volkoff
-
Постов
16 -
Зарегистрирован
-
Посещение
Никогда
Сообщения, опубликованные volkoff
-
-
RedHat9, ядро 2.4.34
Решил обновить iptables (нужен модуль statistic)
Поcтавил iptables-1.4.1.1
При установке сообщений об ошибках не было.
Команда iptables -vnL нормально показывает все таблицы и вроде даже все правила на месте, но перед выводом несколько раз выдается сообщение об ощибке:
modprobe: can't locate module ip_tables
Попробовал другую версию - поставил более старую iptables-1.3.6 - сообщения об ощибке исчезли. Но беда в том, что в этой версии (и во всех 1.3.х) похоже нет модуля statistic (во всяком случае команда iptables -m statistic --help говорит, что модуля такого нет).
Попробовал поставить iptables-1.4.2 - опять появились сообщения об ошибках.
Обновил ядро до версии 2.4.37 - не помогло.
В чем может быть дело?
Откуда этот модуль брать? (точнее как правильно установить iptables, чтобы он появился там где надо?)
И, вообще, зачем он нужен? Ведь и без него, кажется все нормально работает (к сожалению в последнем я как раз и не уверен).
-
Сделал так, как написано в предыдущем посте - все прекрасно работает!
Спасибо EvilShadow за подсказку.
В принципе тему можно закрывать.
Но все-таки не понятно почему со SNAT`ом все работает, а с маскарадингом работать не хочет.
-
См. скрипты /etc/ppp/ip-up*.
хм... т.е. советуете задавать правила SNAT в этих скриптах?
поднялся интерфейс - задали правили с нужным адресом
упал - удалили (в ip-down)
поднялся опять (с новым адресом) - опять задали
в принципе, возможно это решение.
просто в голову не приходило, что можно вот так (можно сказать динамически) менять правила файерволла.
-
Поэтому при использовании policy routing нужно применять SNAT, а не MASQUERADE.
c удовольствием применил бы SNAT, но беда в том, что адреса x.х.х.х и у.у.у.у. неизвестны - присваиваются динамически.
А чтобы задать SNAT нужно явно указать адрес интерфейса.
В MASQUERADE достаточно имени интерфейса, поэтому им и пользуюсь.А под что реально маскарадится? Подозреваю, что в указанную таблицу маршрутизации пакеты попадаются после nat-POSTROUTING
Вобще-то самому жутко интересно после чего пакеты попадают в таблицу маршрутизации.
У меня сложилось впечатление, что ДО прохождения таблицы nat-FORWARD.
Я как-то очень сильно почудил:
- в nat-PREROUTING маркировал некоторые пакеты,
- в далее по этой марке направлял их в нужную таблицу маршрутизации,
- в таблице маршрутизации задавал маршрут по умолчанию,
- далее в nat-FORWARD пакеты сортировались (и перемаркировывались) в зависимости от того через какой интерфейс уходят,
- после этого опять в соответствии с маркой направлялись в нужную таблицу маршрутизации,
- а потом еще шейпились в соответствии с маркой.
(Ну а натились, соответственно в nat-POSTROUTING. Кстати тоже интересно - до того как шейпились (tc - htb) или позже?)
Такая дикая схема получилась случайно (в результате логической ошибки), но все работало. Чем я был очень сильно удивлен. -
поэтому трафик маскарадится под адрес интерфейса системного default route
как это?
маскарадится вот так:iptables –t nat –A POSTROUTING –o ppp0 -j MASQUERADE iptables –t nat –A POSTROUTING –o ppp3 -j MASQUERADE
вот маршруты по умолчанию:ip r a default dev ppp0 ip r a default dev ppp3 table vpn2
и почему же вот такIPTABLES –t mangle –I PREROUTING 1 –s 172.20.32.44 –d ! 172.20.0.0/16 –j MARK -–set-mark 2 ip rule add fwmark 2 table vpn2
работает,
а вот такip rule add from 172.20.32.44 table vpn2
не работает?
-
есть роутер (Linux RedHat9), на нем интерфейс во внутреннюю сеть и 2 в интернет - ррр0 и ррр3.
(есть еще несколько интерфейсов в другие локальные сети, но это не существенно).
Можно задать маршрут
ip r a default dev ppp0
а можно
ip r a default dev ppp3
все прекрасно работает.
а вот если я пытаюсь сделать вот это:
ip route add default equalize nexthop dev ppp0 weight 1 nexthop dev ppp3 weight 1
то все затыкается.
Eще есть вот такая бяка (мне кажется, что связана с предыдущей):
Если создать таблицу маршрутизации, например vpn2, промаркировать все пакеты идущие из внутренней сети с адреса 172.20.32.44 маркой 2, то задав вот такое правило:
ip rule add fwmark 2 table vpn2
мы все эти пакеты направляем в таблицу vpn2 а дальше уже маршрутизируем их как хотим.
Все прекрасно работает.
Но, ведь можно и по другому (попроще, без маркировки). Сразу дать команду:
ip rule add from 172.20.32.44 table vpn2
Но так к сожалению не работает.
Причем, самое интересное, пакеты в таблицу vpn2 попадают. Это можно судить по тому, что в этой таблице очень много маршрутов и с указанного адреса можно пойти по любому из них, КРОМЕ МАРШРУТА ПО УМОЛЧАНИЮ.
И еще один момент: если на интерфейсе (того самого маршрута по умолчанию, куда не хотят идти пакеты)сделан не маскарадинг, а SNАT, то второй вариант тоже работает.
Кто-нибудь сталкивался с подобным?
В чем может быть проблема?
ЗЫ: Думал, что возможно старый и глючной iproute2 (система-то старая). Обновил - не помогло.
-
В логе /var/log/messages по этому поводу (падению) появляются вот такие зариси:
Feb 4 22:01:31 vit squid[10147]: Squid Parent: child process 10150 started
Feb 4 22:02:32 vit squid[10147]: Squid Parent: child process 10150 exited due to signal 6
Feb 4 22:02:35 vit squid[10147]: Squid Parent: child process 10197 started
Feb 4 22:03:36 vit squid[10147]: Squid Parent: child process 10197 exited due to signal 6
Feb 4 22:03:39 vit squid[10147]: Squid Parent: child process 10230 started
Feb 4 22:04:40 vit squid[10147]: Squid Parent: child process 10230 exited due to signal 6
Сигнал 6 это (из справочника):
6 SIGIOT (IOT) Команда IOT - останов ввода/вывода
Куда все же копать?
-
видимо cron запускает каждую минуту какуюто фигню.
Да, действительно, кроном каждую минуту запускалось вот это:
/usr/bin/python -S /var/mailman/cron/qrunner
Закоментировал эту команду. Почту перестал получать каждую минутую, но сквиду это не помогло. Как падал, так и продолжает падать каждую минуту.
-
забейте ошибку сквида в гугл и поищите
Нашел где обсуждается такая же ошибка, но ... на японском языке.
Но у меня уже складывается ощущение, что кальмар сам является жертвой.
Независимо от того запущен Squid или нет, моя почта (файл /var/spool/mail/root) каждую минуту пополняется вот такой записью:
From mailman@localhost.localdomain Wed Feb 1 22:41:00 2006
Return-Path: <mailman@localhost.localdomain>
Received: from localhost.localdomain (vit [127.0.0.1])
by localhost.localdomain (8.12.5/8.12.5) with ESMTP id k11Jf0xc003734
for <mailman@localhost.localdomain>; Wed, 1 Feb 2006 22:41:00 +0300
Received: (from mailman@localhost)
by localhost.localdomain (8.12.5/8.12.5/Submit) id k11Jf02g003732
for mailman; Wed, 1 Feb 2006 22:41:00 +0300
Date: Wed, 1 Feb 2006 22:41:00 +0300
Message-Id: <200602011941.k11Jf02g003732@localhost.localdomain>
From: root@localhost.localdomain (Cron Daemon)
To: mailman@localhost.localdomain
Subject: Cron <mailman@vit> /usr/bin/python -S /var/mailman/cron/qrunner
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <HOME=/var/mailman>
X-Cron-Env: <PATH=/usr/bin:/bin>
X-Cron-Env: <LOGNAME=mailman>
Traceback (most recent call last):
File "/var/mailman/cron/qrunner", line 84, in ?
from Mailman import Utils
File "/var/mailman/Mailman/Utils.py", line 36, in ?
import random
File "/usr/lib/python2.2/random.py", line 95, in ?
_verify('TWOPI', TWOPI, 6.28318530718)
File "/usr/lib/python2.2/random.py", line 87, in _verify
raise ValueError(
ValueError: computed value for TWOPI deviates too much (computed 6.28319, expected 6.28319)
From mailman@localhost.localdomain Wed Feb 1 22:42:00 2006
Return-Path: <mailman@localhost.localdomain>
Что бы это могло значить?
-
Создал вчера в соседнем форуме тему:
Сегодня весь день бился над проблемой - ничего хорошего не получилось. Нашел подробнейшую инструкцию по установке сквида. По ней очень тщательно установил все с нуля. Результат такой же - ровно каждую минуту сквид перезапускается.
Похоже проблема не в самом сквиде, а в операционной системе, поэтому пишу сюда.
Система RedHat 8.0, ядро обновлено до версии 2.4.29,сквид 2.5-12
В чем может быть трабл? Куда копать?
Или, может быть, чего-то в операционке не хватает? Что-то нужно доустановить? Или что-то отвалилось?
-
Может быть кто-нибудь сталкивался с подобным.
Помогите разобраться.
Если судить по логам, то кальмар каждую минуту выдает какую-то ошибку и перезапускается. При этом, в промежутках между перезапусками работает и даже кэширует страницы.
Почему это происходит?
Что за ошибка?
Обновил Squid до версии 2.5.STABLE12.
Не помогло!
Очистил и пересоздал кэш.
Не помогло!
Эта сволочь продолжает перезапускаться каждую минуту.
Причем, запись в логе, после которой происходит перезапуск не изменилась:
2006/01/21 21:00:03| assertion failed: StatHist.c:120: "Dest->scale == Orig->scale"
Куда же, все-таки, копать?
Linux RedHat 8.0, ядро 2.4.29, прокси прозрачный.
Вот лог:
2006/01/21 21:00:03| assertion failed: StatHist.c:120: "Dest->scale == Orig->scale"
2006/01/21 21:00:07| Starting Squid Cache version 2.5.STABLE12 for i686-pc-linux-gnu...
2006/01/21 21:00:07| Process ID 9695
2006/01/21 21:00:07| With 1024 file descriptors available
2006/01/21 21:00:07| Performing DNS Tests...
2006/01/21 21:00:07| Successful DNS name lookup tests...
2006/01/21 21:00:07| DNS Socket created at 0.0.0.0, port 34231, FD 6
2006/01/21 21:00:07| Adding nameserver 213.138.113.5 from squid.conf
2006/01/21 21:00:07| Adding nameserver 213.138.110.132 from squid.conf
2006/01/21 21:00:07| Unlinkd pipe opened on FD 13
2006/01/21 21:00:07| Swap maxSize 15360000 KB, estimated 960000 objects
2006/01/21 21:00:07| Target number of buckets: 13333
2006/01/21 21:00:07| Using 16384 Store buckets
2006/01/21 21:00:07| Max Mem size: 32768 KB
2006/01/21 21:00:07| Max Swap size: 15360000 KB
2006/01/21 21:00:07| Rebuilding storage in /var/spool/squid (DIRTY)
2006/01/21 21:00:07| Using Least Load store dir selection
2006/01/21 21:00:07| Current Directory is /
2006/01/21 21:00:07| Loaded Icons.
2006/01/21 21:00:07| Accepting HTTP connections at 0.0.0.0, port 3128, FD 15.
2006/01/21 21:00:07| Accepting ICP messages at 0.0.0.0, port 3130, FD 16.
2006/01/21 21:00:07| WCCP Disabled.
2006/01/21 21:00:07| Ready to serve requests.
2006/01/21 21:00:08| Done reading /var/spool/squid swaplog (65 entries)
2006/01/21 21:00:08| Finished rebuilding storage from disk.
2006/01/21 21:00:08| 65 Entries scanned
2006/01/21 21:00:08| 0 Invalid entries.
2006/01/21 21:00:08| 0 With invalid flags.
2006/01/21 21:00:08| 65 Objects loaded.
2006/01/21 21:00:08| 0 Objects expired.
2006/01/21 21:00:08| 0 Objects cancelled.
2006/01/21 21:00:08| 0 Duplicate URLs purged.
2006/01/21 21:00:08| 0 Swapfile clashes avoided.
2006/01/21 21:00:08| Took 0.6 seconds ( 114.3 objects/sec).
2006/01/21 21:00:08| Beginning Validation Procedure
2006/01/21 21:00:08| Completed Validation Procedure
2006/01/21 21:00:08| Validated 65 Entries
2006/01/21 21:00:08| store_swap_size = 556k
2006/01/21 21:00:08| storeLateRelease: released 0 objects
2006/01/21 21:01:07| assertion failed: StatHist.c:120: "Dest->scale == Orig->scale"
2006/01/21 21:01:11| Starting Squid Cache version 2.5.STABLE12 for i686-pc-linux-gnu...
Вот файл конфигурации:
# NETWORK OPTIONS
http_port 3128
# ssl_unclean_shutdown off
icp_port 3130
#htcp_port 4827
# udp_incoming_address 0.0.0.0
# udp_outgoing_address 255.255.255.255
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
#cache_peer hostname type http_port icp_port
#cache_peer_domain cache-host domain [domain ...]
# icp_query_timeout 0
# maximum_icp_query_timeout 2000
# mcast_icp_query_timeout 2000
# dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# OPTIONS WHICH AFFECT THE CACHE SIZE
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 8192 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 16 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
cache_dir ufs /var/spool/squid 15000 16 256
# cache_access_log /var/log/squid/access.log
cache_access_log /dev/null
cache_log /var/log/squid/cache.log
# cache_store_log /var/log/squid/store.log
cache_store_log /dev/null
# cache_swap_log.00
# cache_swap_log.01
# cache_swap_log.02
emulate_httpd_log off
log_ip_on_direct on
# mime_table /usr/local/squid/etc/mime.conf
log_mime_hdrs off
pid_filename /var/run/squid.pid
debug_options ALL,1
log_fqdn off
# client_netmask 255.255.255.255
# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# ftp_user Squid@
ftp_passive on
ftp_sanitycheck on
# ftp_telnet_protocol on
# cache_dns_program /usr/local/squid/libexec/dnsserver
# dns_children 5
dns_retransmit_interval 10 seconds
dns_timeout 5 minutes
# dns_defnames off
dns_nameservers 213.138.113.5 213.138.110.132
hosts_file /etc/hosts
# diskd_program /usr/local/squid/libexec/diskd
unlinkd_program /usr/local/squid/libexec/unlinkd
# pinger_program /usr/local/squid/libexec/pinger
# redirect_children 5
# redirect_rewrites_host_header on
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# authenticate_cache_garbage_interval 1 hour
# authenticate_ttl 1 hour
# authenticate_ip_ttl 0 seconds
# OPTIONS FOR TUNING THE CACHE
# wais_relay_port 0
request_header_max_size 64 KB
request_body_max_size 0 KB
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 5 minutes
positive_dns_ttl 5 hours
negative_dns_ttl 5 minute
range_offset_limit 0 KB
# TIMEOUTS
# forward_timeout 4 minutes
connect_timeout 2 minutes
peer_connect_timeout 30 seconds
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 2 minutes
client_lifetime 1 day
half_closed_clients on
pconn_timeout 120 seconds
# ident_timeout 10 seconds
shutdown_lifetime 30 seconds
# ACCESS CONTROLS
#acl allow src "/usr/local/squid/etc/acl/allow.acl"
acl allow src 192.168.0.0/24
acl all src 0.0.0.0/0.0.0.0
acl our_networks src 192.168.0.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#acl FTP proto FTP
#always_direct allow FTP
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow our_networks
http_access allow allow
http_access deny all
icp_access allow allow
icp_access deny all
miss_access allow all
miss_access deny !allow
http_reply_access allow all
# ident_lookup_access deny all
# reply_header_max_size 20 KB
reply_body_max_size 0 allow all
# ADMINISTRATIVE PARAMETERS
# cache_mgr webmaster
# mail_program mail
cache_effective_user squid
cache_effective_group squid
visible_hostname localhost.localdomain
#unique_hostname HOST1.MYDOMAIN
#hostname_aliases HOST2.MYDOMAIN
# TRANSPARENT PROXY CONFIGURATION
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
# MISCELLANEOUS
# dns_testnames MYDOMAIN
logfile_rotate 10
#append_domain MYDOMAIN
tcp_recv_bufsize 0 bytes
memory_pools on
# memory_pools_limit 5 MB
forwarded_for on
log_icp_queries on
icp_hit_stale off
# minimum_direct_hops 4
# minimum_direct_rtt 400
# cachemgr_passwd disable all
store_avg_object_size 16 KB
store_objects_per_bucket 72
# client_db on
# netdb_low 900
# netdb_high 1000
# netdb_ping_period 5 minutes
query_icmp on
test_reachability off
buffered_logs off
reload_into_ims off
# acl FTP proto FTP
# always_direct allow FTP
icon_directory /usr/local/squid/share/icons
# global_internal_static on
# short_icon_urls off
error_directory /usr/local/squid/share/errors/English
maximum_single_addr_tries 5
# retry_on_error off
nonhierarchical_direct off
prefer_direct off
strip_query_terms on
coredump_dir none
# Leave coredumps in the first cache dir
#coredump_dir /var/spool/squid
# redirector_bypass off
ignore_unknown_nameservers on
client_persistent_connections on
server_persistent_connections on
# detect_broken_pconn off
# balance_on_multiple_ip on
pipeline_prefetch off
request_entities off
high_response_time_warning 0
high_page_fault_warning 0
high_memory_warning 0
store_dir_select_algorithm least-load
ie_refresh off
vary_ignore_expire off
sleep_after_fork 0
-
- Производился поиск статей только на русском языке, т.к. из иностранных я не знаю ни одного. С трудом смогу понять суть статьи (инструкции) на английском, если буду ее долго и напряженно изучать, но перелопатить такую кучу иностранной литературы… Увольте!
- Так как статей на русском языке на интересующую меня тему очень мало, а полного соответствия теме топика я, вообще, не нашел, то можно смело сделать вывод о том, что в нашей стране процент умных людей значительно выше чем за рубежом (просто не покупают это дерьмо!).
- Привожу обещанную статью (выдержки из дневника) об установке этого девайса:
4. Установка USB ADSL-модема (модем D-Link DSL-200)
4.1. Не удалась.
4.2. «USB ADSL модем, несомненно является отвратительнейшим из новомодных изобретений шайтана (после Windows 95®), ибо подключается к компьютеру мерзким и противоестественным путем, а именно через USB порт.» - вот фраза, которая мне попалась в недрах Интернета в ходе многодневных поисков ответа на вопрос: «как-же установить этот чертов девайс?», и которая точно отражает суть вещей.
4.3. После месяца плясок с бубном вокруг этого исчадия ада, оно было, в конце концов, торжественно сожжено на костре.
4.4. Был куплен ADSL модем с LAN-интерфейсом, полную инструкцию по установке которого я и привожу:
4.4.1. Установить еще одну сетевую карту;
4.4.2. Соединить ее патчкордом с соответствующим портом модема.
-
Обязательно напишу отчет о том как удалось победить этот девайс (если, конечно удастся). Может быть даже опишу все шаманские пляски вокруг этой железки. Правда тогда придется постить в другой форум - в юмор...
Ну, а насчет поиска... Может быть и не умею. Однако, могу заверить, что очень старался, но статьи с таким сочетанием (см. название топика) не нашел.
-
Да есть такая приблуда. Скачана с орущего пингвина и установлена. Вся беда в том, что в ней самой нет никаких настроек - логин, пароль и все... Т.е. все настройки нужно делать в драйвере (или где-то еще), а как установить,например нужную инкапсуляцию не понятно. И, вообще, много чего не понятно...
У меня модем появляется в системе, поднимается интерфейс tap0, при запуске той самой приблуды происходит соединение с провайдером. Более того пингуется мой спутниковый провайдер, пакет возвращается через спутник. Но на этом все радости кончаются. После трех - четырех команд "ping" интерфейс отваливается. А после попытки запустить браузер отваливается моментально. Причем пропадает напрочь USB порт. Можно вытащить модем вставить в другой порт USB и повторить все сначала с тем же результатом - отсыхает второй порт USB. Все..., порты кончились (у меня их два), все остальные побытки бесплодны. USB интерфейс теперь появится только после перезагрузки.
За ссылочку спасибо, сейчас попробую там что-нибудь найти на интересующую тему. Да и постил сюда в основном в надежде, что кто-нибудь кинет подходящую ссылку на статью или похожую тему в другой конфе из тех, что я не сумел сам найти. И еще в надежде, что мой пост подвигнет кого-нибудь написать статью или хотя бы короткую инструкцию о том, как он прикручивал этот девайс.
-
Помогите настроить ADSL соединение.
Нужно именно РРРоЕ (вот такой у нас провайдер!)
Ядро 2.4.18 (RedHat 8.0).
Кто сумел настроить этот девайс или знает как это делается поделитесь опытом.
Единственный драйвер, который я нашел под Линукс - eciadsl, но похоже в нем нет поддержки РРРоЕ.
Как выкрутится? Без поддержки корифеев с моим начальным образованием в Ленуксе это будет очень сложно...
Ошибка после обновления iptables
в Linux RedHat/Fedora Core/CentOS
Опубликовано
В том-то и вся фишка!
Поставил iptables-1.3.6, наложил на ядро 4 патча patch-o-matic версий:
ng-20040621 (первый)
ng-20040701 (второй)
ng-20041006 (просто один из сотни промежуточных)
ng-20081130 (последний)
Заново сгенерил ядро и переустановил iptables-1.3.6 - модуль statistic не появился.
Поставил iptables-1.4.2 сначала на пропатченное ядро (версия 2.4.34), потом и посто на новое, не патченное ядро (версии 2.4.37) - этот модуль есть.
Немнжко изменю постановку задачи:
1. Или как сделать, чтобы модуль statistic появился в версии
iptables-1.3.6 (т.е. какой патч нужно накладывать?),
2. или как мне без ошибок установить версию iptables-1.4.2 (похоже версии 1.4.х чем-то радикально отличаются от версий 1.3.х).