Пред история такова, допилив SmoothWall сделал такую конструкцию:
1. Green - сеть из нескольких машин, обычная 100 мб.
2. Purple - wifi плата, с внешней антенной накрывает округу 1~ км. На территории 3 Точки доступа Dlink 2100 AP. За которыми свои подсети 5 - 10 машин. Было настроено все работало:
DNS DHCP Прокси, Шейпер, и клиент dyndns.
Интернет приходил через PPPoE.
Все работало все были счастливы до того момента пока юзвери не попросии, дать доступ еще и в провайдерскую сеть, обдумывая как чего сделать я не опустив PPPoE, зачем то дал такую команду:
usr/sbin/dhcpcd -h eth1 - знаю сам дурак.
Вроде не чего странного не должно произойти было, но тут началось, вообщем пока разобрался и заставил работать пришлось поплясать с бубном, попутно был обнаружен полностью забитый раздел с логами.
Вообщем на данный момент, работает но!!:
После перезагрузки, PPPoE подъымается со второго раза, после подъема не прописывается шлюз по умолчанию, то есть мёд как бы есть но его как бы нет. Из веб интерфейса PPPoE невозможно перезапустить стало. Временно решается так: Перключаю тип красного интерфейса на статический, потом обратно, после чего все работает. Следствием немогу достучатся через инет на шлюз, ибо не обновляется инфа dyndns.
Сейчас заметил глюк с шейпером, он так же шейпит и красный интерфейс, то есть если без шейпера то качальщики садят канал, если с шейпером, то канал становится в 35% .
Не могу не как понять что же произошло, соответственно не могу понять что делать куда копать. Проблема еще заключается в попутных сложностях, мне реально доступно только вход с инета, либо вход через WIFI. То есть с инета работать проблемно, а через WIFI я ограничен батареей ноута. Ну и главное железка под боевой нагрузкой, если отрубается начинается вой у пользователей.
Вообщем хелп, дайте мыслей. Заранее спасибо всем откликнувшимся.
SmoothWall Express 3.0-polar-i386 (Need help!!)
Модератор: Модераторы разделов
-
Radist
- Сообщения: 161
- ОС: openSuSe 11, openSuSe 11.1
-
Radist
- Сообщения: 161
- ОС: openSuSe 11, openSuSe 11.1
Re: SmoothWall Express 3.0-polar-i386
Вообщем сделал так: зацепился на агрегат с ноута , снял анализы (состояние системы в двух состояниях).
Вобщем пока удалось локализовать несколько проблем.
1) Переодически система впадает в странное состояние когда разрешение DNS запроса происходит но страницы не грузятся, черезнекоторое время простоя приходит ответ от прокси что страница не может быть доставлена (включен прозрачный прокси ).
При этом работают IM клиенты.
Единственное что отличает эти два состояния это почему то разный набор правил файрвола:
Вот полностью набор правил после загрузки системы:
Если интернета нет то поменяв тип соединения на DHCP и вернув PPPoE назад начинает работать но вот эти строки пропадают:
Самое печальное, что совершенно не предсказуемо что произойдет после перезагрузки системы, толи все заработает толи придется шаманить с переключением типа соединения. Так же переодически впадает в ступор во время работы, есть предположение что после автоматического перезапуска PPPoE.
Подскажите хоть куда рыть? Я уже всю голову сломал. Спасибо.
Вобщем пока удалось локализовать несколько проблем.
1) Переодически система впадает в странное состояние когда разрешение DNS запроса происходит но страницы не грузятся, черезнекоторое время простоя приходит ответ от прокси что страница не может быть доставлена (включен прозрачный прокси ).
При этом работают IM клиенты.
Единственное что отличает эти два состояния это почему то разный набор правил файрвола:
Вот полностью набор правил после загрузки системы:
Код: Выделить всё
# Generated by iptables-save v1.3.7 on Thu Apr 30 18:49:26 2009
*mangle
:PREROUTING ACCEPT [13835:12177979]
:INPUT ACCEPT [386:64797]
:FORWARD ACCEPT [13442:12112761]
:OUTPUT ACCEPT [401:75725]
:POSTROUTING ACCEPT [13790:12185434]
:account - [0:0]
:portfwb - [0:0]
:postrouting-1 - [0:0]
:postrouting-2 - [0:0]
:prerouting-1 - [0:0]
:prerouting-2 - [0:0]
:trafficforward - [0:0]
:trafficoutput - [0:0]
:trafficpostrouting - [0:0]
-A PREROUTING -j portfwb
-A PREROUTING -j prerouting-1
-A PREROUTING -j prerouting-2
-A INPUT -j account
-A FORWARD -j account
-A FORWARD -j trafficforward
-A OUTPUT -j account
-A OUTPUT -j trafficoutput
-A POSTROUTING -j postrouting-1
-A POSTROUTING -j postrouting-2
-A POSTROUTING -j trafficpostrouting
-A account -j ACCOUNT --addr 192.168.2.0/24 --tname GREEN
-A account -j ACCOUNT --addr 192.168.3.0/24 --tname PURPLE
-A account -j ACCOUNT --addr 192.168.1.0/24 --tname RED
-A postrouting-1 -o eth0 -j RETURN
-A postrouting-1 -o ath0 -j RETURN
-A postrouting-2 -o ppp0 -j RETURN
-A postrouting-2 -o ippp0 -j RETURN
-A postrouting-2 -o eth1 -j RETURN
-A prerouting-1 -i eth0 -j RETURN
-A prerouting-1 -i ath0 -j RETURN
-A prerouting-2 -i ppp0 -j RETURN
-A prerouting-2 -i ippp0 -j RETURN
-A prerouting-2 -i eth1 -j RETURN
COMMIT
# Completed on Thu Apr 30 18:49:26 2009
# Generated by iptables-save v1.3.7 on Thu Apr 30 18:49:26 2009
*nat
:PREROUTING ACCEPT [50:3627]
:POSTROUTING ACCEPT [1:76]
:OUTPUT ACCEPT [10:647]
:MINIUPNPD - [0:0]
:im - [0:0]
:jmpim - [0:0]
:jmpp3scan - [0:0]
:jmpsip - [0:0]
:jmpsquid - [0:0]
:p3scan - [0:0]
:portfw - [0:0]
:portfw_post - [0:0]
:portfw_pre - [0:0]
:sip - [0:0]
:squid - [0:0]
-A PREROUTING -j portfw_pre
-A PREROUTING -j portfw
-A PREROUTING -i eth0 -j jmpsquid
-A PREROUTING -i ath0 -j jmpsquid
-A PREROUTING -i eth0 -j jmpim
-A PREROUTING -i ath0 -j jmpim
-A PREROUTING -i eth0 -j jmpp3scan
-A PREROUTING -i ath0 -j jmpp3scan
-A PREROUTING -i eth0 -j jmpsip
-A PREROUTING -i ath0 -j jmpsip
-A PREROUTING -i ppp0 -j MINIUPNPD
-A PREROUTING -i ippp0 -j MINIUPNPD
-A PREROUTING -i eth1 -j MINIUPNPD
-A POSTROUTING -j portfw_post
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ippp0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -m mark --mark 0x1 -j SNAT --to-source 192.168.2.1
-A POSTROUTING -m mark --mark 0x2 -j SNAT --to-source 192.168.3.254
-A jmpim -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpim -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpim -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpim -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpim -j im
-A jmpp3scan -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpp3scan -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpp3scan -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpp3scan -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpp3scan -j p3scan
-A jmpsip -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpsip -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpsip -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpsip -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpsip -j sip
-A jmpsquid -d 10.0.0.0/255.0.0.0 -j RETURN
-A jmpsquid -d 172.16.0.0/255.240.0.0 -j RETURN
-A jmpsquid -d 192.168.0.0/255.255.0.0 -j RETURN
-A jmpsquid -d 169.254.0.0/255.255.0.0 -j RETURN
-A jmpsquid -j squid
COMMIT
# Completed on Thu Apr 30 18:49:26 2009
# Generated by iptables-save v1.3.7 on Thu Apr 30 18:49:26 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [491:89189]
:MINIUPNPD - [0:0]
:advnet - [0:0]
:allows - [0:0]
:badtraffic - [0:0]
:block - [0:0]
:dmzholes - [0:0]
:ipblock - [0:0]
:ipsec - [0:0]
:outbound - [0:0]
:outgreen - [0:0]
:outorange - [0:0]
:outpurple - [0:0]
:portfwf - [0:0]
:secin - [0:0]
:secout - [0:0]
:siprtpports - [0:0]
:spoof - [0:0]
:timedaccess - [0:0]
:timedaction - [0:0]
:xtaccess - [0:0]
-A INPUT -i ppp0 -j ipblock
-A INPUT -i ippp0 -j ipblock
-A INPUT -i eth1 -j ipblock
-A INPUT -i ppp0 -j advnet
-A INPUT -i ippp0 -j advnet
-A INPUT -i eth1 -j advnet
-A INPUT -j portfwf
-A INPUT -i ppp0 -j spoof
-A INPUT -i ippp0 -j spoof
-A INPUT -i eth1 -j spoof
-A INPUT -j timedaccess
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ath0 -j ACCEPT
-A INPUT -j secin
-A INPUT -j block
-A INPUT -j LOG
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i ppp0 -j ipblock
-A FORWARD -i ippp0 -j ipblock
-A FORWARD -i eth1 -j ipblock
-A FORWARD -j portfwf
-A FORWARD -j secout
-A FORWARD -i eth0 -o eth0 -j ACCEPT
-A FORWARD -i ath0 -o ath0 -j ACCEPT
-A FORWARD -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o ppp0 -m state --state NEW -j outbound
-A FORWARD -o ippp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ippp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o ippp0 -m state --state NEW -j outbound
-A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth1 -m state --state NEW -j outbound
-A FORWARD -i ath0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o ath0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ath0 -o eth0 -j dmzholes
-A FORWARD -i eth0 -o ipsec0 -j ACCEPT
-A FORWARD -i ipsec0 -o eth0 -j ACCEPT
-A FORWARD -i ppp0 -o ! ppp0 -j MINIUPNPD
-A FORWARD -i ippp0 -o ! ippp0 -j MINIUPNPD
-A FORWARD -i eth1 -o ! eth1 -j MINIUPNPD
-A FORWARD -j LOG
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i eth0 -j ACCEPT
-A block -i ath0 -j ACCEPT
-A block -j xtaccess
-A block -i ppp0 -j ipsec
-A block -i ippp0 -j ipsec
-A block -i eth1 -j ipsec
-A block -i ppp0 -j siprtpports
-A block -i ippp0 -j siprtpports
-A block -i eth1 -j siprtpports
-A block -i ppp0 -p icmp -j ACCEPT
-A block -i ippp0 -p icmp -j ACCEPT
-A block -d 192.168.1.0/255.255.255.0 -i eth1 -p icmp -j ACCEPT
-A block -j badtraffic
-A ipsec -p udp -m udp --dport 500 -j ACCEPT
-A ipsec -p esp -j ACCEPT
-A ipsec -p ah -j ACCEPT
-A outbound -p icmp -j ACCEPT
-A outbound -j timedaccess
-A outbound -j allows
-A outbound -i eth0 -j outgreen
-A outbound -i ath0 -j outpurple
-A outgreen -j ACCEPT
-A outorange -j ACCEPT
-A outpurple -p tcp -m tcp --dport 80 -j ACCEPT
-A outpurple -p udp -m udp --dport 80 -j ACCEPT
-A outpurple -p tcp -m tcp --dport 443 -j ACCEPT
-A outpurple -p udp -m udp --dport 443 -j ACCEPT
-A outpurple -p tcp -m tcp --dport 800 -j ACCEPT
-A outpurple -p udp -m udp --dport 800 -j ACCEPT
-A outpurple -p tcp -m tcp --dport 8080 -j ACCEPT
-A outpurple -p udp -m udp --dport 8080 -j ACCEPT
-A outpurple -p tcp -m tcp --dport 21 -j ACCEPT
-A outpurple -p udp -m udp --dport 21 -j ACCEPT
-A outpurple -p tcp -m tcp --dport 115 -j ACCEPT
-A outpurple -p udp -m udp --dport 115 -j ACCEPT
-A secin -i ipsec0 -j ACCEPT
-A secout -i ipsec0 -j ACCEPT
-A spoof -s 192.168.2.0/255.255.255.0 -j DROP
-A spoof -s 192.168.3.0/255.255.255.0 -j DROP
-A timedaction -j RETURN
COMMIT
# Completed on Thu Apr 30 18:49:26 2009Если интернета нет то поменяв тип соединения на DHCP и вернув PPPoE назад начинает работать но вот эти строки пропадают:
Код: Выделить всё
-A im -p tcp -m tcp --dport 1863 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 5190 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 5050 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 6667 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 8074 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 5222 -j REDIRECT --to-ports 16667
-A im -p tcp -m tcp --dport 5223 -j REDIRECT --to-ports 16667Код: Выделить всё
-A p3scan -p tcp -m tcp --dport 110 -j REDIRECT --to-ports 8110
-A squid -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:800
-A squid -i ath0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.3.254:800Самое печальное, что совершенно не предсказуемо что произойдет после перезагрузки системы, толи все заработает толи придется шаманить с переключением типа соединения. Так же переодически впадает в ступор во время работы, есть предположение что после автоматического перезапуска PPPoE.
Подскажите хоть куда рыть? Я уже всю голову сломал. Спасибо.