Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
30 ноября 2009 г. 22:12 пользователь Владимир Саломатин написал: mtu 1492 У меня mtu 1476 на ppp-соединении, работает нормально. -- С уважением, Ринат Биков. Если хочешь, чтобы человек делал то, что тебе нужно - цени его и сделай так, чтобы он ценил тебя... ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
Владимир Саломатин пишет: Хотя просто на статические соединения NAT отрабатывает нормально. Проблема только с pppoe. Я не очень понял написанное... Так какой у Вас выход наружу и что отрабатывает нормально? -- Rgrds, Andriy * email: dobr at iop dot kiev dot uaKyiv, Ukraine Phone: (380-44) 525-7824Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU * signature.asc Description: OpenPGP digital signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
Я не очень понял написанное... Так какой у Вас выход наружу и что отрабатывает нормально? Ковчег 5.0. соединение PPPoE Сам сервер, вообще все хорошо. squid на локальные тоже шоколадно. Ставлю NAT для локалки. ya.ru на локальных через NAT пингует. А большие пакеты не ходят. Браузеры не качают. APT не обновляет. Раньше такое было на других машинах. Давал команду iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Все работало. А сейчас нет. даже на локальной машине уменьшение MTU не спасает. Причем к другому провайдеру, где просто eth статический, NAT отрабатывает без проблем. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
МБ пров отлавливает изменение nat методом удара в лоб..то есть по изменению ttl? Владимир Саломатин пишет: Я не очень понял написанное... Так какой у Вас выход наружу и что отрабатывает нормально? Ковчег 5.0. соединение PPPoE Сам сервер, вообще все хорошо. squid на локальные тоже шоколадно. Ставлю NAT для локалки. ya.ru на локальных через NAT пингует. А большие пакеты не ходят. Браузеры не качают. APT не обновляет. Раньше такое было на других машинах. Давал команду iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Все работало. А сейчас нет. даже на локальной машине уменьшение MTU не спасает. Причем к другому провайдеру, где просто eth статический, NAT отрабатывает без проблем. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] анализатор netflow
В сообщении от 25 ноября 2009 17:41:47 автор Slava Dubrovskiy написал: В списке пакетов нашёл nfacct, но он без веб-интерфейса. Это не его задача. Его задача получать нетфлоу, аггрегировать по заданным критериям и складывать в какую либо базу (или хранить в памяти). Для получения отчетов существуют сторонние приложения. Вот список с www.pmacct.org: Настроил nfacct. В базу данные пишутся. Одно пока не понятно, как разделять потоки для разных интерфейсов и для разных цисок? В таблице заполняются поля: источник, назначение, порт источника, порт назначения, протокол, количество пакетов и количество переданной информации. Это замечательно, но как понять через какой интерфейс и какой циски это прошло?... Может мне кто-нибудь помочь с разъяснениями? Спасибо. -- С уважением, mailto: gusev@pkb.ru Влад Гусев icq: 153452402 начальник сектора телекоммуникаций и ТО отдела автоматизации тел: (8442) 562024 (вн.2121) ФКБ Петрокоммерц в г.Волгоградетел: +7-904-774-0333 signature.asc Description: This is a digitally signed message part. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
Владимир Саломатин пишет: Я не очень понял написанное... Так какой у Вас выход наружу и что отрабатывает нормально? Ковчег 5.0. соединение PPPoE Адрес всегда один и тот же или меняется? Сам сервер, вообще все хорошо. Ну значит само соединение поднимается. Если всё хорошо именно через него... squid на локальные тоже шоколадно. Ну а как это с PPPoE связанно? Ставлю NAT для локалки. ya.ru на локальных через NAT пингует. Уже хорошо. А большие пакеты не ходят. Браузеры не качают. APT не обновляет. Так уменьшайте mtu. Видать размерчик не тот... Раньше такое было на других машинах. Давал команду iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Все работало. А сейчас нет. даже на локальной машине уменьшение MTU не спасает. Причем к другому провайдеру, где просто eth статический, NAT отрабатывает без проблем. Это на той же машине? И одновременно с PPPoE? -- Rgrds, Andriy * email: dobr at iop dot kiev dot uaKyiv, Ukraine Phone: (380-44) 525-7824Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU * signature.asc Description: OpenPGP digital signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
Причем к другому провайдеру, где просто eth статический, NAT отрабатывает без проблем. Это на той же машине? И одновременно с PPPoE? Да, сервер подключен вообще к трем провайдерам. NAT отрабатывает при статическом подключении нормально. MTU там 1500 Только при pppoe такое происходит. Пробовал переставил iptables. Не помогло. В 4.0 server я такие подключения не раз настраивал и MTU меньше был. А тут уперлось. Или сам что-то дурю. Но кажется все испробовал. Брал настройки pppoe из 4.0 server копировал. NAT Ковчега сносил таблицы, оставлял только одну. пинги идут нормально, wget не качает. Соединяется, а качать не хочет. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] анализатор netflow
01.12.2009 14:28, Гусев В.Ю. пишет: В сообщении от 25 ноября 2009 17:41:47 автор Slava Dubrovskiy написал: В списке пакетов нашёл nfacct, но он без веб-интерфейса. Это не его задача. Его задача получать нетфлоу, аггрегировать по заданным критериям и складывать в какую либо базу (или хранить в памяти). Для получения отчетов существуют сторонние приложения. Вот список с www.pmacct.org: Настроил nfacct. В базу данные пишутся. Одно пока не понятно, как разделять потоки для разных интерфейсов и для разных цисок? В таблице заполняются поля: источник, назначение, порт источника, порт назначения, протокол, количество пакетов и количество переданной информации. Это замечательно, но как понять через какой интерфейс и какой циски это прошло?... Встречный вопрос: - а зачем? У вас через 2 циски ходят одинаковые пары IP? Если очень хочется, то это делается через pretag.map. Посмотрите примеры в pretag.map.example. ! ! A few examples sFlow-related. The format of the rules is the same of 'nfacctd' ones ! but some keys don't apply to it. Note that the format of 'pmacctd' rules differs. ! id=30 ip=192.168.1.1 id=31 ip=192.168.1.2 где IP это IP циски которая шлет netflow. При этом в aggregate нужно добавить tag Например так: aggregate: tag, src_host, dst_host чтобы в базу в поле agent_id писалось 30 для циски с ip=192.168.1.1 и 31 для ip=192.168.1.2 -- WBR, Dubrovskiy Vyacheslav smime.p7s Description: S/MIME Cryptographic Signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
192.168.1.2 локальная машина 91.144.134.30 внешний IP сервера IP 91.144.134.30.41113 93.158.134.8.http: S 3177273342:3177273342(0) win 5240 mss 40,nop,nop,sackOK,nop,wscale 7 IP 93.158.134.8.http 192.168.1.2.41113: S 1970114950:1970114950(0) ack 3177273343 win 8192 mss 216,nop,wscale 3,sackOK,eol 1. От чего такое малый MSS (40)? Вроде д.б. что-то около 1424 для PPPoE... 2. Откуда взялся серый IP получателя на внешнем интерфейсе? 00:17:34.644611 IP 192.168.1.2.41113 93.158.134.8.http: R 3177273439:3177273439(0) win 0 00:17:37.604735 IP 91.144.134.30.41113 93.158.134.8.http: . 0:48(48) ack 1 win 41 Вообще все смешалось - и белый и серый, каждый шлет что-то свое... У вас прокси прозрачный? 00:17:37.643433 IP 93.158.134.8.http 192.168.1.2.41113: . ack 97 win 1014 00:17:37.643567 IP 192.168.1.2.41113 93.158.134.8.http: R 3177273439:3177273439(0) win 0 00:17:43.606482 IP 91.144.134.30.41113 93.158.134.8.http: . 0:48(48) ack 1 win 41 00:17:43.645402 IP 93.158.134.8.http 192.168.1.2.41113: . ack 97 win 1014 00:17:43.645548 IP 192.168.1.2.41113 93.158.134.8.http: R 3177273439:3177273439(0) win 0 00:17:55.608012 IP 91.144.134.30.41113 93.158.134.8.http: . 0:48(48) ack 1 win 41 00:17:55.647201 IP 93.158.134.8.http 192.168.1.2.41113: . ack 97 win 1014 00:17:55.647335 IP 192.168.1.2.41113 93.158.134.8.http: R 3177273439:3177273439(0) win 0 00:18:19.603062 IP 91.144.134.30.41113 93.158.134.8.http: . 0:48(48) ack 1 win 41 00:18:19.642490 IP 93.158.134.8.http 192.168.1.2.41113: . ack 97 win 1014 00:18:19.642616 IP 192.168.1.2.41113 93.158.134.8.http: R 3177273439:3177273439(0) win 0 Ересь какая-то... -- Best regards, Pavel mail/xmpp: p2n-at-ya-dot-ru ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
192.168.1.2 локальная машина 91.144.134.30 внешний IP сервера IP 91.144.134.30.41113 93.158.134.8.http: S 3177273342:3177273342(0) win 5240 mss 40,nop,nop,sackOK,nop,wscale 7 IP 93.158.134.8.http 192.168.1.2.41113: S 1970114950:1970114950(0) ack 3177273343 win 8192 mss 216,nop,wscale 3,sackOK,eol 1. От чего такое малый MSS (40)? Вроде д.б. что-то около 1424 для PPPoE... 2. Откуда взялся серый IP получателя на внешнем интерфейсе? 00:17:34.644611 IP 192.168.1.2.41113 93.158.134.8.http: R 3177273439:3177273439(0) win 0 00:17:37.604735 IP 91.144.134.30.41113 93.158.134.8.http: . 0:48(48) ack 1 win 41 Вообще все смешалось - и белый и серый, каждый шлет что-то свое... У вас прокси прозрачный? Я уже сам засомневался. squid.conf при установке сразу заменил на свой. Думаю, вдруг правда записался где Прозрачный прокси. Сейчас только снес всю систему, переставил Ковчег. Squid вообще стороной обошел, ни прозрачный, ни такой. С чистого листа только прописывал правила в NAT. Ночего другого не тогал. iptables -t nat -A POSTROUTING -o ppp1 -s 192.168.1.0/24 -j MASQUERADE и такое пробовал iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to XX.XX.XX.XX Адрес внешний статический. Очистил NAT iptables -t nat -F iptables -F Сново правила NAT. Все тоже как было. На сервере все отлично. А слокальной пробую: $ tracepath 193.1.193.64 1: 192.168.1.2 (192.168.1.2) 0.213ms pmtu 1350 1: myseif.myseif.ru (192.168.1.254) 0.529ms 1: myseif.myseif.ru (192.168.1.254) 0.592ms 2: net132.144.91-222.chel.ertelecom.ru (91.144.132.222) 2.834ms asymm 3 3: net132.144.91-202.chel.ertelecom.ru (91.144.132.202) 2.376ms пошли а даже APT обновить не могу # apt-get update 16% [Logging in] [Logging in]^C В это время на сервере: # tcpdump -n -i ppp1 -l | tee tmp.log tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 01:01:50.920490 IP 91.144.134.30.48828 194.107.17.7.ftp: S 1511068115:1511068115(0) win 5240 mss 1310,nop,nop,sackOK,nop,wscale 7 01:01:50.957203 IP 194.107.17.7.ftp 192.168.1.2.48828: S 457915355:457915355(0) ack 1511068116 win 5840 mss 1460,nop,nop,sackOK,nop,wscale 7 01:01:50.957352 IP 91.144.134.30.48828 194.107.17.7.ftp: . ack 457915356 win 41 01:01:50.970309 IP 91.144.134.30.46353 193.1.193.64.ftp: S 1507566550:1507566550(0) win 5240 mss 1310,nop,nop,sackOK,nop,wscale 7 01:01:50.996005 IP 194.107.17.7.ftp 192.168.1.2.48828: P 1:66(65) ack 1 win 46 01:01:50.996161 IP 192.168.1.2.48828 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0 01:01:51.083918 IP 193.1.193.64.ftp 192.168.1.2.46353: S 2667208159:2667208159(0) ack 1507566551 win 5840 mss 1460,nop,nop,sackOK,nop,wscale 7 01:01:51.084066 IP 91.144.134.30.46353 193.1.193.64.ftp: . ack 2667208160 win 41 01:01:51.201035 IP 193.1.193.64.ftp 192.168.1.2.46353: P 1:7(6) ack 1 win 46 01:01:51.201166 IP 192.168.1.2.46353 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0 01:01:53.999148 IP 194.107.17.7.ftp 192.168.1.2.48828: P 1:66(65) ack 1 win 46 01:01:53.999387 IP 192.168.1.2.48828 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0 01:01:54.197410 IP 193.1.193.64.ftp 192.168.1.2.46353: P 1:7(6) ack 1 win 46 01:01:54.197650 IP 192.168.1.2.46353 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0 01:01:59.78 IP 194.107.17.7.ftp 192.168.1.2.48828: P 1:66(65) ack 1 win 46 01:02:00.000392 IP 192.168.1.2.48828 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0 01:02:00.206962 IP 193.1.193.64.ftp 192.168.1.2.46353: P 1:7(6) ack 1 win 46 01:02:00.207310 IP 192.168.1.2.46353 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0 Чудес не бывает, не верю. Но все-таки что это может быть? ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
Сейчас только снес всю систему, переставил Ковчег. Squid вообще стороной обошел, ни прозрачный, ни такой. С чистого листа только прописывал правила в NAT. Ночего другого не тогал. а если только service iptables restart iptables -t nat -F iptables -F echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o ppp1 -j SNAT --to-source 91.144.134.30 iptables -n -L -v iptables -n -L -v -t nat ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
а если только service iptables restart iptables -t nat -F iptables -F echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o ppp1 -j SNAT --to-source 91.144.134.30 iptables -n -L -v iptables -n -L -v -t nat [r...@myseif ~]# iptables -n -L -v Chain INPUT (policy ACCEPT 184K packets, 26M bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 1126 packets, 353K bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 187K packets, 29M bytes) pkts bytes target prot opt in out source destination [r...@myseif ~]# iptables -n -L -v -t nat Chain PREROUTING (policy ACCEPT 3244K packets, 3307M bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 14896 packets, 1163K bytes) pkts bytes target prot opt in out source destination 176 SNAT all -- * ppp10.0.0.0/00.0.0.0/0 to:91.144.134.30 Chain OUTPUT (policy ACCEPT 14551 packets, 976K bytes) pkts bytes target prot opt in out source destination На локальной машине: [v...@rabst ~]$ tracepath 193.1.193.64 1: 192.168.1.2 (192.168.1.2) 1.372ms pmtu 1500 1: myseif.myseif.ru (192.168.1.254) 4.922ms 1: myseif.myseif.ru (192.168.1.254) 0.948ms 2: myseif.myseif.ru (192.168.1.254) 0.736ms pmtu 1476 2: net132.144.91-222.chel.ertelecom.ru (91.144.132.222) 3.381ms asymm 3 3: net132.144.91-202.chel.ertelecom.ru (91.144.132.202) 2.294ms 4: border.chel.ertelecom.ru (91.144.132.73) 2.480ms asymm 5 5: net132.144.91-154.chel.ertelecom.ru (91.144.132.154) 4.297ms asymm 6 6: 90.150.3.201 (90.150.3.201)2.838ms 7: 10.233.10.29 (10.233.10.29)3.487ms asymm 9 8: 10.233.10.13 (10.233.10.13)3.801ms asymm 9 9: 90.150.3.194 (90.150.3.194)3.029ms 10: 90.150.3.193 (90.150.3.193) 35.012ms asymm 9 11: 217.115.84.225 (217.115.84.225)3.344ms asymm 7 12: 87.226.142.165 (87.226.142.165) 36.805ms 13: xe-1-3-0.lndn-ar1.intl.ip.rostelecom.ru (87.226.133.130) 102.925ms 14: ldn-b3-link.telia.net (213.248.79.121)97.846ms asymm 19 15: ldn-bb1-link.telia.net (80.91.249.171)97.862ms asymm 18 16: dln-b3-link.telia.net (80.91.249.134)108.032ms asymm 19 17: heanet-ic-126792-dln-b3.c.telia.net (213.248.88.10) 114.248ms asymm 14 18: te5-1-blanch-sr1.services.hea.net (193.1.236.2) 114.753ms asymm 14 19: te5-1-blanch-sr1.services.hea.net (193.1.236.2) 114.830ms !H Resume: pmtu 1476 При попытках запустить APT [r...@rabst ~]# apt-get update Err ftp://ftp.altlinux.org noarch release Connection timeout Err ftp://ftp.heanet.ie noarch release Connection timeout [IP: 193.1.193.64 21] Err ftp://ftp.altlinux.org i586 release Connection timeout Err ftp://ftp.heanet.ie i586 release Connection timeout [IP: 193.1.193.64 21] Failed to fetch ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.1/branch/noarch/base/release Connection timeout Failed to fetch ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.1/branch/i586/base/release Connection timeout Failed to fetch ftp://ftp.heanet.ie/mirrors/ftp.altlinux.org/4.1/branch/noarch/base/release Connection timeout [IP: 193.1.193.64 21] Failed to fetch ftp://ftp.heanet.ie/mirrors/ftp.altlinux.org/4.1/branch/i586/base/release Connection timeout [IP: 193.1.193.64 21] Reading Package Lists... Done Building Dependency Tree... Done W: Release files for some repositories could not be retrieved or authenticated. Such repositories are being ignored. W: You may want to run apt-get update to correct these problems E: Some index files failed to download, they have been ignored, or old ones used instead. А в это время на сервере: [r...@myseif ~]# tcpdump -n -i ppp1 -l | tee tmp.log tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 08:35:02.388481 IP 91.144.134.30.56317 194.107.17.7.ftp: S 1001436989:1001436989(0) win 5240 mss 1310,nop,nop,sackOK,nop,wscale 7 08:35:02.424449 IP 91.144.134.30.58558 193.1.193.64.ftp: S 1002196311:1002196311(0) win 5240 mss 1310,nop,nop,sackOK,nop,wscale 7 08:35:04.224451 IP 222.122.205.2.53645 91.144.134.30.ssh: F 3860845055:3860845055(0) ack 2372331913 win 46 08:35:04.224493 IP 91.144.134.30.ssh 222.122.205.2.53645: R 2372331913:2372331913(0) win 0 08:35:05.385524 IP 91.144.134.30.56317 194.107.17.7.ftp: S 1001436989:1001436989(0) win 5240 mss 1310,nop,nop,sackOK,nop,wscale 7 08:35:05.420765
Re: [Sysadmins] Сервер сетевых установок в Ser ver 5.0
21 ноября 2009 г. 13:41 пользователь Vladimir Scherbaev zem...@volgograd.ru написал: Добрый день. Попробовал установить Server 5.0 в виртуальную машинку. Интересует в частности сервер сетевых установок. Добавил образ с дистрибутивом. Рядом создал ещё одну виртуальную машинку. Запускаю её и в качестве boot device ставлю lan. Никакой загрузки не происходит. Что я делаю не так? И может где-то это описано? Совсем никаких мыслей? -- With Best Regards, Vladimir Scherbaev ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins