handler
-
Постов
286 -
Зарегистрирован
-
Посещение
Никогда
Сообщения, опубликованные handler
-
-
вы правы следвало написать -A FORWARD -j QUEUE
однако я не уверен что таким образом мы передали контоль трафика netams хотя бы потому что правило
unit host name ... bw 128K ...
не работает
-
OC Fedora 10 + iptables + netams
сейчас роутингом занимается iptables а netams ведет сбор статистики
имеем адрес в локальной сети a.b.c.d
переводим роутинг этого хоста на netams:
iptables -t mangle -A POSTROUTING -s a.b.c.d -j QUEUE
iptables -t mangle -A PREROUTING -d a.b.c.d -j QUEUE
netams.cfg
policy name ip target proto ip
restrict all drop local pass
unit host name tets ip a.b.c.d acct-policy ip
интернет пропал - что я сделал не так?
-
service NetworkManager stop
service network start
or
ntsysv
-
Здравствуйте!
Все очень просто:
Имеем роутер под федорой и набором правил iptables - все работает
Решил испытать новые правила, для чего присвоил тестовой машине из локалки адрес "A.D.D.R" и в консоли набираю:
# iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT //отправляем пакеты наружу
# iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED -j ACCEPT //Принимаем пакеты снаружи
# iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT --to $EXT_IP
# ping $EXT_IP //ходит нормально, даже ходит на противоположный адрес за роутером а интернета нет
-
Здравствуйте!
Имеем Fedora10 и 4 сетевых карты, одна из которых смотрит в локаль, а три остальные - наружу в интернет.
К 2 из трех внешних сетевых подключены адсл-модемы длинк 2500U, а к третьей подключен балансировщик длинк, имеющий два адсл-модема на выходе.
итого получаем четыре адсл-модема на три сетевые карты:
adsl1 <--->
|--->LoadBalance(Dl-LB604) <---> eth1
adsl2 <--->
adsl3 <-------------------------------------------> eth2
adsl4 <-------------------------------------------> eth3
раньше было по одному модему на каждую сетевую, потом добавился еще один модем и пришлось поставить балансировщик - это я к тому что правила форвардинга и роутинга работают правильно, но, как только мы поставили балансировщик, он начал виснуть в произвольные промежутки времени, причем в логах у него я с удивлением обнаружил, что в него приходят пакеты как из локальной сети, так и из сетевых интерфейсов 3 и 4.
Пакеты левые он, естественно, отбрасывает, но, видимо, в конце концов они его вешают.
Возможно, правила форвардинга имеют ошибки, но, даже если допустить, что форвардинг дает бока, то как раньше работал модем до балансировщика.
Неужели возможно что пакеты проскакивают сквозь правила и как сказать балансировщику вести себя либерально по отношению к левым пакетам а не умирать?
-
в любом случае стоит рабочий сервер и обслуживает клиентов, к тому же понадобилось время на изучения инструментов управления трафиком и Вы предлагаете все перечеркнуть и начать все заново? Оригинально!
-
будет Вам наука на будущее
заодно, возможно, изобретете методы восстановления перезаписанных данных - денеГ заработаете
-
c DNS разобрался
по поводу сетевых - у меня Fedora
-
сервер работает на линуксе нестандартной сборки и установка нового ПО сопряжена с великими трудностями и потому было принято решение установить стандартній дистрибутив линукс и перенести конфигурационные файлы и файлы скриптов на новую систему. В связи с эти у меня возникло три вопроса, которые я решил развязать прежде, т к времени на переустановку системы и перенос конфигов минимум:
1 У меня 4 сетевые карты: где хрянится информация о настройках карты? (во фре все было в одном файле /etc/rc.conf)
2 В каком файле хранится днс-зона? (во фре все просто - /etc/named.conf и в нем имя второго файла с описанием МХ-записей а в линуксе named.conf отличается)
3 имеются ли дистрибутивы с полной поддержкой iptables? (patch-o-matic)
-
у меня сейчас ALT стоит - нет там ничего
-
Спасибо - я так понял что акроникс и есть ответ на вопрос т к я знаю что админы в крупных офисах ускоряют процесс установки таким образом только не знал деталей
теперь я знаю в какую сторону крпать
-
где-то слышал что процесс установки windоws на компьютер ускоряют простым копированием образа диска на винчестер и после перезагрузки получаем готовую рабочую систему
кто нибудь сталкивался с такой технологией?
-
я такого не нашел и думаю такого нет но я миогу ошибаться
-
прошу прощения - нашел ошибку в конфиге загрузчика - сейчас собираю в очередной раз ядро с поддержкой нужных модулей применил вышеуказанный патч но в конфиге ядра я их не нашел
-
почти то же что и у многоэтажного здания поменять фундамент
-
я бы с удовольствием но сообщение выдается в момент загрузки ядра так что есть только вариант бумажки и ручки
но дело не в ядре - это мабуть суть мои корявые руки меня беспокоит тот факт что заставить iptables работать со всеми ключями, описанными в мане для меня проблема целого месяца
кто-нибудь пользуется iptables не полную катушку?
-
скачал patch-o-matic и ядро c kernel.org - latest stable version
скомпилил установил ядро а оно не хочет грузиться - пишет что-то насчет файловой системы
про patch-o-matic я вообще молчу
может есть ядра с полной поддержкой iptables ( опция nth)--
-
И снова здравствуйте!
пишу балансировку в iptables на несколько каналов при помощи опции iptables ... -m nth...
для этого нужен патч patch-o-matic
ну как водится скачал его распаковал прочитал мануал к нему и на сайте порылся делаю по написаному:
#KERNEL_DIR=/usr/src/linux IPTABLES_DIR=/usr/src/iptables ./runme extra
предварительно скачал и распаковал исходники ядра и iptables в указанные мною директории
отметил нужные опции в том числе и nth
далее установщик говорит мне что надо пересобрать ядро и iptables
собираю исходники make menuconfig
потом правлю vi .config - вручную добавляю опции для поддержки iptables (вэяты из мануалов к iptables)
далее make dep bzImage modules modules_install
cp bzImage /boot/mykernel
vi /boot/grub/menu.lst
(сода вписываем наше новое ядро)
далее пересобираем iptables(./configure make make install)
и вес - перезагружаемся с новым ядром
iptables ... -m nth...
пишет не могу загрузить ядро для обработки данной опции
три дня собираю - ничего не помогает
решил попросить помощи у вас
-
мне нужно сказать фильтру чтобы отбирал все пакеты в которых адрес источника не есть такой а как это правильно сделать?
tc filter add dev eth0 protocol ip parent 1:0 u32 match ip src !192.168.0.1
так ругается
-
разобрался с проблемой - причина была в том что пакеты маркируются несколько раз
у меня маркируются для мультироутинга что-то вроде:
iptables -t mangle -A prerouting -s 1.1.1.1 -j mark --set-mark 20
iptables -t mangle -A output -p udp -m multiport --sport 137,138 -j mark --setmark 50
iptables -t mangle -A output -p tcp -m multiport --sport 139,445 -j mark --setmark 50
смотрим таблицу mangle:
9 360 MARK all -- * * 1.1.1.1 !1.1.1.2 MARK set 0x14
3 180 MARK udp -- * * 1.1.1.2 1.1.1.1 multiport sports 137,138 MARK set 0x32
45 784 MARK tcp -- * * 1.1.1.2 1.1.1.1 multiport sports 139,445 MARK set 0x32
пакеты маркируются но в фильтр не попадают
tc filter add dev eth0 protocol ip parent 1:1 handle 50 fw flowid 1:24
tc -s -d qdisc ls
qdisc sfq 24: dev eth0 parent 1:24 limit 127p quantum 1514b flows 127/1024 perturb 10sec
Sent 0 bytes 0 pkt (dropped 0, overlimits 0 requeues 0)
rate 0bit 0pps backlog 0b 0p requeues 0
Segmentation fault
а если создать пользователя с новім адресом и не маркировать для роутинга (--set-mark 20) тогда все работает
странно что первый вариант не работает там ведь маркировка идет по другому условию
-
tcpdump ничего про UDP не говорит - все TCP протокол
да и iptables -p tcp ... LOG --log-prefix "samba" выдает TCP PORT 139 вот я и подумал ...
хорошо попробую UDP
-
Whoa...I did a 'zcat /vmlinuz > /dev/audio' and I think I heard God...
-
маркирую пакеты в iptables:
iptables -t mangle -A postrouting -p tcp -m multiport --sports 137,138,139,445 -j mark --set-mark 10
пакеты маркируются нормально - смотрел ч/з:
iptables -t mangle -A postrouting -p tcp -m multiport --sports 137,138,139,445 -j log --log-prefix "samba"
а вот tc не стыкуется остается попробовать цепочку OUTPUT в iptables т к самба как локальное приложение (хотя что OUTPUT что POSTROUTING пакеты от локальных приложений одинаково проходят) и tc исправить на:
tc filter add ip protocol parent 1:0 handle 10 fw flowid 1:24
-
Здравствуйте!
tc шейпит трафик на внутреннем интерфейсе т к внешних интерфейсов несколько
в результате получается что мы ограничиваем полосу пропускания для всего трафика идущего к клиенту туда же попадает и трафик от самбы т е пользователи качают внутренние ресурсы на скорости внешнего трафика
прочитал статьи про tc там написано что нужно фильтровать по порту 138
tc class add dev eth0 parent 1:1 ckassid 1:10 htb rate 50mbit ceil 100mbit
tc qdisc add dev eth0 parent 1:10 handle 10: sfq perturb 10
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 138 0xffff flowid 1:10
не работает хотя класс очередь и фильтр создан и мы просматриваем его:
tc slass show dev eth0
tc qdisc show dev eth0
tc filter show dev eth0
как мне пропустить самбу на высокой скорости?
jabber-server
в Общий форум
Опубликовано
И снова здравствуйте!
oc - fedora 10 + jabberd2.2
router, s2s, c2s, sm - localhost 5222
start jabberd from root(user jabberd2 exist but can't start service)
start local client
Mar 1 15:43:57 server jabberd/router[1314]: [127.0.0.1, port=58834] connect
and nothig all
start remote client
Mar 1 15:45:26 server jabberd/c2s[1420]: [7] [192.168.111.1, port=3123] connect
Mar 1 15:45:26 server jabberd/c2s[1420]: [7] [192.168.111.1, port=3123] disconnect jid=unbound, packets: 0
server woking, client workig, htey talk betwen but nothing all