Не идет трафик

[slavikdan 0]

Добрый день. Помогите плз. Стоит stg-2.405.9.8_STG-WEB на CentOS 5.2. Поднят VPN racoon между серваком и железкой ASUS SL 1200. Все работает, пользователи через туннель авторизуются, а вот трафик виден только исходящий. Смотрю по счетчикам IPTABLES - входящий есть. Снимаю трафик через MOD_CAP_ETHER. Когда коннекчусь не через туннель, то все отлично - весь трафик правильно показывает. В чем может быть проблема?

[madf 279]

Посмотри tcpdump'ом как ходят пакеты.

[slavikdan 0]

Отлично ходят, туннель работает.

 

Ща поставил через CAP_IPQ сбор трафика, заработало. Но вот трафик который идет на сам сервак - есть только входящий и по счетчикам его тоже нет, буду думать куда девается

 

правила вот такие

 

/sbin/iptables -t filter -A INPUT -s $ip -j QUEUE

/sbin/iptables -t filter -A FORWARD -s $ip -j QUEUE

/sbin/iptables -t filter -A FORWARD -d $ip -j QUEUE

/sbin/iptables -t filter -A OUTPUT -d $ip -j QUEUE

 

/sbin/iptables -t nat -A POSTROUTING -s $ip -j SNAT --to-source $ip_out

 

Может их надо в самое начало правил ставить?

[madf 279]

Отлично ходят, туннель работает.

 

Ща поставил через CAP_IPQ сбор трафика, заработало. Но вот трафик который идет на сам сервак - есть только входящий и по счетчикам его тоже нет, буду думать куда девается

 

правила вот такие

 

/sbin/iptables -t filter -A INPUT -s $ip -j QUEUE

/sbin/iptables -t filter -A FORWARD -s $ip -j QUEUE

/sbin/iptables -t filter -A FORWARD -d $ip -j QUEUE

/sbin/iptables -t filter -A OUTPUT -d $ip -j QUEUE

 

/sbin/iptables -t nat -A POSTROUTING -s $ip -j SNAT --to-source $ip_out

 

Может их надо в самое начало правил ставить?

Я имел в виде "как" не качественно, а количественно. С каких адресов и на какие. И на каком интерфейсе.

И вобще, обрисуй схему сети, т.к. не понятно что за "трафик который идет на сам сервак" и с какой стороны железка и каким боком там VPN приделан...

[slavikdan 0]

Я имел в виде "как" не качественно, а количественно. С каких адресов и на какие. И на каком интерфейсе.

И вобще, обрисуй схему сети, т.к. не понятно что за "трафик который идет на сам сервак" и с какой стороны железка и каким боком там VPN приделан...

 

Проблема решилась изменением правил, чтобы они ставились вначало правил

 

/sbin/iptables -t filter -I INPUT 1 -s $ip -j QUEUE

/sbin/iptables -t filter -I FORWARD 1 -s $ip -j QUEUE

/sbin/iptables -t filter -I FORWARD 1 -d $ip -j QUEUE

/sbin/iptables -t filter -I OUTPUT 1 -d $ip -j QUEUE

 

/sbin/iptables -t nat -A POSTROUTING -s $ip -j SNAT --to-source $ip_out

 

Схема сети следующая

 

Comp1 -> ASUS -> VPN (IPSEC + Racoon) -> Server

 

Походу когда снимается трафик через libcap - stargazer его не видит, т.к. он инкапсулируется. Обычный трафик выглядит так TCP/IP, UDP/IP, ICMP/IP, а при VPN IPSEC так TCP/ESP/IP, UDP/ESP/IP а внутри ESP он шифрованный. А когда он загоняется расшифрованный в QUEUE то все ок.

[feducha 0]

Настраиваю по документации http://stg.dp.ua/doc20/conf_libipq.html

 

Пункт 1. В файле make.linux меняем строки я не делаю, потому что такого в моем ядре нет.

 

Пунк -> Если у нас были скрипты, подобные тому, как описано в примере по настройке сервера под Linux, то скрипты изменятся заменой слова ACCEPT на QUEUE

Все ACCEPT заменил на QUEUE

 

Модули filter и queue загружены правила все применились.

Результат через QUEUE трафик у меня не идет, т.е сервер с СТГ не пингуется, авторизатор не конектится. Если делать через ACCEPT все "нормально".

Подскажите, что подкрутить нужно?

[madf 279]

Если у тебя в ядре нет поддержки ip queue то как у тебя срабатывают QUEUE-правила в iptables?

Естественно, если у тебя старгейзер не скомпилен с поддержко ipq - пакеты будут накапливаться в буфере и никуда не будут уходить.

[feducha 0]

Если у тебя в ядре нет поддержки ip queue то как у тебя срабатывают QUEUE-правила в iptables?

Естественно, если у тебя старгейзер не скомпилен с поддержко ipq - пакеты будут накапливаться в буфере и никуда не будут уходить.

 

Ядро собрано с queue

 

gate linux # grep QUEUE .config

CONFIG_POSIX_MQUEUE=y

CONFIG_NETFILTER_NETLINK_QUEUE=m

CONFIG_NETFILTER_XT_TARGET_NFQUEUE=m

CONFIG_IP_NF_QUEUE=m

CONFIG_NETDEVICES_MULTIQUEUE=y

 

 

я не делал вот это

1. В файле make.linux меняем строки:

 

# PF_PACKET capture

defines=-Dlinux -DTARIFF$(t)

 

#ilbipq capture

#defines=-Dlinux -DTARIFF$(t) -DCAPIPQ

 

на

 

# PF_PACKET capture

#defines=-Dlinux -DTARIFF$(t)

 

#ilbipq capture

defines=-Dlinux -DTARIFF$(t) -DCAPIPQ

 

2. make clean

3. make

 

СТГ

gate stargazer # ./build

#############################################################################

Building STG 2.4 for Linux

#############################################################################

Checking endianess... Big Endian

Checking for -lexpat... yes

Checking for -lfbclient... no

Checking for -lmysqlclient... yes

Checking for -lpq... no - как включить?

[madf 279]

Документация к ветке 2.0, сейчас уже нет файла make.linux

Модуль cap_ipq собирается автоматически - вместе с cap_ether.

Прописан ли он в конфиге?

[feducha 0]

Документация к ветке 2.0, сейчас уже нет файла make.linux

Модуль cap_ipq собирается автоматически - вместе с cap_ether.

Прописан ли он в конфиге?

 

Не был прописан, добавил

<Module cap_ipq>

</Module>

Это достаточно? СТГ запустился но пакеты так и не проходят в очередь попадают queue но не обрабатываются

[madf 279]

А по чем это видно?

[Watson 0]

Не был прописан, добавил

<Module cap_ipq>

</Module>

Это достаточно? СТГ запустился но пакеты так и не проходят в очередь попадают queue но не обрабатываются

выполни команду /sbin/modprobe ip_queue и пропиши в фаерволе чтоб загружался модуль ядар.Должно работать.

[feducha 0]

А по чем это видно?

Просто пингую

 

на сервере с СТГ

cat /proc/net/ip_queue

Peer PID : 0

Copy mode : 0

Copy range : 0

Queue length : 1024

Queue max. length : 1024

Queue dropped : 176

Netlink dropped : 0

[feducha 0]

выполни команду /sbin/modprobe ip_queue и пропиши в фаерволе чтоб загружался модуль ядар.Должно работать.

то что у меня загруженно

Module Size Used by

ipt_MASQUERADE 4224 1

xt_tcpudp 4096 16

iptable_nat 8900 1

nf_nat 21278 2 ipt_MASQUERADE,iptable_nat

nf_conntrack_ipv4 19792 2 iptable_nat

nf_conntrack 70448 4 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4

iptable_filter 3648 1

openpromfs 8840 1

ip_tables 20696 2 iptable_nat,iptable_filter

x_tables 21320 4 ipt_MASQUERADE,xt_tcpudp,iptable_nat,ip_tables

ip_queue 12440 0

tulip 53512 0

 

Не понимаю -> и пропиши в фаерволе чтоб загружался модуль ядар.Должно работать. - это что значит?

[feducha 0]

При запущенном СТГ пакеты попадают в очередь queue, что можно посмотреть в cat /proc/net/ip_queue.

После того как останавливаю СТГ очередь уже не растет.

[madf 279]

Хм, а у тебя прописан и cap_ether и cap_ipq? Или только cap_ipq?

[feducha 0]

Хм, а у тебя прописан и cap_ether и cap_ipq? Или только cap_ipq?

 

Приветствую!

 

gate fedor # cat /var/log/stargazer.log

2009-03-02 14:04:00 -- Stg v. Stg 2.405

2009-03-02 14:04:00 -- Message queue created successfully. msgKey=5555 msgID=32768

2009-03-02 14:04:00 -- Timer thread started successfully.

2009-03-02 14:04:00 -- Storage plugin: mysql_store v.0.67. Loading successfull.

2009-03-02 14:04:00 -- Users started successfully.

2009-03-02 14:04:00 -- Traffcounter started successfully.

2009-03-02 14:04:00 -- Module: 'ipq_cap v.1.1'. Start successfull. 0

2009-03-02 14:04:00 -- Module: 'CAP_NF v. 0.2'. Start successfull. 0

2009-03-02 14:04:00 -- Module: 'Ether_cap v.1.0'. Start successfull. 10

2009-03-02 14:04:00 -- Module: 'InetAccess authorizator v.1.2'. Start successfull. 50

2009-03-02 14:04:00 -- Module: 'Always Online authorizator v.1.0'. Start successfull. 70

2009-03-02 14:04:00 -- Module: 'Pinger v.1.01'. Start successfull. 100

2009-03-02 14:04:00 -- Module: 'Stg configurator v.0.07'. Start successfull. 220

2009-03-02 14:04:00 -- Stg started successfully.

2009-03-02 14:04:00 -- +++++++++++++++++++++++++++++++++++++++++++++

[madf 279]

Попробуй отключить все плагины кроме cap_ipq. Возможно, взаимная блокировка...

[feducha 0]

Попробуй отключить все плагины кроме cap_ipq. Возможно, взаимная блокировка...

 

2009-03-02 14:53:40 -- Stg v. Stg 2.405

2009-03-02 14:53:40 -- Message queue created successfully. msgKey=5555 msgID=0

2009-03-02 14:53:40 -- Timer thread started successfully.

2009-03-02 14:53:40 -- Storage plugin: mysql_store v.0.67. Loading successfull.

2009-03-02 14:53:41 -- Users started successfully.

2009-03-02 14:53:41 -- Traffcounter started successfully.

2009-03-02 14:53:41 -- Module: 'ipq_cap v.1.1'. Start successfull. 0

2009-03-02 14:53:41 -- Module: 'InetAccess authorizator v.1.2'. Start successfull. 50

2009-03-02 14:53:41 -- Module: 'Stg configurator v.0.07'. Start successfull. 220

2009-03-02 14:53:41 -- Stg started successfully.

 

Не идет

 

Вот еще ошибки есть передаче

Link encap:Ethernet HWaddr 00:03:BA:4E:68:76

inet addr:192.168.4.1 Bcast:192.168.7.255 Mask:255.255.252.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:285 errors:0 dropped:0 overruns:0 frame:0

TX packets:0 errors:94 dropped:0 overruns:0 carrier:94

collisions:0 txqueuelen:1000

RX bytes:22696 (22.1 Kb) TX bytes:0 (0.0

Interrupt:9

[madf 279]

Тогда скорее всего неправильно настроен файрвол