_logs off reload_into_ims off # acl FTP proto FTP # always_direct allow FTP icon_directory /usr/local/squid/share/icons # global_internal_static on # short_icon_urls off error_directory /usr/local/squid/share/errors/English maximum_single_addr_tries 5 # retry_on_error off nonhierarchical_direct off prefer_direct off strip_query_terms on coredump_dir none # Leave coredumps in the first cache dir #coredump_dir /var/spool/squid # redirector_bypass off ignore_unknown_nameservers on client_persistent_connections on server_persistent_connections on # detect_broken_pconn off # balance_on_multiple_ip on pipeline_prefetch off request_entities off high_response_time_warning 0 high_page_fault_warning 0 high_memory_warning 0 store_dir_select_algorithm least-load ie_refresh off vary_ignore_expire off sleep_after_fork 0
  13. - Производился поиск статей только на русском языке, т.к. из иностранных я не знаю ни одного. С трудом смогу понять суть статьи (инструкции) на английском, если буду ее долго и напряженно изучать, но перелопатить такую кучу иностранной литературы… Увольте! - Так как статей на русском языке на интересующую меня тему очень мало, а полного соответствия теме топика я, вообще, не нашел, то можно смело сделать вывод о том, что в нашей стране процент умных людей значительно выше чем за рубежом (просто не покупают это дерьмо!). - Привожу обещанную статью (выдержки из дневника) об установке этого девайса: 4. Установка USB ADSL-модема (модем D-Link DSL-200) 4.1. Не удалась. 4.2. «USB ADSL модем, несомненно является отвратительнейшим из новомодных изобретений шайтана (после Windows 95®), ибо подключается к компьютеру мерзким и противоестественным путем, а именно через USB порт.» - вот фраза, которая мне попалась в недрах Интернета в ходе многодневных поисков ответа на вопрос: «как-же установить этот чертов девайс?», и которая точно отражает суть вещей. 4.3. После месяца плясок с бубном вокруг этого исчадия ада, оно было, в конце концов, торжественно сожжено на костре. 4.4. Был куплен ADSL модем с LAN-интерфейсом, полную инструкцию по установке которого я и привожу: 4.4.1. Установить еще одну сетевую карту; 4.4.2. Соединить ее патчкордом с соответствующим портом модема.
  14. Обязательно напишу отчет о том как удалось победить этот девайс (если, конечно удастся). Может быть даже опишу все шаманские пляски вокруг этой железки. Правда тогда придется постить в другой форум - в юмор... Ну, а насчет поиска... Может быть и не умею. Однако, могу заверить, что очень старался, но статьи с таким сочетанием (см. название топика) не нашел.
  15. Да есть такая приблуда. Скачана с орущего пингвина и установлена. Вся беда в том, что в ней самой нет никаких настроек - логин, пароль и все... Т.е. все настройки нужно делать в драйвере (или где-то еще), а как установить,например нужную инкапсуляцию не понятно. И, вообще, много чего не понятно... У меня модем появляется в системе, поднимается интерфейс tap0, при запуске той самой приблуды происходит соединение с провайдером. Более того пингуется мой спутниковый провайдер, пакет возвращается через спутник. Но на этом все радости кончаются. После трех - четырех команд "ping" интерфейс отваливается. А после попытки запустить браузер отваливается моментально. Причем пропадает напрочь USB порт. Можно вытащить модем вставить в другой порт USB и повторить все сначала с тем же результатом - отсыхает второй порт USB. Все..., порты кончились (у меня их два), все остальные побытки бесплодны. USB интерфейс теперь появится только после перезагрузки. За ссылочку спасибо, сейчас попробую там что-нибудь найти на интересующую тему. Да и постил сюда в основном в надежде, что кто-нибудь кинет подходящую ссылку на статью или похожую тему в другой конфе из тех, что я не сумел сам найти. И еще в надежде, что мой пост подвигнет кого-нибудь написать статью или хотя бы короткую инструкцию о том, как он прикручивал этот девайс.
×
×
  • Create New...