LINUX.ORG.RU
ФорумAdmin

Глюк взаимодействия nat и mangle


0

0

Народ, может кто-нить чего подскажет. В iptables nat

*nat :PREROUTING ACCEPT [0:0]

-A PREROUTING -i eth0 -p tcp -m tcp --dport 17043 -j DNAT --to-destination 192.168.2.200-192.168.2.216:17043

-A PREROUTING -i eth0 -p tcp -m tcp --dport 61304 -j DNAT --to-destination 192.168.2.200-192.168.2.216:61304

-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.2.200-192.168.2.216:25

-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.2.200-192.168.2.216:110

-A PREROUTING -i eth0 -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.2.207:6881

-A PREROUTING -i eth0 -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.2.207:6881

-A PREROUTING -s 192.168.2.0/24 -p tcp --destination-port 80 -j REDIRECT --to-port 8080

:POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source 192.168.1.1

-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 110

-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 25

-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 61304

-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 17043

mangle

*mangle

-A PREROUTING -s 192.168.2.201 -j MARK --set-mark 102 -A PREROUTING -s 192.168.2.201 -j RETURN

-A PREROUTING -s 192.168.2.207 -j MARK --set-mark 103

-A PREROUTING -s 192.168.2.207 -j RETURN

-A PREROUTING -s 192.168.2.216 -j MARK --set-mark 104

-A PREROUTING -s 192.168.2.216 -j RETURN

Я настраиваю на систему htb, потому мангл мне желателен чтобы трафик шейпался корректно. В нате пробрасываю порты на почту,торрент и скайп потому как прокся сквид и легче пробросить чем пропустить их через него. Все работает вполне сносно, но возник странный глюк с почтой. Клиент - Громовая Птица. Так вот, мангл никак не воздействует на проброс портов для торрента и скайпа, все качает и все связывает. А вот почта на Громовую Птицу пробрасывается только при выключенном мангл, при включенном - висит. Система CentOS5.2. Может кто чего знает, это в общем некритично, но хотелось бы понять в чем баг, не люблю, когда не могу понять в чем дело


Re: Глюк взаимодействия nat и mangle

С ходу не видно криминала.

true_admin ★★★★★ ()

Re: Глюк взаимодействия nat и mangle

Покажите остальные правила iptables и правила htb.

Хотя мне совсем не понятен набор правил:

-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to-source 192.168.1.1
-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE 

Зачем MASQUERADE, если есть SNAT?

В этой кучке:
-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 110
-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 25
-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 61304
-A POSTROUTING -p TCP -o eth0 -j MASQUERADE --to-ports 17043 
ИМХО, будет работать только перевое правило, приводящее к тому, что все уходящие с eth0 пакеты будут иметь src-порт 110.

А это, если я правильно помню, будет натить каждую новую сессию на новый ip-адрес из диапазона и используется
для балансировки нагрузки, когда несколько серверов "прячутся" под одним ip-адресом:
-A PREROUTING -i eth0 -p tcp -m tcp --dport 17043 -j DNAT --to-destination 192.168.2.200-192.168.2.216:17043
-A PREROUTING -i eth0 -p tcp -m tcp --dport 61304 -j DNAT --to-destination 192.168.2.200-192.168.2.216:61304
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.2.200-192.168.2.216:25
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.2.200-192.168.2.216:110 

mky ★★★★★ ()
Ответ на: Re: Глюк взаимодействия nat и mangle от mky

Re: Глюк взаимодействия nat и mangle

По снату - там только маскарад, снат был сначала, потом его закомментировали, я просто поленился это удалить, пардон, что ввел в заблуждение. По куче - без двух последних строк скайпа не работает, а с ними - работает, значит не так. Когда я пробрасывал торрент - то пробрасывал его на конкретный компьютер, а порты скайпы и почты днатил на все рабочие айпи. Без маскарада портов на диапазон это не работало, а с маскарадом работало, и почта и все остальное. А с манглом именно почта работать не хочет (все остальное работает). Правда как раз ночью я доконфигурировал htb и расписал мангл на полностью сконфигурированный htb (мне htb вобщем важнее чем один только сандерберд), вроде htb stats показывает все нормально, может завтра приду и с этим тоже будет нормально. Если нет - то что конкретно из htb Вы хотите видеть? Строки компайла, статистики или сами конфиги?

olex ()
Ответ на: Re: Глюк взаимодействия nat и mangle от olex

Re: Глюк взаимодействия nat и mangle

Если htb вы настраивали через htb.init, то наверное, строки компайла. В общем хотелось бы увидеть то, что содержит команды "tc class", "tc filter", "tc qdisc".

И покажите остальные цепочки iptables, в первую очередь FORWARD таблицы filter.

И ещё, я правильно понял, что у вас на вашем компьютере запускается "Громовая Птица" и она должна просто подключиться к серверу провайдеру и какому другому? Просто не понятно, зачем DNAT --- идёт от вашего компьютера исходящее соединение в Инет, ну SNAT (MASQUERADE) его и все, должно хватать.

mky ★★★★★ ()
Ответ на: Re: Глюк взаимодействия nat и mangle от mky

Re: Глюк взаимодействия nat и mangle

В плане зачем пробрасывал dnat - стоит прокси-сервер сквид и весь трафик по 80 порту завернут на него, 25 и 110 сквид не пускает. Как и торрент, и скайп. Захотелось получить решение, потому и копал. А htb надо концептуально, его ставил после сквида и дната и получился такой казус с почтой (и что самое смешное - только с ней, с другим все нормально). что Вы просите сейчас дам, только вчера пришла в голову такая мысль: tc вроде понимает 16-ричную систему исчисления, а iptables - десятичную. Может в этом проблема? Но если так, то почему не по всем портам? Теперь коды

iptables -L -n -v

Chain INPUT (policy ACCEPT 689K packets, 288M bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 258K packets, 84M bytes)
pkts bytes target prot opt in out source destination

1008 60633 ACCEPT all -- * * 192.168.2.206 0.0.0.0/0

350K 250M ACCEPT all -- * * 192.168.2.207 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.209 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.203 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.202 0.0.0.0/0

36 2205 ACCEPT all -- * * 192.168.2.205 0.0.0.0/0

2019 132K ACCEPT all -- * * 192.168.2.204 0.0.0.0/0

388 48185 ACCEPT all -- * * 192.168.2.208 0.0.0.0/0

4374 226K ACCEPT tcp -- * * 0.0.0.0/0 192.168.2.207 tcp dpt:6881

12162 3269K ACCEPT udp -- * * 0.0.0.0/0 192.168.2.207 udp dpt:6881

0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.254 tcp dpt:6881

0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.254 udp dpt:6881

0 0 ACCEPT all -- * * 192.168.2.201 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.202 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.203 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.204 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.205 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.206 0.0.0.0/0

797 573K ACCEPT all -- * * 192.168.2.207 0.0.0.0/0

17 1655 ACCEPT all -- * * 192.168.2.208 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.209 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.210 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.211 0.0.0.0/0

4974 312K ACCEPT all -- * * 192.168.2.212 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.213 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.214 0.0.0.0/0

0 0 ACCEPT all -- * * 192.168.2.215 0.0.0.0/0

2520 282K ACCEPT all -- * * 192.168.2.216 0.0.0.0/0

0 0 DROP all -- * * 192.168.2.0/24 0.0.0.0/0


Chain OUTPUT (policy ACCEPT 738K packets, 473M bytes)
pkts bytes target prot opt in out source destination



# iptables -L -n -v -t nat
Chain PREROUTING (policy ACCEPT 60147 packets, 4792K bytes)
pkts bytes target prot opt in out source destination

0 0 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:17043 to:192.168.2.200-192.168.2.216:17043

0 0 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:61304 to:192.168.2.200-192.168.2.216:61304

3 144 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.2.200-192.168.2.216:25

0 0 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.2.200-192.168.2.216:110

986 48698 DNAT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6881 to:192.168.2.207:6881

70 6938 DNAT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:6881 to:192.168.2.207:6881

613 30924 REDIRECT tcp -- * * 192.168.2.0/24 0.0.0.0/0 tcp dpt:80 redir ports 8080


Chain POSTROUTING (policy ACCEPT 8266 packets, 609K bytes)
pkts bytes target prot opt in out source destination

8830 429K MASQUERADE tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 masq ports: 110

0 0 MASQUERADE tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 masq ports: 25

0 0 MASQUERADE tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 masq ports: 61304

0 0 MASQUERADE tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 masq ports: 17043

40338 3728K MASQUERADE all -- * ppp0 192.168.2.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 6874 packets, 527K bytes)
pkts bytes target prot opt in out source destination


olex ()
Ответ на: Re: Глюк взаимодействия nat и mangle от mky

Re: Глюк взаимодействия nat и mangle

Тут некоторые компьютеры имеют нули в маркировке, это нормально, они еще со вчерашнего дня просто не подключались к сети. Те, которые подключались, маркируют все как надо

# iptables -L -n -v -t mangle Chain PREROUTING (policy ACCEPT 1338K packets, 632M bytes) pkts bytes target prot opt in out source destination

0 0 MARK all -- * * 192.168.2.201 0.0.0.0/0 MARK set 0x66

0 0 RETURN all -- * * 192.168.2.201 0.0.0.0/0

378K 260M MARK all -- * * 192.168.2.207 0.0.0.0/0 MARK set 0x66

378K 260M RETURN all -- * * 192.168.2.207 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.213 0.0.0.0/0 MARK set 0x66

0 0 RETURN all -- * * 192.168.2.213 0.0.0.0/0

5099 781K MARK all -- * * 192.168.2.216 0.0.0.0/0 MARK set 0x66

5099 781K RETURN all -- * * 192.168.2.216 0.0.0.0/0

54918 8942K MARK all -- * * 192.168.2.204 0.0.0.0/0 MARK set 0x65

54918 8942K RETURN all -- * * 192.168.2.204 0.0.0.0/0

1700 200K MARK all -- * * 192.168.2.208 0.0.0.0/0 MARK set 0x65

1700 200K RETURN all -- * * 192.168.2.208 0.0.0.0/0

102 9001 MARK all -- * * 192.168.2.205 0.0.0.0/0 MARK set 0x67

102 9001 RETURN all -- * * 192.168.2.205 0.0.0.0/0

3185 323K MARK all -- * * 192.168.2.206 0.0.0.0/0 MARK set 0x67

3185 323K RETURN all -- * * 192.168.2.206 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.214 0.0.0.0/0 MARK set 0x67

0 0 RETURN all -- * * 192.168.2.214 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.202 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.202 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.203 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.203 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.209 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.209 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.210 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.210 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.211 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.211 0.0.0.0/0

8884 879K MARK all -- * * 192.168.2.212 0.0.0.0/0 MARK set 0x68

8884 879K RETURN all -- * * 192.168.2.212 0.0.0.0/0

0 0 MARK all -- * * 192.168.2.215 0.0.0.0/0 MARK set 0x68

0 0 RETURN all -- * * 192.168.2.215 0.0.0.0/0

Chain INPUT (policy ACCEPT 696K packets, 290M bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 642K packets, 342M bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 744K packets, 475M bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 1386K packets, 817M bytes) pkts bytes target prot opt in out source destination

olex ()
Ответ на: Re: Глюк взаимодействия nat и mangle от mky

Re: Глюк взаимодействия nat и mangle

Компайлы htb. Если кто увидит баги - буду признателен, чисто визуально все работает отлично, делит, выравнивает и т.д.

/sbin/htb compile

/sbin/tc qdisc del dev eth1 root

/sbin/tc qdisc add dev eth1 root handle 1 htb default 30 r2q 40

/sbin/tc qdisc del dev eth0 root

/sbin/tc qdisc add dev eth0 root handle 1 htb default 30 r2q 20

/sbin/tc class add dev eth1 parent 1: classid 1:2 htb rate 100Mbit

/sbin/tc class add dev eth1 parent 1:2 classid 1:05 htb rate 98Mbit prio 2

/sbin/tc qdisc add dev eth1 parent 1:05 handle 05 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip src 192.168.2.0/24 match ip dst 192.168.2.0/24 classid 1:05

/sbin/tc class add dev eth1 parent 1:2 classid 1:10 htb rate 1024Kbit ceil 2048Kbit prio 10

/sbin/tc qdisc add dev eth1 parent 1:10 handle 10 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip sport 22 0xffff classid 1:10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip sport 53 0xffff classid 1:10

/sbin/tc class add dev eth1 parent 1:2 classid 1:20 htb rate 1100Kbit ceil 2048Kbit prio 20

/sbin/tc qdisc add dev eth1 parent 1:20 handle 20 sfq perturb 10

/sbin/tc class add dev eth1 parent 1:20 classid 1:1011 htb rate 400Kbit prio 4

/sbin/tc qdisc add dev eth1 parent 1:1011 handle 1011 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.204 classid 1:1011

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.208 classid 1:1011

/sbin/tc class add dev eth1 parent 1:20 classid 1:1022 htb rate 900Kbit prio 3

/sbin/tc qdisc add dev eth1 parent 1:1022 handle 1022 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.201 classid 1:1022

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.207 classid 1:1022

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.213 classid 1:1022

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.216 classid 1:1022

/sbin/tc class add dev eth1 parent 1:20 classid 1:1033 htb rate 400Kbit prio 3

/sbin/tc qdisc add dev eth1 parent 1:1033 handle 1033 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.205 classid 1:1033

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.214 classid 1:1033

/sbin/tc class add dev eth1 parent 1:20 classid 1:1044 htb rate 348Kbit prio 5

/sbin/tc qdisc add dev eth1 parent 1:1044 handle 1044 sfq perturb 10

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.203 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.204 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.209 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.268.2.210 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.211 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.212 classid 1:1044

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.2.215 classid 1:1044

/sbin/tc class add dev eth1 parent 1:2 classid 1:30 htb rate 1100Kbit ceil 2048Kbit prio 30

/sbin/tc qdisc add dev eth1 parent 1:30 handle 30 sfq perturb 10

/sbin/tc class add dev eth0 parent 1: classid 1:2 htb rate 10Mbit ceil 10Mbit

/sbin/tc class add dev eth0 parent 1:2 classid 1:10 htb rate 20Kbps ceil 50Kbps prio 10

/sbin/tc qdisc add dev eth0 parent 1:10 handle 10 sfq perturb 10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dport 22 0xffff classid 1:10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dport 53 0xffff classid 1:10

/sbin/tc class add dev eth0 parent 1:2 classid 1:20 htb rate 256Kbit ceil 512Kbit prio 20

/sbin/tc qdisc add dev eth0 parent 1:20 handle 20 sfq perturb 10

/sbin/tc class add dev eth0 parent 1:20 classid 1:101 htb rate 100Kbit prio 4

/sbin/tc qdisc add dev eth0 parent 1:101 handle 101 sfq perturb 10 /sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 101 fw classid 1:101

/sbin/tc class add dev eth0 parent 1:20 classid 1:102 htb rate 200Kbit prio 3

/sbin/tc qdisc add dev eth0 parent 1:102 handle 102 sfq perturb 10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 102 fw classid 1:102

/sbin/tc class add dev eth0 parent 1:20 classid 1:103 htb rate 100Kbit prio 3

/sbin/tc qdisc add dev eth0 parent 1:103 handle 103 sfq perturb 10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 103 fw classid 1:103

/sbin/tc class add dev eth0 parent 1:20 classid 1:104 htb rate 100Kbit prio 5

/sbin/tc qdisc add dev eth0 parent 1:104 handle 104 sfq perturb 10

/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle 104 fw classid 1:104

/sbin/tc class add dev eth0 parent 1:2 classid 1:30 htb rate 256Kbit ceil 512Kbit prio 30

/sbin/tc qdisc add dev eth0 parent 1:30 handle 30 sfq perturb 10

olex ()
Ответ на: Re: Глюк взаимодействия nat и mangle от olex

Re: Глюк взаимодействия nat и mangle

У меня сейчас мало времени внимательно изучить все правила, попробую вечером.
Пока не совсем понятно, зачем нужно:

/sbin/tc filter add dev eth1 parent 1:0 protocol ip prio 100 u32 match ip src 192.168.2.0/24 match ip dst 192.168.2.0/24 classid 1:05

Это ограничение полосы данных, скачиваемых с сервера (192.168.1.1), или у вас машины
в локалке ходят друг к другу ходят через сервер?

У DNAT правил нулевые (практически нулевые) счетчики, аналогично в MASQRADE правилами, может они все таки не нужны:
3 144 DNAT       tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.2.200-192.168.2.216:25
0   0 DNAT       tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.2.200-192.168.2.216:110
0   0 MASQUERADE tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 masq ports: 25
хотя это ваше личное дело.

Тут ещё появился интерфейс ppp0, это куда?

А по поводу "Громовой птицы", она перестаёт работать при любом правиле в mangle или только если маркировать пакеты с этой машины, где она запущена?
И если для неё сделать исключение:
iptables -t mangle -I PREROUTING 1 -s 192.168.2.0/24 -p tcp --dport 110 -j ACCEPT
то будет работать?

И, кстати, у вас DNS-сервер запущен, или все резолвят имена с помощью DNS-сервера провайдера, и может 20 кбит/с не хватает для всех DNS-запросов (53 порт).

mky ★★★★★ ()
Ответ на: Re: Глюк взаимодействия nat и mangle от mky

Re: Глюк взаимодействия nat и mangle

Да, после запуска htb счетчики нулевые, это так, до этого я день перед этим поставил сквид, потом наладил почту, она полдня постояла рабочая, потом мангл и она перестала работать, наверное потому и на счетчиках нули. По правилу 1:05: я часто в локалке гоняю большие объемы информации между сервером и компьютером на винде и другие тоже имеют расшаренные через самбу диски на сервере,да и между собой могут швыряться чем попало, потому есть отдельное правило. Про "громовую птицу" - да, при любом правиле в мангл. Я сейчас так думаю, что порты маскарадятся на все компьютеры, потому как только я делаю марку айпи то под эту марку подходят и пакеты, которые по этому айпи идут через 25-ый и 110-ый порты.И на этом дополнительном уровне возникает какой-то конфликт передачи данных. После маркировки машина перестает понимать, как маскарадить порты, это так выглядит. И счетчики перестают работать. Сам маскарад нужен, потому как без мангл порты пробрасываются (если включить маскарад) и не пробрасываются (если его отключить). Тут мне интересен другой момент - скайповские порты 61304 и 17043 показывают нули на счетчиках, но сам скайп работает, а если выключить эти правила - работать перестает. Этого я пока не пойму, чего так. ДНС-ы у меня через провайдера, но для них выделен специальный канал вместе с ssh на 256 кбит, так что не думаю, что это проблема. Правило на предмет сделать в мангл исключение проверю, но для меня это не выход, потому как исключеные может вызвать глюки уже в работе htb, а вот это хуже. Я ж и с маркировкой начал баловаться потому, что нат поднят, а без маркировки натованый трафик htb при применении правила по айпи учитывать не будет. Я завтра проверю еще вот что:вынесу трафик с 25 и 110 порта в отдельную марку, в аштебе внесу в какой-то отдельный класс а разбрасывать натом и маскарадом буду пробовать уже маркированные пакеты. Может это сработает, во всяком случае сейчас цепочка марка по интерфейсу и айпи - проброс портов - машина не может определить маршрут, а я попробую марка отдельного пула портов - проброс уже маркированных пакетов отдельного пула. Может это сработает.

ppp тут отдельная тема, это сделано в рамках vpnssh, я могу его включать, могу выключать, но это никак не воздействует на общую ситуацию, я пробовал. Это сделано потому, что в Киеве есть понятие ua-ix зона, бесплатный обмен внутри ua-ix сетей. ppp я поднимаю, когда мне нужно пойти за ua-ix зону, для того, чтобы провайдер этого не видел и весь мой не ua-ix трафик считался им как трафик с vpn-сервера, который висит на интерфейсе ppp. Но на маршруты внутри между eth0 eth1 это не воздействует никак.

olex ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.