1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Линуксаводы!

Тема в разделе "Софт", создана пользователем gerodoth, 03.05.13.

  1. gerodoth

    gerodoth Активный участник

    8.192
    50
    нука, коллективный разум. пытаюсь дома настроить сервачок для всякого. сижу на билайне, поднял чутка скорость, а оно на л2тп работает, а не пппое. а роутер начал греться и вылетать, решил сделать сервачок, какраз выходные.
    итак. debian, iptables, squid. л2тп через задницу но поднялось. bind9. dhcpd, который теперь как-то длиннее называется. л2тп худо-бедно удалось поднять, правда пока через иксы. ладно. squid c iptables я уже поднимал в производственной сфере, взял оттуда конфиги, допилил под переменный айпишник.
    проблемы таковы: на самой тачке не работает нормально днс, а именно из адресной строки браузера не ищет в гугле, выдает ошибку днс. отключил bind9, дал днс напрямую провайдерские - не помогает.
    второе - на клиенте не открываются некоторые сайты. например форум волгоград. ошибка походу тоже в днс. но днс я уже и подсовывал свой, и гугла, и билайна - ниче не помогает. чяднт?
     
  2. icefrog

    icefrog Активный участник

    591
    0
    Если я правильно понял то у тебя трафик идет через squid, следовательно ему и нужно подсовывать DNS-ы
     
  3. электрик

    электрик Активный участник

    3.277
    33
    Если доходчиво ответиш, нафейхуа сквид при современных скоростях и анлиме, то я отвечу на остальные твои вопросы.
     
  4. OpenBoy

    OpenBoy Активный участник

    21.670
    0
    nslookup - тестирование днс, есть в любой ОС. К слову сказать - как подсовывали ДНС? Тест ошибки приведите в браузере (ну тупо номер).

    Включите запись логов уровня critical в ppp клиенте. Он может много чего любопытного там вам понаписать.

    Для некоторых сетей менее геморойно использовать mpd заместо штатных средств установки соединений. Хотя судя по стартопику количество геморроя волнует вас в последнюю очередь...))
     
  5. электрик

    электрик Активный участник

    3.277
    33
    icefrog, Через сквид не может идти весь трафик. оно не для того создавалось. dns запросы уж точно не через него.
    А вот правила iptables на "сервере" видимо хромают.
     
  6. gerodoth

    gerodoth Активный участник

    8.192
    50
    электрик, привычка-вторая натура. а вообще подумываю инет соседям продавать, тарифы под 80мб в доме есть, но мне по такой цене не нужны. а отношение метров на рубль с ростом тарифа растет. к тому же режу рекламу, ну и если с соседями мутить чтобы весь траффик не пожрали торрентами.
    nslookup все видит, резолвит нормально шлюз.
    правила действительно хромают, сквид пока вообще траффика не касается. но почему что-то работает а что-то нет - не втыкаю.

    ошибку не приведу, и конфиги пока не покажу, уехал из города.
     
  7. OpenBoy

    OpenBoy Активный участник

    21.670
    0
    шлюз резолвить не надо - он везде записан как IP.
    nslookup поможет отресолвить ИМЕНА. То есть после запуска этой утильки она вам подбросит командную строчку и список серверов которые будет использовать. Ей надо тупо скормить несколько имен сайтов в интернете, и посмотреть - выдаст ли она их IP. Если выдаст - значит все в порядке с днс.

    Вообще говоря из того что сказано, у вас либо проблемы с линком до провайдера, тоесть к примеру - соединение с ошибками и потерей кадров, либо проблема с иптаблес, с правилами.
     
  8. gerodoth

    gerodoth Активный участник

    8.192
    50
    шлюз в качестве днс-сервера все резолвит, имелось в виду. nslookupом и проверял.
    проблемы с провайдером не исключаются, но соображения такие:
    форум на самом шлюзе открывается. а на ноуте, подключенном через него - нет. притом как мне кажется были бы пролемы с провайдером - не открывался бы ниоткуда. с другой стороны были бы проблемы с iptables - не открывалось бы ничего, а открывается все остальное.

    еще одна проблемка. имею роутер DI624S. последнее обновление прошивки выходило емнип в 2007. не работает с l2tp, греется и зависает. хотел его подцепить к шлюзу и раздавать вайфаем инет, так беда такая - как только я ему прописываю инет статически (а не от провайдера) перестает пускать на веб-интерфейс. причем вайфай работает. первый раз думал глюк, сбросил, перезалил прошивку (слетает при сбросе), на втором разе такая же байда.
     
  9. электрик

    электрик Активный участник

    3.277
    33
    Без конфигов говорить не о чем. А статей как настроить шлюз на линупсе в сети море.
    Продавать нельзя. Для этого должна быть лицензия на телематику+передачу данных и сдан узел связи. Иначе вздрючат.
    Продавать услугу с проксиком вообще бред. Обычный NAT и в путь.
     
  10. gerodoth

    gerodoth Активный участник

    8.192
    50
    c прозрачным же, а продавать только соседним, до кого вайфай достанет
     
  11. OpenBoy

    OpenBoy Активный участник

    21.670
    0
    Возможно, вам пригодиится такая утилитка как tracert (Windows) или traceroute в линупсе.

    Вот пример использования:
    Так можно отследить некоторые проблемы по перемещению пакетов между узлами маршрутизации от вас до нужного вам сервера в интернете.
    Логично.
    Тут простая последовательность:
    1. проверить доступность сервера ДНС (на стороне провайдера )пингом по IP.
    2. Запустить nslookup и посмотреть сервер которым пользуеться браузер для ресолва:
    3. Скормить nslookup имя проблемного узла и посмотреть ответ:
    если нет ответа, попробовать попросить адрес проблемного узла у другого сервера ДНС, выше того которым пользуетесь, по иерархии:(указав его утилите nslookup командой server <ip_addr_upper_dns>),
    если ответа нет, попробывать сервер днс гугла (8.8.8.8).
    Если и он не отвечает, значит между вами и другими днс, есть узел (включая ваш собственный компьютер), на котором действуют ограничения фильтра пакетов, включающие запрет открытия соединений на 53 порт. тоессть в вашем случае это иптаблес.


    Если все ресолвится как надо. То трасерт в руки, как написано выше.

    ---------- Сообщение добавлено 05.05.2013 22:02 ----------

    если вы хотите интернет в складчину, то учтите что любой отказ или тормоза лягут на вашу совесть, а не на совесть провайдера. В этом случае намного эффективнее упростить организацию процесса на вашей стороне, чтобы не вносить лишних шансов на отказ связи.

    На вашем месте я бы поставил роутер обычный (меньше кушает электричества, надежнее домашнего компьютера), а зону покрытия обеспечил бы точками доступа в режиме повторителей

    Если ваш сосед не заплатит вовремя, прикройте ему доступ через пакетный фильтр роутера. Если соседей много, то есть вариант немного автоматизировать этот процесс.

    ---------- Сообщение добавлено 05.05.2013 22:08 ----------

    Купите другой, роутер с вайфаем счас можно рублей за 700-900 купить. Эти затраты быстро окупятся свободным временем освободившимся от ковыряний с прошивками, даже в том случае, если ваша проблема на том оборудовании которое уже есть, имеет решение с помощью напильника и такой то матери.

    ---------- Сообщение добавлено 05.05.2013 22:15 ----------

    хм, а кто у вас провайдер? помоему сейчас лимит у проводных сетей уже ушел в прошлое.
     
  12. icefrog

    icefrog Активный участник

    591
    0
    электрик, понятное дело что не может, но человек явно тестирует работоспособность по 80 порту.
     
  13. gerodoth

    gerodoth Активный участник

    8.192
    50
    OpenBoy, трассировку пробовал, с клиента недоступен один из серверов после билайновского. а когда пробую с самого шлюза - доступен.
    и днсы менял, оставлял только гугловский и только билайновские.
    хз, разве что циска, длинк то мой отваливается постоянно. да и вообще всем решениям которые стоят дешевле компа я не доваеряю в откащоустойчивости потому что они так себя не раз вели.
    имелось в виду канал весь загрузят. билайн провайдер.
    порт 8080, все сворачивю на него.
     
  14. reset

    reset Участник

    392
    0
    пингуй по цепочке, попробуй шлюз по-умолчанию попинговать.
    проверь еще раз нат, в иптаблес
     
  15. pm

    pm Активный участник

    788
    0
    Если L2TP настроен правильно, то
    sudo -i
    apt-get install unbound
    nano /etc/squid3/squid.conf
    найти dns_nameservers, прописать там 127.0.0.1

    PS. электрик, squid - для контроля.
     
  16. gerodoth

    gerodoth Активный участник

    8.192
    50
    сижу ковыряю. не знал что сквид 3 вышел, давно не ковырял.
    днс работает. гребет иптаблес. причем тот конфиг что хоть как-то работал уже похерен, а рабочий никак не соберу, у меня уже 4 варианта, все тыкаю по порядкуи ни один не пашет.

    ---------- Сообщение добавлено 07.05.2013 22:42 ----------

    писал длинный пост про то как что глючит, но пока вылавливал глюки они кончились, всем спасибо, заработало, буду тюнить теперь)
     
  17. gerodoth

    gerodoth Активный участник

    8.192
    50
    настраиваю по чучуть вечерами когда дите засыпает. инет от шлюза раздается роутером длинк по вайфаю. отловил такой глюк
    с шлюза:

    traceroute to google.ru (173.194.47.255), 30 hops max, 60 byte packets
    1 93-81-192-1.broadband.corbina.ru (93.81.192.1) 7.866 ms 7.849 ms 7.840 ms
    2 * * *
    3 62.141.100.113 (62.141.100.113) 7.810 ms 7.803 ms 7.795 ms
    4 81.211.84.11 (81.211.84.11) 43.783 ms 43.775 ms 72.14.212.22 (72.14.212.22) 43.768 ms
    5 216.239.47.147 (216.239.47.147) 43.761 ms 43.754 ms 43.746 ms
    6 173.194.47.255 (173.194.47.255) 43.738 ms 43.926 ms 43.869 ms

    ---------- Сообщение добавлено 09.05.2013 22:07 ----------

    с ноута:

    C:\Users\gerodoth>tracert google.ru

    Трассировка маршрута к google.ru [173.194.70.94]
    с максимальным числом прыжков 30:

    1 9 ms 9 ms 8 ms 192.168.1.1 -- это роутер
    2 16 ms 7 ms 3 ms DEBSRV [192.168.0.5] --это шлюз
    3 12 ms 17 ms 18 ms 93-81-192-1.broadband.corbina.ru [93.81.192.1]
    4 * * * Превышен интервал ожидания для запроса.
    5 54 ms 29 ms 38 ms 62.141.100.113
    6 53 ms 91 ms 49 ms 72.14.212.26
    7 101 ms 98 ms 100 ms 72.14.232.46
    8 298 ms 303 ms 307 ms 72.14.239.62
    9 210 ms 225 ms 253 ms 209.85.254.118
    10 * * * Превышен интервал ожидания для запроса.
    11 95 ms 99 ms 91 ms fa-in-f94.1e100.net [173.194.70.94]

    Трассировка завершена.


    в результате на гугл с ноута зайти не могу.

    ---------- Сообщение добавлено 09.05.2013 22:49 ----------

    вкурил
     
  18. colorprint

    colorprint Активный участник

    19.401
    1
    без лицензии - незаконная предпринимательская деятельность вообще-то :d
     
  19. gerodoth

    gerodoth Активный участник

    8.192
    50
    не ради наживы, просто жаба душит штуку отдавать за нормальный инет, которым пользуюсь по часу в день, а вайфай до первого этажа достает. да и врядле это будет, надо идти, договариваться, а я ленивый.
     
  20. gerodoth

    gerodoth Активный участник

    8.192
    50
    не, не разобрался.
    [​IMG]
    с клиента как видно шагов при трассировке больше. 2 до шлюза, но остается еще 3 лишних. гугл то открывается то нет. сквид не причем потому что https.
    в иптаблес есть

    $IPTABLES -A FORWARD -s $LAN_IP_RANGE -p TCP -m multiport --destination-port 25,110,443 -j ACCEPT
    $IPTABLES -A FORWARD -d $LAN_IP_RANGE -p TCP -m multiport --source-port 25,110,443 -j ACCEPT

    и

    $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
     
  21. OpenBoy

    OpenBoy Активный участник

    21.670
    0
    ты бы весь список вывел правил.

    Вообще говоря из указаной цепочки второе правило не совсем логичное, вместо него стоит использовать конструкцию которая разрешает обмен пакетами по уже установленным соединениям. примерно так: iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    Надо сказать, я сталкивался на работе с pf и ipfw, там язык правил более понятный и ясный. Потому что практически человечий.

    А еще, загляни в первую консоль, помоему в линупсе туда тоже всякие важные новости валятся. например сообщения ядра о странностях или ошибках работы драйвера сетевой карты. Пока правил от тебя в списке не видно, но предварительно можно сказать, что картина с перманентным пропаданием ответа от неких узлов, для проблем с пакетным фильтром не свойственна. Если с правилами чтото не так, то как правило картина устойчивая.
     
  22. gerodoth

    gerodoth Активный участник

    8.192
    50
    именно. ошибок нет.
    во первых у билайна гугл больная тема, и через железный роутер тоже временами подглючивает, но намного реже.
    во вторых через железку практически все работает (реже 2 раз в месяц глюк проявляется, не отловить)
    ну и в третьих до одного и того же билайновского шлюза все доходит, роутится по разному дальше.
     
  23. электрик

    электрик Активный участник

    3.277
    33
    Ну никакой девайс провайдера не обязан отвечать по icmp
    Провайдер волен роутить пакеты так, как считает нужным
    Возьмите листок и карандаш. Разрисуйте схемотично как куда у вас ходят пакеты. Думаю наступит просветление. Опять же по DENY правилам внимательнее.
    Прислушайтесь к openboy по поводу установленных соединений.
     
  24. gerodoth

    gerodoth Активный участник

    8.192
    50
    даже если дроп меняю на акцепт по умолчанию ничего не меняется
     
  25. OpenBoy

    OpenBoy Активный участник

    21.670
    0
    а вот тут вы зря...)

    ---------- Сообщение добавлено 12.05.2013 10:47 ----------

    отключите совсем, будет ясно
     
  26. gerodoth

    gerodoth Активный участник

    8.192
    50
    дак в iptables accept и есть отключение вроде как, таблицы то останутся.
     
  27. gerodoth

    gerodoth Активный участник

    8.192
    50
    сделал http://forum.ubuntu.ru/index.php?PHPSESSID=ffbcanshesl3lui13kbnnbnmr2&topic=193874.0
    не оно скорее всего, пускал в обход сквида
    сделал http://linuxforum.ru/viewtopic.php?id=12026&p=2
    незадолго до этого стало работать само, мониторю.

    ---------- Сообщение добавлено 12.05.2013 23:28 ----------

    не помогло

    ---------- Сообщение добавлено 13.05.2013 00:05 ----------

    а можт и помогло, поправил мту на всех интерфейсах в квартире, пока работает.
     
  28. электрик

    электрик Активный участник

    3.277
    33
    Покажите правила полностью.
    И ifconfig

    ---------- Сообщение добавлено 13.05.2013 09:49 ----------

    Вернитесь на землю. На клиентах то MTU зачем трогать?
     
  29. gerodoth

    gerodoth Активный участник

    8.192
    50
    на входном сетевом на шлюз и на вайфае, который железный роутер раздает со шлюза. на клиентах не трогал. все работает пока.
     
  30. pm

    pm Активный участник

    788
    0
    +1

    А вообще, прежде чем навешивать запрещающие правила и фильтры, сделай чтобы форвард нормально заработал.

    iptables --policy INPUT ACCEPT
    iptables --policy OUTPUT ACCEPT
    iptables --policy FORWARD DROP

    iptables --flush
    iptables -A FORWARD -s $LAN_IP_RANGE -o $INET_IFACE -j ACCEPT
    iptables -A FORWARD -i $INET_IFACE -d $LAN_IP_RANGE -j ACCEPT

    iptables -t nat --flush
    iptables -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    iptables -t nat -A POSTROUTING -s $LAN_IP_RANGE -j MASQUERADE

    Как-то так. TCPMSS должно помочь с MTU без подкручивания оного вручную.