BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Пн 19 дек, 2016 1:49 am 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 9
Всем привет.
С августа месяца стоит шлюз на freebsd, настраивал прозрачный сквид+ipfw. Обычно подключены 3 компьютера - 2 винда, 1 мак(ну и плюс бывают мобильные устройства по вай-фаю через роутер подключенный к сети).Через некоторое время начались непонятные проблемы с интернетом. Стал замечать, что при включении одного из компьютеров сетка просто ложится, пинги идут, торренты грузятся, а вот сайты не грузятся. Отключил сквид, но проблему это не решило, проблема периодически возвращается на место, это явно что-то с настройками шлюза или я уже не знаю куда копать(напрямую инет работает нормально, а через шлюз периодически не грузятся сайты).

Цитата:
last pid: 4385; load averages: 0.61, 0.47, 0.43 up 0+00:55:00 00:40:29
31 processes: 1 running, 30 sleeping
CPU: 0.0% user, 0.0% nice, 0.3% system, 0.3% interrupt, 99.4% idle
Mem: 24M Active, 456M Inact, 156M Wired, 90M Buf, 1281M Free
Swap: 809M Total, 809M Free



ipfw:
Код:
#sootvetstvie dinami4eskim pravilam
$cmd check-state

$cmd allow ip from any to any via lo0

#deny private world
#$cmd deny ip from any to 10.0.0.0/8 in via re0
$cmd deny ip from any to 172.16.0.0/12 in via re0
$cmd deny ip from any to 0.0.0.0/8 in via re0
$cmd deny ip from any to 192.168.0.0/16 in via re0
$cmd deny ip from any to 169.254.0.0/16 in via re0

#multicast
$cmd deny ip from any to 240.0.0.0/4 in via re0
#fragmentirovannie ICMP
$cmd deny icmp from any to any frag
#shirikoveshtelnii ICMP
$cmd deny log icmp from any to 255.255.255.255 in via re0
$cmd deny log icmp from any to 255.255.255.255 out via re0


#firewall
#squid
#$cmd allow all from me to any 80 out via $pif keep-state uid squid
#$cmd fwd 127.0.0.1,3128 tcp from $lannet to any 80 via re0

#NAT
$cmd divert natd ip from 192.168.0.0/16 to any out via re0
$cmd divert natd ip from any to 10.18.74.65 in via re0

#deny in through re0
#$cmd deny ip from 10.0.0.0/8 to any out via re0
$cmd deny ip from 172.16.0.0/12 to any out via re0
#$cmd deny ip from 192.168.0.0/16 to any out via re0
$cmd deny ip from 0.0.0.0/8 to any out via re0
$cmd deny ip from 169.254.0.0/16 to any out via re0
#multicast
$cmd deny ip from 224.0.0.0/4 to any out via re0
$cmd deny ip from 240.0.0.0/4 to any out via re0

#razreshaem soedinenia esli ystanovilis
$cmd allow tcp from any to any established
#VES ISHIDYASHII TRAFFIC
$cmd allow ip from $wanip to any out xmit re0


#DNS snarygi
$cmd allow udp from any 53 to any via re0
$cmd allow upd from any to any 53 via
#UDP dlya NTPD
$cmd allow udp from any to any 123 via re0


#FTP
$cmd allow tcp from any to $wanip 65 via re0
#SSH
$cmd allow tcp from any to $wanip 1725 via re0
#echo zaprosi ICMP
$cmd allow icmp from any to any icmptypes 0,8,11

#torrent
$cmd allow udp from any to any 62348 in via re0
$cmd allow udp from any to any 62348 out via re0

#allow all in home net
$cmd allow tcp from any to any via re1
$cmd allow udp from any to any via re1
$cmd allow icmp from any to any via re1

#deny all
#$cmd deny ip from any to any


Как и куда копать?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 11:45 am 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5118
Откуда: Москва
butamuh4er писал(а):
сетка просто ложится, пинги идут, торренты грузятся, а вот сайты не грузятся

Это не является адекватной диагностикой состояния сети. tcpdump в помощь чтобы сформулировать в чём именно заключается "не грузятся".


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 5:58 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 12 апр, 2005 1:14 pm
Сообщения: 106
Откуда: SPb
не очень хорошо понимаю, зачем вам нат и прозрачный сквид вместе - раз. натд плохо - два. и поиграю в телепата - очень похоже, что вы зарезали прохождение icmp пакетов о фрагментации - что очень похоже на наблюдаемую вами картину


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 7:40 pm 
Не в сети

Зарегистрирован: Ср 25 дек, 2013 11:52 pm
Сообщения: 27
Откуда: СПб
Это, конечно, IMHO. А зачем вообще squid при трех - пяти компах в сети?
Я бы понял его наличие в сетке с числом компов хотя бы более 10. А здесь?..


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 7:48 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5118
Откуда: Москва
Фильтрация, кэширование и аудит актуальны для любого количества клиентов.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 7:55 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 12 апр, 2005 1:14 pm
Сообщения: 106
Откуда: SPb
AMDmi3 писал(а):
Фильтрация, кэширование и аудит актуальны для любого количества клиентов.

Нормальный аудит и фильтрация пр прозрачном прокси не совсем полные. А полные чреваты mitm :)


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:09 pm 
Не в сети

Зарегистрирован: Ср 25 дек, 2013 11:52 pm
Сообщения: 27
Откуда: СПб
Цитата:
Фильтрация, кэширование и аудит актуальны для любого количества клиентов.


Если только использовать squid для parent control?
А если он не нужен, то на трех клиентах от кеша никакого проку не будет. Опять же - это IMHO.


Последний раз редактировалось walik55 Пн 19 дек, 2016 8:24 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:21 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5118
Откуда: Москва
arachnid писал(а):
Нормальный аудит и фильтрация пр прозрачном прокси не совсем полные. А полные чреваты mitm :)

Так и делают.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:24 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5118
Откуда: Москва
walik55 писал(а):
А если он не нужен, то на трех клиентах от кеша никакого прока не будет. Опять же - это IMHO.

Вы думаете о кэше только как средстве экономии трафика, но он ещё и средство уменьшения времени загрузки страниц - в этом смысле он имеет смысл и для единственного клиента.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:34 pm 
Не в сети

Зарегистрирован: Ср 25 дек, 2013 11:52 pm
Сообщения: 27
Откуда: СПб
AMDmi3 писал(а):
Вы думаете о кэше только как средстве экономии трафика, но он ещё и средство уменьшения времени загрузки страниц - в этом смысле он имеет смысл и для единственного клиента.

Давайте, каждый останется при своем мнении, а то мы как-то плавно скатываемся в offtop :)


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 19 дек, 2016 8:47 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3264
Откуда: Харьков
butamuh4er, такое часто происходит когда интернет канал нестабилен, есть потери, как вариант плохой контакт или канал очень мал.

ещё такое может быть если канал не коммерческий, а домашний, который ради экономии на многих делится
проблема в том, что такой канал шейпится и поэтому такие косяки просто обязаны быть.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 20 дек, 2016 1:04 am 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 9
AMDmi3 писал(а):
butamuh4er писал(а):
сетка просто ложится, пинги идут, торренты грузятся, а вот сайты не грузятся

Это не является адекватной диагностикой состояния сети. tcpdump в помощь чтобы сформулировать в чём именно заключается "не грузятся".

Я смотрю на внутренний интерфейс и вижу запросы туда-сюда, которые проходят. От некоторых компов иногда лавина, но думаю они не могут так засорить канал (грузится все, кроме сайтов).
Цитата:
Вы думаете о кэше только как средстве экономии трафика, но он ещё и средство уменьшения времени загрузки страниц - в этом смысле он имеет смысл и для единственного клиента.

И плюс личный интерес в настройке и посмотреть как интернет с этим себя ведет, одно время было желание настроить временной доступ по маку, но нехватка времени и маленький опыт не позволили. И что вы так придрались, сейчас сквид не работает, а воз и ныне там.
Цитата:
такое часто происходит когда интернет канал нестабилен, есть потери, как вариант плохой контакт или канал очень мал

100мбит, периодически гружу на облака большие объемы, либо торренты. Проблема возникает периодически, я грешу что компы с виндой мусорят, но это личное предубеждение. Раньше все работало и я не знал бед, а сейчас черт знает что.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 26 дек, 2016 12:41 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
не заметил результаті проверок:
- пинг роутера
- пинг соседних компов
- пинг шлюза провайдера
- пинг любого хоста в и-нете по IP (8.8.8.8 / 8.8.4.4)
- проверка работы DNS (nslookup mail.ru ; ping ya.ru)
- трасировка до любого хоста в сети

в файерволе временно "allow all" правило включали?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 26 дек, 2016 12:47 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
Со сквидом был опыт, что если у него 1-н из прописанных ДНС-ов не работал, были проблемы.
Но это было давно ... На Сквид и-нет "доходит?".
В ограничения (лимиты соединений и ко) не упираетесь?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Сб 31 дек, 2016 2:18 pm 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 9
olexande писал(а):
не заметил результаті проверок:
- пинг роутера
- пинг соседних компов
- пинг шлюза провайдера
- пинг любого хоста в и-нете по IP (8.8.8.8 / 8.8.4.4)
- проверка работы DNS (nslookup mail.ru ; ping ya.ru)
- трасировка до любого хоста в сети

в файерволе временно "allow all" правило включали?



1).
--- 192.168.0.1 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.336/0.381/0.425/0.031 ms
2).
--- 192.168.0.25 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.486/0.711/2.015/0.462 ms
3).
--- 10.18.74.254 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.254/2.860/9.525/2.798 ms
4).
--- 8.8.8.8 ping statistics ---
11 packets transmitted, 11 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.546/1.678/1.838/0.087 ms
5).
Server: 8.8.4.4
Address: 8.8.4.4#53

Non-authoritative answer:
Name: rambler.ru
Address: 81.19.82.10
Name: rambler.ru
Address: 81.19.82.8
Name: rambler.ru
Address: 81.19.82.11
Name: rambler.ru
Address: 81.19.82.9
6).
traceroute to google.com (173.194.122.238), 64 hops max, 52 byte packets
1 192.168.0.1 (192.168.0.1) 0.697 ms 0.311 ms 0.291 ms
2 * * *
3 * * *
4 core-m9-j1.speedynet.ru (178.215.79.45) 1.557 ms 1.507 ms 1.363 ms
5 10.18.255.254 (10.18.255.254) 0.939 ms 1.102 ms 0.940 ms
6 m9-co-asbr1-v4088.speedynet.ru (178.215.75.61) 1.219 ms 1.041 ms 1.104 ms
7 msk-ix-gw1.google.com (195.208.208.232) 2.549 ms 1.083 ms 1.056 ms
8 66.249.94.100 (66.249.94.100) 1.168 ms 1.202 ms 4.121 ms
9 72.14.252.22 (72.14.252.22) 1.831 ms 1.764 ms 1.642 ms
10 * * *
11 * * *


(и так в звездочках до 64 хопа).
На днях выяснил что провайдер подменяет DNS на свои, если пытаешься использовать сторонние. Ну и что-то с пряморукостью у провайдера - список блокировок Роскомнадзора у них не отображается, ну и в принципе блокируют что попало.
Проблема сейчас как-то периодически появляется-пропадает.
Я пробовал работать без фаервола вообще, ситуация не поменялась. Даже сторонний компьютер еще приносил и подключал.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 02 янв, 2017 2:45 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
Какие DNS-ы используете? Провайдерские на клиентские ПК "передавать" пробовали?
При проблемах DNS'ы доступны? Отвечают?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 02 янв, 2017 8:20 pm 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 9
olexande писал(а):
Какие DNS-ы используете? Провайдерские на клиентские ПК "передавать" пробовали?
При проблемах DNS'ы доступны? Отвечают?

ДНС всякие пробовал. Гугловские 8.8.8.8 & 8.8.4.4, днс провайдера(раньше у провайдера собственные днс тупили сильно, потому перешел на гугловские). Сейчас проблема как-то периодически появляется, а раньше была постоянно. У меня практически постоянно не открывается google.com, а google.ru с первого раза всегда.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 02 янв, 2017 9:09 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
Что со связью в такие моменты? DNS в частности. Кроме гугловских открытых DNS, есть еще много открытых ... Яндексовские, например.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 03 янв, 2017 5:09 am 
Не в сети

Зарегистрирован: Вс 14 авг, 2016 10:49 am
Сообщения: 9
olexande писал(а):
Что со связью в такие моменты? DNS в частности. Кроме гугловских открытых DNS, есть еще много открытых ... Яндексовские, например.

Может идти загрузка чего угодно(скачка документа, торрента, любого файла с интернета), а сайты при этом не открываться или открываться непольностью, то есть часть картинок может не загрузиться. Нет смысла писать сторонние, все равно переадресация делается. Знаю что можно как-то обойти переадресацию, но сейчас другая проблема.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 03 янв, 2017 1:52 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 581
butamuh4er писал(а):
Как и куда копать?

Написать рабочий набор правил для ipfw.
Т.к. с этим пока, похоже, непросто, сказать firewall_type="open" и понаблюдать за сложностями с тырнетом, если они будут.

`ipfw show` и `ipfw add 65534 deny log logamount 0 ip from any to any` и поиск по конфе Вам в помощь.

(попробуйте рисовать правила бо-ме унифицированно, хотя бы без явного упоминания физических интерфейсов;
если версия оси >= 10.0, забудьте про natd;
я бы пока не грешил на прова, тем более, таким странным образом, если в договоре не прописан явным образом запрет на использование сторонних серверов DNS;
в представленной версии правил ipfw ваш шлюз могут тупо бомбить снаружи по 53, 65, 123, 1725 портам;
ну и попробуйте найти ответные части для правил "#allow all in home net")


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], erema15, Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика