BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Пн 19 дек, 2016 1:49 am 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 7
Всем привет.
С августа месяца стоит шлюз на freebsd, настраивал прозрачный сквид+ipfw. Обычно подключены 3 компьютера - 2 винда, 1 мак(ну и плюс бывают мобильные устройства по вай-фаю через роутер подключенный к сети).Через некоторое время начались непонятные проблемы с интернетом. Стал замечать, что при включении одного из компьютеров сетка просто ложится, пинги идут, торренты грузятся, а вот сайты не грузятся. Отключил сквид, но проблему это не решило, проблема периодически возвращается на место, это явно что-то с настройками шлюза или я уже не знаю куда копать(напрямую инет работает нормально, а через шлюз периодически не грузятся сайты).

Цитата:
last pid: 4385; load averages: 0.61, 0.47, 0.43 up 0+00:55:00 00:40:29
31 processes: 1 running, 30 sleeping
CPU: 0.0% user, 0.0% nice, 0.3% system, 0.3% interrupt, 99.4% idle
Mem: 24M Active, 456M Inact, 156M Wired, 90M Buf, 1281M Free
Swap: 809M Total, 809M Free



ipfw:
Код:
#sootvetstvie dinami4eskim pravilam
$cmd check-state

$cmd allow ip from any to any via lo0

#deny private world
#$cmd deny ip from any to 10.0.0.0/8 in via re0
$cmd deny ip from any to 172.16.0.0/12 in via re0
$cmd deny ip from any to 0.0.0.0/8 in via re0
$cmd deny ip from any to 192.168.0.0/16 in via re0
$cmd deny ip from any to 169.254.0.0/16 in via re0

#multicast
$cmd deny ip from any to 240.0.0.0/4 in via re0
#fragmentirovannie ICMP
$cmd deny icmp from any to any frag
#shirikoveshtelnii ICMP
$cmd deny log icmp from any to 255.255.255.255 in via re0
$cmd deny log icmp from any to 255.255.255.255 out via re0


#firewall
#squid
#$cmd allow all from me to any 80 out via $pif keep-state uid squid
#$cmd fwd 127.0.0.1,3128 tcp from $lannet to any 80 via re0

#NAT
$cmd divert natd ip from 192.168.0.0/16 to any out via re0
$cmd divert natd ip from any to 10.18.74.65 in via re0

#deny in through re0
#$cmd deny ip from 10.0.0.0/8 to any out via re0
$cmd deny ip from 172.16.0.0/12 to any out via re0
#$cmd deny ip from 192.168.0.0/16 to any out via re0
$cmd deny ip from 0.0.0.0/8 to any out via re0
$cmd deny ip from 169.254.0.0/16 to any out via re0
#multicast
$cmd deny ip from 224.0.0.0/4 to any out via re0
$cmd deny ip from 240.0.0.0/4 to any out via re0

#razreshaem soedinenia esli ystanovilis
$cmd allow tcp from any to any established
#VES ISHIDYASHII TRAFFIC
$cmd allow ip from $wanip to any out xmit re0


#DNS snarygi
$cmd allow udp from any 53 to any via re0
$cmd allow upd from any to any 53 via
#UDP dlya NTPD
$cmd allow udp from any to any 123 via re0


#FTP
$cmd allow tcp from any to $wanip 65 via re0
#SSH
$cmd allow tcp from any to $wanip 1725 via re0
#echo zaprosi ICMP
$cmd allow icmp from any to any icmptypes 0,8,11

#torrent
$cmd allow udp from any to any 62348 in via re0
$cmd allow udp from any to any 62348 out via re0

#allow all in home net
$cmd allow tcp from any to any via re1
$cmd allow udp from any to any via re1
$cmd allow icmp from any to any via re1

#deny all
#$cmd deny ip from any to any


Как и куда копать?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 11:45 am 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5060
Откуда: Москва
butamuh4er писал(а):
сетка просто ложится, пинги идут, торренты грузятся, а вот сайты не грузятся

Это не является адекватной диагностикой состояния сети. tcpdump в помощь чтобы сформулировать в чём именно заключается "не грузятся".


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 5:58 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 12 апр, 2005 1:14 pm
Сообщения: 106
Откуда: SPb
не очень хорошо понимаю, зачем вам нат и прозрачный сквид вместе - раз. натд плохо - два. и поиграю в телепата - очень похоже, что вы зарезали прохождение icmp пакетов о фрагментации - что очень похоже на наблюдаемую вами картину


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 7:40 pm 
Не в сети

Зарегистрирован: Ср 25 дек, 2013 11:52 pm
Сообщения: 27
Откуда: СПб
Это, конечно, IMHO. А зачем вообще squid при трех - пяти компах в сети?
Я бы понял его наличие в сетке с числом компов хотя бы более 10. А здесь?..


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 7:48 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5060
Откуда: Москва
Фильтрация, кэширование и аудит актуальны для любого количества клиентов.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 7:55 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 12 апр, 2005 1:14 pm
Сообщения: 106
Откуда: SPb
AMDmi3 писал(а):
Фильтрация, кэширование и аудит актуальны для любого количества клиентов.

Нормальный аудит и фильтрация пр прозрачном прокси не совсем полные. А полные чреваты mitm :)


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:09 pm 
Не в сети

Зарегистрирован: Ср 25 дек, 2013 11:52 pm
Сообщения: 27
Откуда: СПб
Цитата:
Фильтрация, кэширование и аудит актуальны для любого количества клиентов.


Если только использовать squid для parent control?
А если он не нужен, то на трех клиентах от кеша никакого проку не будет. Опять же - это IMHO.


Последний раз редактировалось walik55 Пн 19 дек, 2016 8:24 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:21 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5060
Откуда: Москва
arachnid писал(а):
Нормальный аудит и фильтрация пр прозрачном прокси не совсем полные. А полные чреваты mitm :)

Так и делают.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:24 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5060
Откуда: Москва
walik55 писал(а):
А если он не нужен, то на трех клиентах от кеша никакого прока не будет. Опять же - это IMHO.

Вы думаете о кэше только как средстве экономии трафика, но он ещё и средство уменьшения времени загрузки страниц - в этом смысле он имеет смысл и для единственного клиента.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:34 pm 
Не в сети

Зарегистрирован: Ср 25 дек, 2013 11:52 pm
Сообщения: 27
Откуда: СПб
AMDmi3 писал(а):
Вы думаете о кэше только как средстве экономии трафика, но он ещё и средство уменьшения времени загрузки страниц - в этом смысле он имеет смысл и для единственного клиента.

Давайте, каждый останется при своем мнении, а то мы как-то плавно скатываемся в offtop :)


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:47 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3240
Откуда: Харьков
butamuh4er, такое часто происходит когда интернет канал нестабилен, есть потери, как вариант плохой контакт или канал очень мал.

ещё такое может быть если канал не коммерческий, а домашний, который ради экономии на многих делится
проблема в том, что такой канал шейпится и поэтому такие косяки просто обязаны быть.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 20 дек, 2016 1:04 am 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 7
AMDmi3 писал(а):
butamuh4er писал(а):
сетка просто ложится, пинги идут, торренты грузятся, а вот сайты не грузятся

Это не является адекватной диагностикой состояния сети. tcpdump в помощь чтобы сформулировать в чём именно заключается "не грузятся".

Я смотрю на внутренний интерфейс и вижу запросы туда-сюда, которые проходят. От некоторых компов иногда лавина, но думаю они не могут так засорить канал (грузится все, кроме сайтов).
Цитата:
Вы думаете о кэше только как средстве экономии трафика, но он ещё и средство уменьшения времени загрузки страниц - в этом смысле он имеет смысл и для единственного клиента.

И плюс личный интерес в настройке и посмотреть как интернет с этим себя ведет, одно время было желание настроить временной доступ по маку, но нехватка времени и маленький опыт не позволили. И что вы так придрались, сейчас сквид не работает, а воз и ныне там.
Цитата:
такое часто происходит когда интернет канал нестабилен, есть потери, как вариант плохой контакт или канал очень мал

100мбит, периодически гружу на облака большие объемы, либо торренты. Проблема возникает периодически, я грешу что компы с виндой мусорят, но это личное предубеждение. Раньше все работало и я не знал бед, а сейчас черт знает что.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 26 дек, 2016 12:41 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1023
Откуда: Киев
не заметил результаті проверок:
- пинг роутера
- пинг соседних компов
- пинг шлюза провайдера
- пинг любого хоста в и-нете по IP (8.8.8.8 / 8.8.4.4)
- проверка работы DNS (nslookup mail.ru ; ping ya.ru)
- трасировка до любого хоста в сети

в файерволе временно "allow all" правило включали?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 26 дек, 2016 12:47 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1023
Откуда: Киев
Со сквидом был опыт, что если у него 1-н из прописанных ДНС-ов не работал, были проблемы.
Но это было давно ... На Сквид и-нет "доходит?".
В ограничения (лимиты соединений и ко) не упираетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Сб 31 дек, 2016 2:18 pm 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 7
olexande писал(а):
не заметил результаті проверок:
- пинг роутера
- пинг соседних компов
- пинг шлюза провайдера
- пинг любого хоста в и-нете по IP (8.8.8.8 / 8.8.4.4)
- проверка работы DNS (nslookup mail.ru ; ping ya.ru)
- трасировка до любого хоста в сети

в файерволе временно "allow all" правило включали?



1).
--- 192.168.0.1 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.336/0.381/0.425/0.031 ms
2).
--- 192.168.0.25 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.486/0.711/2.015/0.462 ms
3).
--- 10.18.74.254 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.254/2.860/9.525/2.798 ms
4).
--- 8.8.8.8 ping statistics ---
11 packets transmitted, 11 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.546/1.678/1.838/0.087 ms
5).
Server: 8.8.4.4
Address: 8.8.4.4#53

Non-authoritative answer:
Name: rambler.ru
Address: 81.19.82.10
Name: rambler.ru
Address: 81.19.82.8
Name: rambler.ru
Address: 81.19.82.11
Name: rambler.ru
Address: 81.19.82.9
6).
traceroute to google.com (173.194.122.238), 64 hops max, 52 byte packets
1 192.168.0.1 (192.168.0.1) 0.697 ms 0.311 ms 0.291 ms
2 * * *
3 * * *
4 core-m9-j1.speedynet.ru (178.215.79.45) 1.557 ms 1.507 ms 1.363 ms
5 10.18.255.254 (10.18.255.254) 0.939 ms 1.102 ms 0.940 ms
6 m9-co-asbr1-v4088.speedynet.ru (178.215.75.61) 1.219 ms 1.041 ms 1.104 ms
7 msk-ix-gw1.google.com (195.208.208.232) 2.549 ms 1.083 ms 1.056 ms
8 66.249.94.100 (66.249.94.100) 1.168 ms 1.202 ms 4.121 ms
9 72.14.252.22 (72.14.252.22) 1.831 ms 1.764 ms 1.642 ms
10 * * *
11 * * *


(и так в звездочках до 64 хопа).
На днях выяснил что провайдер подменяет DNS на свои, если пытаешься использовать сторонние. Ну и что-то с пряморукостью у провайдера - список блокировок Роскомнадзора у них не отображается, ну и в принципе блокируют что попало.
Проблема сейчас как-то периодически появляется-пропадает.
Я пробовал работать без фаервола вообще, ситуация не поменялась. Даже сторонний компьютер еще приносил и подключал.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 02 янв, 2017 2:45 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1023
Откуда: Киев
Какие DNS-ы используете? Провайдерские на клиентские ПК "передавать" пробовали?
При проблемах DNS'ы доступны? Отвечают?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 02 янв, 2017 8:20 pm 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 7
olexande писал(а):
Какие DNS-ы используете? Провайдерские на клиентские ПК "передавать" пробовали?
При проблемах DNS'ы доступны? Отвечают?

ДНС всякие пробовал. Гугловские 8.8.8.8 & 8.8.4.4, днс провайдера(раньше у провайдера собственные днс тупили сильно, потому перешел на гугловские). Сейчас проблема как-то периодически появляется, а раньше была постоянно. У меня практически постоянно не открывается google.com, а google.ru с первого раза всегда.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 02 янв, 2017 9:09 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1023
Откуда: Киев
Что со связью в такие моменты? DNS в частности. Кроме гугловских открытых DNS, есть еще много открытых ... Яндексовские, например.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 03 янв, 2017 5:09 am 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 7
olexande писал(а):
Что со связью в такие моменты? DNS в частности. Кроме гугловских открытых DNS, есть еще много открытых ... Яндексовские, например.

Может идти загрузка чего угодно(скачка документа, торрента, любого файла с интернета), а сайты при этом не открываться или открываться непольностью, то есть часть картинок может не загрузиться. Нет смысла писать сторонние, все равно переадресация делается. Знаю что можно как-то обойти переадресацию, но сейчас другая проблема.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 03 янв, 2017 1:52 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 578
butamuh4er писал(а):
Как и куда копать?

Написать рабочий набор правил для ipfw.
Т.к. с этим пока, похоже, непросто, сказать firewall_type="open" и понаблюдать за сложностями с тырнетом, если они будут.

`ipfw show` и `ipfw add 65534 deny log logamount 0 ip from any to any` и поиск по конфе Вам в помощь.

(попробуйте рисовать правила бо-ме унифицированно, хотя бы без явного упоминания физических интерфейсов;
если версия оси >= 10.0, забудьте про natd;
я бы пока не грешил на прова, тем более, таким странным образом, если в договоре не прописан явным образом запрет на использование сторонних серверов DNS;
в представленной версии правил ipfw ваш шлюз могут тупо бомбить снаружи по 53, 65, 123, 1725 портам;
ну и попробуйте найти ответные части для правил "#allow all in home net")


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Yahoo [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика