есть такая проблемка через два часа на маршрутизатор моей сети пинг с <1 ml повышаеться до 200-600 ml! но тут обнаружил что после перезапуска iptables всё становиться в норму!

нат

-A POSTROUTING -s 172.16.0.0/20 -o eth0 -j SNAT --to-source ххх.ххх.ххх.ххх

фильтра

-A INPUT -j RH-LINUX_INPUT

-A FORWARD -j RH-LINUX_FW

###Local Interface (lo) -A INPUT -i lo -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type echo-reply -d 10.10.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type echo-request -d 10.10.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type time-exceeded -d 10.10.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type timestamp-request -d 10.10.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p gre -s 10.10.0.1 -d 10.10.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p gre -s 10.10.0.4 -d 10.10.0.9 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p gre -s 10.10.0.6 -d 10.10.0.10 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p gre -s 192.168.0.9 -d 192.168.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -s 192.168.0.5 -d 192.168.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 80 -s 10.10.0.0/22 -d 10.10.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 443 -s 10.10.0.0/22 -d 10.10.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 22 -s 10.10.0.0/22 -d 10.10.0.8 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --sport 22 -s 10.10.0.8 -d 10.10.0.0/22 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -d хх.ххх.ххх.ххх -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p udp --sport 53 -d хх.хх.хх.ххх -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type echo-reply -d хх.хх.хх.ххх -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type echo-request -d хх.хх.хх.ххх -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type time-exceeded -d 82.207.70.114 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type timestamp-request -d 82.207.70.114 -i eth0 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 3306 -s 172.16.0.5 -d 172.18.50.50 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 3306 -s 172.18.50.21 -d 172.18.50.50 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 199 ! -s 172.18.50.21 -i gre10 -j REJECT

-A RH-LINUX_INPUT -d 172.18.50.20 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type echo-reply -d 172.18.50.50 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type echo-request -d 172.18.50.50 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type time-exceeded -d 172.18.50.50 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type timestamp-request -d 172.18.50.50 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p udp -d 172.18.50.50 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 8080 -d 172.18.50.50 -i gre10 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 199 ! -s 172.18.51.21 -i gre20 -j REJECT

-A RH-LINUX_INPUT -d 172.18.51.20 -i gre20 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type echo-reply -d 172.18.50.50 -i gre20 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type echo-request -d 172.18.50.50 -i gre20 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type time-exceeded -d 172.18.50.50 -i gre20 -j ACCEPT

-A RH-LINUX_INPUT -p icmp --icmp-type timestamp-request -d 172.18.50.50 -i gre20 -j ACCEPT

-A RH-LINUX_INPUT -p udp -d 172.18.50.50 -i gre20 -j ACCEPT

-A RH-LINUX_INPUT -p udp -d 172.18.50.50 -i gre30 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 80 -d 10.10.0.8 -i gre20 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 443 -d 10.10.0.8 -i gre20 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 8080 -d 172.18.50.50 -i gre20 -j ACCEPT

-A RH-LINUX_FW -m mark --mark 0x3 -s 172.18.51.21 -j ACCEPT

-A RH-LINUX_FW -m mark --mark 0x4 -d 172.18.51.21 -j ACCEPT

-A RH-LINUX_FW -m mark --mark 0x5 -s 172.18.52.21 -j ACCEPT

-A RH-LINUX_FW -m mark --mark 0x6 -d 172.18.52.21 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 199 ! -s 172.18.52.21 -i gre30 -j REJECT

-A RH-LINUX_INPUT -d 172.18.52.20 -i gre30 -j ACCEPT

-A RH-LINUX_INPUT -p tcp --dport 199 ! -s 195.5.46.201 -i gre40 -j REJECT

-A RH-LINUX_INPUT -d 195.5.46.200 -i gre40 -j ACCEPT

-A RH-LINUX_FW -d 10.10.0.0/22 -j REJECT

-A RH-LINUX_FW -s 10.10.0.0/22 -j REJECT

где грабли!! подкажите!

>>>

подружаться ети два правила или нет??

-A POSTROUTING -s 172.16.0.0/20 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx

-A POSTROUTING -s 172.16.0.0/20 -o gre30 -j SNAT --to-source xxx.xxx.xxx.xxx

xxx.xxx.xxx.xxx - ето ип интерфейсоф

>>>

у меня система сосотоит с двух серверов!!

1. vpn server 2. билинговый маршрутизатор они связаны gre тунелями через gre20 я пропускаю входяшие подключения и на маршрутизаторе режу трафик! на каждого пользователя

выглядет примерно так

start_gre2() { local DEV_OGR=$1 local R_VPN=4600 local C_VPN=1300 local QUANT=`/sbin/ip link show $DEV_OGR|grep "mtu"|awk {'print $5'}`

echo "Starting on dev - $DEV_OGR: shaper on ."

#DOWN-Link: ## root /sbin/tc qdisc add dev $DEV_OGR root handle 1: htb default ffff r2q 50 ## class /sbin/tc class add dev $DEV_OGR parent 1:0 classid 1:1 htb rate ${R_VPN}Kbit ceil ${C_VPN}Kbit prio 2

## default /sbin/tc class add dev $DEV_OGR parent 1:1 classid 1:ffff htb rate 30Kbit ceil 30kbit prio 8 quantum $QUANT /sbin/tc qdisc add dev $DEV_OGR parent 1:ffff handle ffff sfq perturb 10

#UP-Link: /sbin/tc qdisc add dev $DEV_OGR handle ffff: ingress

и ограничитель на пользователя

# индивидуальный ограничитель для каждого хоста R_CLI_128k=32 C_CLI_128k=256

#--- 172.16.1.52 --- #DOWN-Link /sbin/tc class add dev $DEV_OGR parent 1:1 classid 1:0134 htb rate ${R_CLI_128k}Kbit ceil ${C_CLI_128k}Kbit prio 6 quantum $QUANT /sbin/tc qdisc add dev $DEV_OGR parent 1:0134 handle 0134: sfq perturb 10 /sbin/tc filter add dev $DEV_OGR parent 1:0 protocol ip prio 70 u32 match ip dst 172.16.1.52 flowid 1:0134 #UP-Link #/sbin/tc class add dev $DEV_OGR parent 1:1 classid 1:96 htb rate ${R_CLI_128k}Kbit ceil ${C_CLI_128k}Kbit prio 6 quantum $QUANT #/sbin/tc qdisc add dev $DEV_OGR parent 1:96 handle 96: sfq perturb 10 /sbin/tc filter add dev $DEV_OGR parent 1:0 protocol ip prio 70 u32 match ip src 172.16.1.52 flowid 1:0134

и вот маленбкая проблема приходяший трафик обрезает до 256 а исходяший валит по полной програме!! точнее даже какбы шейпера на исходяший и не стоит!

помогите ткните пальцем!!

П.С. gre тонель стоит на eth0 а модем на eth1

>>>