(!) Плз. Проблема со статистикой.

[zavulon 0]

Старгейзер (2.0.16.7.6) работал 3 месяца, все было ОК. Статистика по метражу у провайдера и у меня отличалась копейками и в основном в мою пользу.

В этом месяце обнаружилась громадная разница - ок. 30 % трафика по сравнению с провайдером у меня не засчитано.

Начинаю проверять с простого.

Авторизуюсь. Иду на дом. страницу файрфокса. Качаю новую версию браузера-2.0, весит она 6,2 Мб. Вот, что получилось в детальной статистике:

 

-> 13.20.00 - 13.30.00
192.168.1.1               0           27850           15408	0.000000 
194.58.78.39              2           25210            7481	0.000000
194.58.78.41              2               0               0	0.000000
194.58.78.65              2           55802            7772	0.000000
194.135.19.101             2             409            1543	0.000000
194.67.45.123              2             393             679	0.000000
194.67.45.129              2             385             760	0.000000
217.73.200.174             2          118234           17357	0.000000
213.186.217.210            2           31080            3971	0.000000
[b]192.168.1.255             0         6810340          128017	0.000000[/b]

 

Я в шоке! Т.е. весь даунлоад файрфокса посчитался в локальный трафик.

Что не так?

Помогите, кто чем может.

 

Рулесы:

# Локальный трафик
ALL 192.168.1.0/24 DIR0

# Город
ALL 111.111.111.111/64 DIR1

# Пинги не считаем
# ICMP 0.0.0.0/0 NULL

# Инет
ALL 0.0.0.0/0 DIR2

 

Все остальные конфигурации файрвола, сервера, конект-дисконект взяты с авторского сайта без изменений (кроме подстановки айпи ест-но)...

 

Буду признателен.

[Neelix 33]

Я делаю локалку 192.168.0.0/16 - т.к. бродкасты сыпятся.

 

Не в rules дело, а в 192.168.1.255, как это мог бродкаст скачку считать???

Как реализован доступ в интернет? Через NAT?

[assasinwar 7]

192.168.1.255 -Этот сайпишник был назначен все 3 месяца???

[Neelix 33]

Копай в iptables, неправильно форвардинг работает видать.

[zavulon 0]

Я делаю локалку 192.168.0.0/16 - т.к. бродкасты сыпятся.

 

Не в rules дело, а в 192.168.1.255, как это мог бродкаст скачку считать???

Как реализован доступ в интернет? Через NAT?

Через НАТ. Прокси нет.

Голый сервак. Установлен только Старгейзер с его скриптами и фаерволом без изменений.

Сам не понимаю ничего, как так...

Если качать что-то с роутера, т.е. локальный трафик, точно также обозначает его, как 192.168.1.255.

 

Т.е., считаешь, сделать локалку 192.168.0.0/16 - и проблема будет решена? Не понимаю механизма.

[Neelix 33]

Не в маске дело, это я так, к сведению. У тебя неправильно работает маршрутизация походу. Какой локальный адрес сервера?

[zavulon 0]

Не в маске дело, это я так, к сведению. У тебя неправильно работает маршрутизация походу. Какой локальный адрес сервера?

в том то и дело, что:

192.168.1.1

[zavulon 0]

Копай в iptables, неправильно форвардинг работает видать.

фаерволл:

#!/bin/bash

#Машина администратора
admin=192.168.1.2

#Адреса роутера
server0=192.168.1.1
server1=111.111.111.111

# Интерфейс смотрящий на клиентов
iface_cli=eth0

# Интерфейс смотрящий во внешний мир
iface_world=eth1

#Порты, на которых работает конфигуратор и авторизатор
conf_port=8888
user_port1=5555
user_port2=5555

echo "1" > /proc/sys/net/ipv4/ip_forward

# Очищаем правила файрвола
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X

# Политика по умолчанию DROP: всем всё запрещено
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# # Разрешаем пингам ходить всюду и всегда
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# Разрешаем всё на локальном интерфейсе
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

# Разрешить серверу общаться со внешним миром
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

# DNS. Замечу, ДНС работает и по TCP и по UDP
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

# SSH
iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT

# Stargazer configurator
iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport $conf_port -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport $conf_port -j ACCEPT
iptables -t filter -A INPUT -p udp -s $admin --sport $conf_port -d $server0 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -d $admin --dport $conf_port -s $server0 -j ACCEPT

# UDP stargazer InetAccess
iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -d 192.168.1.0/24 --dport $user_port1 -s $server0 -j ACCEPT

#Маскарад
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

 

онконект:

 

-скип-
#--------------------------------------------
iptables -t filter -A INPUT -s $ip -j ACCEPT
iptables -t filter -A FORWARD -s $ip -j ACCEPT
iptables -t filter -A FORWARD -d $ip -j ACCEPT
iptables -t filter -A OUTPUT -d $ip -j ACCEPT
#--------------------------------------------
-скип-

[Neelix 33]

#!/bin/bash

ip=$2

iptables -t filter -A INPUT -s $ip -j ACCEPT

iptables -t filter -A FORWARD -s $ip -j ACCEPT

iptables -t filter -A FORWARD -d $ip -j ACCEPT

iptables -t filter -A OUTPUT -d $ip -j ACCEPT

 

iptables -t nat -A POSTROUTING -s $ip -d! $ip -j SNAT --to-source твой_внешний_ip

 

сделай нат таким образом

[zavulon 0]

192.168.1.255 -Этот сайпишник был назначен все 3 месяца???

Всмысле?

Белый адрес был все это время, без изменений, да.

[zavulon 0]

#!/bin/bash

ip=$2

iptables -t filter -A INPUT -s $ip -j ACCEPT

iptables -t filter -A FORWARD -s $ip -j ACCEPT

iptables -t filter -A FORWARD -d $ip -j ACCEPT

iptables -t filter -A OUTPUT -d $ip -j ACCEPT

 

iptables -t nat -A POSTROUTING -s $ip -d! $ip -j SNAT --to-source твой_внешний_ip

 

сделай нат таким образом

Т.е. добавить эту строчку в онконект или в фаерволе?

В дисконекте ничего не изменять?

[Neelix 33]

^^^^то был OnConnect ^^^^

 

 

#!/bin/bash

ip=$2

 

iptables -t filter -D INPUT -s $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D INPUT -s $ip -j ACCEPT

done

##################################

iptables -t filter -D FORWARD -s $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D FORWARD -s $ip -j ACCEPT

done

##################################

iptables -t filter -D FORWARD -d $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D FORWARD -d $ip -j ACCEPT

done

##################################

iptables -t filter -D OUTPUT -d $ip -j ACCEPT

while [ $? -eq 0 ]

do

iptables -t filter -D OUTPUT -d $ip -j ACCEPT

done

#################################

iptables -t nat -D POSTROUTING -s $ip -d! $ip -j SNAT --to-source твой_ип

while [ $? -eq 0 ]

do

iptables -t nat -D POSTROUTING -s $ip -d! $ip -j SNAT --to-source твой_ип

done

 

Это OnDisconnect

[zavulon 0]

^^^^то был OnConnect ^^^^

 

-скип-

 

Это OnDisconnect

Ок. Огромное спасибо. Попробую.

Если заработает - с меня пиво. ,)

[Neelix 33]

Не за что!