zavulon 0 Опубликовано: 2006-12-21 12:18:47 Share Опубликовано: 2006-12-21 12:18:47 Старгейзер (2.0.16.7.6) работал 3 месяца, все было ОК. Статистика по метражу у провайдера и у меня отличалась копейками и в основном в мою пользу. В этом месяце обнаружилась громадная разница - ок. 30 % трафика по сравнению с провайдером у меня не засчитано. Начинаю проверять с простого. Авторизуюсь. Иду на дом. страницу файрфокса. Качаю новую версию браузера-2.0, весит она 6,2 Мб. Вот, что получилось в детальной статистике: -> 13.20.00 - 13.30.00 192.168.1.1 0 27850 15408 0.000000 194.58.78.39 2 25210 7481 0.000000 194.58.78.41 2 0 0 0.000000 194.58.78.65 2 55802 7772 0.000000 194.135.19.101 2 409 1543 0.000000 194.67.45.123 2 393 679 0.000000 194.67.45.129 2 385 760 0.000000 217.73.200.174 2 118234 17357 0.000000 213.186.217.210 2 31080 3971 0.000000 [b]192.168.1.255 0 6810340 128017 0.000000[/b] Я в шоке! Т.е. весь даунлоад файрфокса посчитался в локальный трафик. Что не так? Помогите, кто чем может. Рулесы: # Локальный трафик ALL 192.168.1.0/24 DIR0 # Город ALL 111.111.111.111/64 DIR1 # Пинги не считаем # ICMP 0.0.0.0/0 NULL # Инет ALL 0.0.0.0/0 DIR2 Все остальные конфигурации файрвола, сервера, конект-дисконект взяты с авторского сайта без изменений (кроме подстановки айпи ест-но)... Буду признателен. Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2006-12-21 12:30:54 Share Опубликовано: 2006-12-21 12:30:54 Я делаю локалку 192.168.0.0/16 - т.к. бродкасты сыпятся. Не в rules дело, а в 192.168.1.255, как это мог бродкаст скачку считать??? Как реализован доступ в интернет? Через NAT? Ссылка на сообщение Поделиться на других сайтах
assasinwar 7 Опубликовано: 2006-12-21 12:31:13 Share Опубликовано: 2006-12-21 12:31:13 192.168.1.255 -Этот сайпишник был назначен все 3 месяца??? Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2006-12-21 12:33:35 Share Опубликовано: 2006-12-21 12:33:35 Копай в iptables, неправильно форвардинг работает видать. Ссылка на сообщение Поделиться на других сайтах
zavulon 0 Опубликовано: 2006-12-21 12:39:43 Автор Share Опубликовано: 2006-12-21 12:39:43 Я делаю локалку 192.168.0.0/16 - т.к. бродкасты сыпятся. Не в rules дело, а в 192.168.1.255, как это мог бродкаст скачку считать??? Как реализован доступ в интернет? Через NAT? Через НАТ. Прокси нет. Голый сервак. Установлен только Старгейзер с его скриптами и фаерволом без изменений. Сам не понимаю ничего, как так... Если качать что-то с роутера, т.е. локальный трафик, точно также обозначает его, как 192.168.1.255. Т.е., считаешь, сделать локалку 192.168.0.0/16 - и проблема будет решена? Не понимаю механизма. Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2006-12-21 12:44:52 Share Опубликовано: 2006-12-21 12:44:52 Не в маске дело, это я так, к сведению. У тебя неправильно работает маршрутизация походу. Какой локальный адрес сервера? Ссылка на сообщение Поделиться на других сайтах
zavulon 0 Опубликовано: 2006-12-21 12:47:20 Автор Share Опубликовано: 2006-12-21 12:47:20 Не в маске дело, это я так, к сведению. У тебя неправильно работает маршрутизация походу. Какой локальный адрес сервера? в том то и дело, что: 192.168.1.1 Ссылка на сообщение Поделиться на других сайтах
zavulon 0 Опубликовано: 2006-12-21 12:52:39 Автор Share Опубликовано: 2006-12-21 12:52:39 Копай в iptables, неправильно форвардинг работает видать. фаерволл: #!/bin/bash #Машина администратора admin=192.168.1.2 #Адреса роутера server0=192.168.1.1 server1=111.111.111.111 # Интерфейс смотрящий на клиентов iface_cli=eth0 # Интерфейс смотрящий во внешний мир iface_world=eth1 #Порты, на которых работает конфигуратор и авторизатор conf_port=8888 user_port1=5555 user_port2=5555 echo "1" > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP # # Разрешаем пингам ходить всюду и всегда iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A FORWARD -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT # Разрешаем всё на локальном интерфейсе iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT # Разрешить серверу общаться со внешним миром iptables -t filter -A INPUT -i $iface_world -j ACCEPT iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT # DNS. Замечу, ДНС работает и по TCP и по UDP iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT # SSH iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT # Stargazer configurator iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport $conf_port -j ACCEPT iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport $conf_port -j ACCEPT iptables -t filter -A INPUT -p udp -s $admin --sport $conf_port -d $server0 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d $admin --dport $conf_port -s $server0 -j ACCEPT # UDP stargazer InetAccess iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT iptables -t filter -A OUTPUT -p udp -d 192.168.1.0/24 --dport $user_port1 -s $server0 -j ACCEPT #Маскарад iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE онконект: -скип- #-------------------------------------------- iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT #-------------------------------------------- -скип- Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2006-12-21 12:53:15 Share Опубликовано: 2006-12-21 12:53:15 #!/bin/bash ip=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT iptables -t nat -A POSTROUTING -s $ip -d! $ip -j SNAT --to-source твой_внешний_ip сделай нат таким образом Ссылка на сообщение Поделиться на других сайтах
zavulon 0 Опубликовано: 2006-12-21 12:55:32 Автор Share Опубликовано: 2006-12-21 12:55:32 192.168.1.255 -Этот сайпишник был назначен все 3 месяца??? Всмысле? Белый адрес был все это время, без изменений, да. Ссылка на сообщение Поделиться на других сайтах
zavulon 0 Опубликовано: 2006-12-21 13:02:06 Автор Share Опубликовано: 2006-12-21 13:02:06 #!/bin/baship=$2 iptables -t filter -A INPUT -s $ip -j ACCEPT iptables -t filter -A FORWARD -s $ip -j ACCEPT iptables -t filter -A FORWARD -d $ip -j ACCEPT iptables -t filter -A OUTPUT -d $ip -j ACCEPT iptables -t nat -A POSTROUTING -s $ip -d! $ip -j SNAT --to-source твой_внешний_ip сделай нат таким образом Т.е. добавить эту строчку в онконект или в фаерволе? В дисконекте ничего не изменять? Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2006-12-21 13:16:37 Share Опубликовано: 2006-12-21 13:16:37 ^^^^то был OnConnect ^^^^ #!/bin/bash ip=$2 iptables -t filter -D INPUT -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D INPUT -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -s $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -s $ip -j ACCEPT done ################################## iptables -t filter -D FORWARD -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D FORWARD -d $ip -j ACCEPT done ################################## iptables -t filter -D OUTPUT -d $ip -j ACCEPT while [ $? -eq 0 ] do iptables -t filter -D OUTPUT -d $ip -j ACCEPT done ################################# iptables -t nat -D POSTROUTING -s $ip -d! $ip -j SNAT --to-source твой_ип while [ $? -eq 0 ] do iptables -t nat -D POSTROUTING -s $ip -d! $ip -j SNAT --to-source твой_ип done Это OnDisconnect Ссылка на сообщение Поделиться на других сайтах
zavulon 0 Опубликовано: 2006-12-21 13:21:25 Автор Share Опубликовано: 2006-12-21 13:21:25 ^^^^то был OnConnect ^^^^ -скип- Это OnDisconnect Ок. Огромное спасибо. Попробую. Если заработает - с меня пиво. ,) Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубликовано: 2006-12-21 13:24:07 Share Опубликовано: 2006-12-21 13:24:07 Не за что! Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас