переодически пропадают правила шейпера
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
переодически пропадают правила шейпера
есть серв, пробовал уже на разных версиях системы.
Проблема заключается в том что переодически пропадают правила шейпера, причем не все одновременно, не с определенной переодичностью, "а как повезет"))) хаотически.
Стоит UBUNTU server 10.04 LTS
Биллинговая система abills с модулем IPN
Причем переустанавливаю серв, все отлично работает около недели, после этого шейпер начинает слетать все чаще, не могу понять почему.
Вот скрипт шейпера
#!/bin/sh
INTERFACE="eth1";
TC="/sbin/tc"
TCQA="${TC} qdisc add dev ${INTERFACE}"
TCQD="${TC} qdisc del dev ${INTERFACE}"
$TCQD root &>/dev/null
$TCQD ingress &>/dev/null
$TCQA root handle 1: htb
$TCQA handle ffff: ingress
Вот правила которые выполняются с пользуками
Правило при подключении к инетернету:
$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /dev/null 2>&1;'. "/usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from %IP to any; /usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from any to %IP";
Правило которое выполнятеся при отключении от интернета:
$conf{IPN_FW_STOP_RULE}="sudo iptables -t nat -D REDIR_AUTH -s %IP -j RETURN; sudo iptables -D FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -D FORWARD -s 0/0 -d %IP -j ACCEPT;sudo /usr/abills/libexec/linkupdown ipn down eth2 %LOGIN %IP". ' > /dev/null 2>&1;'. "/usr/local/bin/sudo /sbin/ipfw -q delete %NUM";
Проблема заключается в том что переодически пропадают правила шейпера, причем не все одновременно, не с определенной переодичностью, "а как повезет"))) хаотически.
Стоит UBUNTU server 10.04 LTS
Биллинговая система abills с модулем IPN
Причем переустанавливаю серв, все отлично работает около недели, после этого шейпер начинает слетать все чаще, не могу понять почему.
Вот скрипт шейпера
#!/bin/sh
INTERFACE="eth1";
TC="/sbin/tc"
TCQA="${TC} qdisc add dev ${INTERFACE}"
TCQD="${TC} qdisc del dev ${INTERFACE}"
$TCQD root &>/dev/null
$TCQD ingress &>/dev/null
$TCQA root handle 1: htb
$TCQA handle ffff: ingress
Вот правила которые выполняются с пользуками
Правило при подключении к инетернету:
$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /dev/null 2>&1;'. "/usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from %IP to any; /usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from any to %IP";
Правило которое выполнятеся при отключении от интернета:
$conf{IPN_FW_STOP_RULE}="sudo iptables -t nat -D REDIR_AUTH -s %IP -j RETURN; sudo iptables -D FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -D FORWARD -s 0/0 -d %IP -j ACCEPT;sudo /usr/abills/libexec/linkupdown ipn down eth2 %LOGIN %IP". ' > /dev/null 2>&1;'. "/usr/local/bin/sudo /sbin/ipfw -q delete %NUM";
-
- Site Admin
- Сообщения: 5746
- Зарегистрирован: Пт янв 28, 2005 3:11 pm
- Контактная информация:
Re: переодически пропадают правила шейпера
добавте в конце занеcение лог опрераций для определения причины пропажи
; echo "ipn down eth2 %LOGIN %IP" >> /tmp/ipn_log
; echo "ipn down eth2 %LOGIN %IP" >> /tmp/ipn_log
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
Re: переодически пропадают правила шейпера
~AsmodeuS~ писал(а):добавте в конце занеcение лог опрераций для определения причины пропажи
; echo "ipn down eth2 %LOGIN %IP" >> /tmp/ipn_log
Простите не могу понять куда это вставить((
пробовал по разному, но че-то не получилось
Еще заметил одну вещь, в сисетма -> мониторинг есть статистика по пользователям, вот после апдейта перестала появлятся в клиенты->логин-> статистика только статистика которая была до апдейта. и в амоне при отключении пишет что скачено и отдано "0".
в мускуле таблица ipn_traf_detail пустая, пробежался по ченжлогу, ничего связяного с этой таблицей не нашел, только с ipn_unknow_ips, но в ней как положено добавляется инфа.
-
- Site Admin
- Сообщения: 5746
- Зарегистрирован: Пт янв 28, 2005 3:11 pm
- Контактная информация:
Re: переодически пропадают правила шейпера
$conf{IPN_FW_START_RULE}
$conf{IPN_FW_STOP_RULE}
$conf{IPN_FW_STOP_RULE}
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
Re: переодически пропадают правила шейпера
да и вот нашел у себя опечатку в правилах
$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT;sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /dev/null 2>&1';
$conf{IPN_FW_STOP_RULE}="sudo iptables -t nat -D REDIR_AUTH -s %IP -j RETURN; sudo iptables -D FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -D FORWARD -s 0/0 -d %IP -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn down eth1 %LOGIN %IP". ' > /dev/null 2>&1';
Подставил так
$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT;sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /tmp/ipn_log';
$conf{IPN_FW_STOP_RULE}="sudo iptables -t nat -D REDIR_AUTH -s %IP -j RETURN; sudo iptables -D FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -D FORWARD -s 0/0 -d %IP -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn down eth1 %LOGIN %IP". ' > /tmp/ipn_log';
один раз отключился и подключился, я так понял что тут получилось что инфо только об отключении, п при подключении ничего не добавилось
файлик ipn_log пуст
но появился linkupdown.log
вот что он выдал
2011-11-12 14:11:09 Error: 512/ '/sbin/tc filter del dev eth1 protocol ip parent 1: prio 5297'
2011-11-12 14:11:09 Error: 512/Inappropriate ioctl for device '/sbin/tc filter del dev eth1 protocol ip parent ffff: prio 5296'
2011-11-12 14:11:09 Error: 512/Inappropriate ioctl for device '/sbin/tc class del dev eth1 parent 1: classid 1:4fd5'
$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT;sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /dev/null 2>&1';
$conf{IPN_FW_STOP_RULE}="sudo iptables -t nat -D REDIR_AUTH -s %IP -j RETURN; sudo iptables -D FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -D FORWARD -s 0/0 -d %IP -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn down eth1 %LOGIN %IP". ' > /dev/null 2>&1';
Подставил так
$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -I FORWARD -s 0/0 -d %IP -j ACCEPT;sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /tmp/ipn_log';
$conf{IPN_FW_STOP_RULE}="sudo iptables -t nat -D REDIR_AUTH -s %IP -j RETURN; sudo iptables -D FORWARD -s %IP -d 0/0 -j ACCEPT; sudo iptables -D FORWARD -s 0/0 -d %IP -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn down eth1 %LOGIN %IP". ' > /tmp/ipn_log';
один раз отключился и подключился, я так понял что тут получилось что инфо только об отключении, п при подключении ничего не добавилось
файлик ipn_log пуст
но появился linkupdown.log
вот что он выдал
2011-11-12 14:11:09 Error: 512/ '/sbin/tc filter del dev eth1 protocol ip parent 1: prio 5297'
2011-11-12 14:11:09 Error: 512/Inappropriate ioctl for device '/sbin/tc filter del dev eth1 protocol ip parent ffff: prio 5296'
2011-11-12 14:11:09 Error: 512/Inappropriate ioctl for device '/sbin/tc class del dev eth1 parent 1: classid 1:4fd5'
Последний раз редактировалось triton4ik Сб ноя 12, 2011 3:00 pm, всего редактировалось 5 раз.
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
Re: переодически пропадают правила шейпера
Походу нет идей((
-
- Site Admin
- Сообщения: 5746
- Зарегистрирован: Пт янв 28, 2005 3:11 pm
- Контактная информация:
Re: переодически пропадают правила шейпера
;echo `date`%IP >> /tmp/ipn_log
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
Re: переодически пропадают правила шейпера
вот linkupdown.log
2011-11-15 09:34:09 Error: 512/ '/sbin/tc filter del dev eth1 protocol ip parent 1: prio 5297'
2011-11-15 09:34:09 Error: 512/Inappropriate ioctl for device '/sbin/tc filter del dev eth1 protocol ip parent ffff: prio 5296'
2011-11-15 09:34:09 Error: 512/Inappropriate ioctl for device '/sbin/tc class del dev eth1 parent 1: classid 1:4fd5'
2011-11-15 09:35:36 Error: 512/ '/sbin/tc filter del dev eth1 protocol ip parent 1: prio 5115'
2011-11-15 09:35:36 Error: 512/Inappropriate ioctl for device '/sbin/tc filter del dev eth1 protocol ip parent ffff: prio 5114'
2011-11-15 09:35:36 Error: 512/Inappropriate ioctl for device '/sbin/tc class del dev eth1 parent 1: classid 1:4ec7'
вот ipn_log
Tue Nov 15 09:34:06 UTC 2011192.168.5.148
Tue Nov 15 09:34:09 UTC 2011192.168.5.148
Tue Nov 15 09:35:34 UTC 2011192.168.5.57
Tue Nov 15 09:35:36 UTC 2011192.168.5.57
IP 192.168.5.148 в данное вермя шейпер нормально работал
а 192.168.5.57 не было шейпера
а вот предыдущему логу все "; echo "ipn down eth1 %LOGIN %IP" >> /tmp/ipn_log"
ipn up eth1 triton4ik 192.168.5.148
ipn down eth1 triton4ik 192.168.5.148
больше ничего не добавляет
2011-11-15 09:34:09 Error: 512/ '/sbin/tc filter del dev eth1 protocol ip parent 1: prio 5297'
2011-11-15 09:34:09 Error: 512/Inappropriate ioctl for device '/sbin/tc filter del dev eth1 protocol ip parent ffff: prio 5296'
2011-11-15 09:34:09 Error: 512/Inappropriate ioctl for device '/sbin/tc class del dev eth1 parent 1: classid 1:4fd5'
2011-11-15 09:35:36 Error: 512/ '/sbin/tc filter del dev eth1 protocol ip parent 1: prio 5115'
2011-11-15 09:35:36 Error: 512/Inappropriate ioctl for device '/sbin/tc filter del dev eth1 protocol ip parent ffff: prio 5114'
2011-11-15 09:35:36 Error: 512/Inappropriate ioctl for device '/sbin/tc class del dev eth1 parent 1: classid 1:4ec7'
вот ipn_log
Tue Nov 15 09:34:06 UTC 2011192.168.5.148
Tue Nov 15 09:34:09 UTC 2011192.168.5.148
Tue Nov 15 09:35:34 UTC 2011192.168.5.57
Tue Nov 15 09:35:36 UTC 2011192.168.5.57
IP 192.168.5.148 в данное вермя шейпер нормально работал
а 192.168.5.57 не было шейпера
а вот предыдущему логу все "; echo "ipn down eth1 %LOGIN %IP" >> /tmp/ipn_log"
ipn up eth1 triton4ik 192.168.5.148
ipn down eth1 triton4ik 192.168.5.148
больше ничего не добавляет
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
Re: переодически пропадают правила шейпера
Скажите, может это связано с колличеством абонентов? У меня просто уже онлайн более 350 постоянный.
кстати заметил как только слетает шейпер передергиваю абонентов строчкой
/usr/abills/libexec/periodic monthly MODULES=Ipn SRESTART=1 NO_ADM_REPORT=1 NAS_IDS=4
прие этом выдает следующее:
We have an error talking to the kernel
RTNETLINK answers: No such file or directory
^XRTNETLINK answers: Invalid argument
We have an error talking to the kernel
RTNETLINK answers: Invalid argument
We have an error talking to the kernel
RTNETLINK answers: No such file or directory
RTNETLINK answers: Invalid argument
We have an error talking to the kernel
RTNETLINK answers: Invalid argument
We have an error talking to the kernel
RTNETLINK answers: No such file or directory
и так до утра.
Я вот что думаю у нас на пользователя подымается в сумме около 12 правил шейпера, в полне возможно что при таком колличестве правил в системе не хватает размера таблиц кеша iproute 2???
Вот только не могу найти как увеличить размер таблиц.
кстати заметил как только слетает шейпер передергиваю абонентов строчкой
/usr/abills/libexec/periodic monthly MODULES=Ipn SRESTART=1 NO_ADM_REPORT=1 NAS_IDS=4
прие этом выдает следующее:
We have an error talking to the kernel
RTNETLINK answers: No such file or directory
^XRTNETLINK answers: Invalid argument
We have an error talking to the kernel
RTNETLINK answers: Invalid argument
We have an error talking to the kernel
RTNETLINK answers: No such file or directory
RTNETLINK answers: Invalid argument
We have an error talking to the kernel
RTNETLINK answers: Invalid argument
We have an error talking to the kernel
RTNETLINK answers: No such file or directory
и так до утра.
Я вот что думаю у нас на пользователя подымается в сумме около 12 правил шейпера, в полне возможно что при таком колличестве правил в системе не хватает размера таблиц кеша iproute 2???
Вот только не могу найти как увеличить размер таблиц.
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
П
Нашел в чем проблема:
после того как просмотрел в дебаге
tc filter show dev eth1 > tc
/usr/abills/libexec/linkupdown.test ipn up eth1 triton4ik 192.168.5.148 OS=LINUX_NEW_MODEL debug > tc2
выяснилось что
/sbin/tc filter del dev eth1 protocol ip parent 1: prio 5734
/sbin/tc filter del dev eth1 protocol ip parent ffff: prio 5733
/sbin/tc class del dev eth1 parent 1: classid 1:4fd5
/sbin/tc class add dev eth1 parent 1: classid 1:4fd5 htb rate 8200Kbit
/sbin/tc filter add dev eth1 protocol ip parent 1: prio 6733 u32 match ip src 0.0.0.0/0 match ip dst 192.168.5.148 flowid 1:4fd5
/sbin/tc filter add dev eth1 protocol ip parent ffff: prio 5733 u32 match ip src 192.168.5.148 match ip dst 0.0.0.0/0 police rate 10000Kbit burst 12k drop flowid 1:
6734 и 5733 получаются для всех IP
192.168.5.148
192.168.6.148
192.168.7.148...
так как по умолчанию система использует последние 4-е байта IP
Даже при включенной опции
$conf{IPN_FW_RULE_UID}=1;
функция не работает
после изменения в лмнкапдаун
#$fw_num_in = $START_FW[$traf_type] + $inum * 2;
#$fw_num_out = $START_FW[$traf_type] + $inum * 2 + 1;
$fw_num_in = ($START_FW[$traf_type] + $inum * 2) + $user->{UID} ;
$fw_num_out = ($START_FW[$traf_type] + $inum * 2 + 2000) + $user->{UID};
все стало на место.
после того как просмотрел в дебаге
tc filter show dev eth1 > tc
/usr/abills/libexec/linkupdown.test ipn up eth1 triton4ik 192.168.5.148 OS=LINUX_NEW_MODEL debug > tc2
выяснилось что
/sbin/tc filter del dev eth1 protocol ip parent 1: prio 5734
/sbin/tc filter del dev eth1 protocol ip parent ffff: prio 5733
/sbin/tc class del dev eth1 parent 1: classid 1:4fd5
/sbin/tc class add dev eth1 parent 1: classid 1:4fd5 htb rate 8200Kbit
/sbin/tc filter add dev eth1 protocol ip parent 1: prio 6733 u32 match ip src 0.0.0.0/0 match ip dst 192.168.5.148 flowid 1:4fd5
/sbin/tc filter add dev eth1 protocol ip parent ffff: prio 5733 u32 match ip src 192.168.5.148 match ip dst 0.0.0.0/0 police rate 10000Kbit burst 12k drop flowid 1:
6734 и 5733 получаются для всех IP
192.168.5.148
192.168.6.148
192.168.7.148...
так как по умолчанию система использует последние 4-е байта IP
Даже при включенной опции
$conf{IPN_FW_RULE_UID}=1;
функция не работает
после изменения в лмнкапдаун
#$fw_num_in = $START_FW[$traf_type] + $inum * 2;
#$fw_num_out = $START_FW[$traf_type] + $inum * 2 + 1;
$fw_num_in = ($START_FW[$traf_type] + $inum * 2) + $user->{UID} ;
$fw_num_out = ($START_FW[$traf_type] + $inum * 2 + 2000) + $user->{UID};
все стало на место.
-
- Site Admin
- Сообщения: 5746
- Зарегистрирован: Пт янв 28, 2005 3:11 pm
- Контактная информация:
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
Re: переодически пропадают правила шейпера
Вот еще что нашел, если у меня стоял торрент на закачке, беру отключаюсь от интернета и при этом правила шейпера удалятся и нет инета, а вот соединение отстается и торрент продолжает качать. кто что может посоветовать? как можно сбросить активное соединение для этого айпи?
-
- Site Admin
- Сообщения: 5746
- Зарегистрирован: Пт янв 28, 2005 3:11 pm
- Контактная информация:
Re: переодически пропадают правила шейпера
елси правильно настроена блокировка неактивных сесии интернет сразу пропадает
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
Re: переодически пропадают правила шейпера
интернет то пропадает, но торрент начинает качать с сумашедшей скоростью
Вот как у мну тут все происходит:
вот конфиг пл
Вот как у мну тут все происходит:
Код: Выделить всё
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -X -t nat
$IPT -X -t mangle
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -p TCP --dport 22 -j ACCEPT
$IPT -A INPUT -p UDP -s 0/0 --sport 53 -j ACCEPT
$IPT -A INPUT -p UDP -s 0/0 --dport 53 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --sport 80 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 80 -j ACCEPT
$IPT -A FORWARD -p tcp -m tcp -s 0/0 --dport 80 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --sport 9443 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 9443 -j ACCEPT
# ФОРВАРД
$IPT -I FORWARD -s 0/0 -d 192.168.4.0/22 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.7.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.10.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.11.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.12.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.13.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.14.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.15.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.16.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.17.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.18.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.19.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.20.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.21.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.22.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.23.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.24.0/24 -j ACCEPT
$IPT -I FORWARD -s 0/0 -d 192.168.25.0/24 -j ACCEPT
# Пропустить уже установленные соединения.
$IPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Пропустить наши соединения
$IPT -A INPUT -s 192.168.4.0/22 -j ACCEPT
$IPT -A INPUT -s 192.168.7.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.10.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.11.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.12.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.13.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.14.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.15.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.16.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.17.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.18.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.19.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.20.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.21.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.22.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.23.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.24.0/24 -j ACCEPT
$IPT -A INPUT -s 192.168.25.0/24 -j ACCEPT
# Пустить народ к северу
$IPT -A FORWARD -i $IF_LAN -s 192.168.4.0/22 -d 192.168.5.2/32 -j ACCEPT
$IPT -A FORWARD -i $IF_LAN -s 192.168.4.0/22 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan7 -s 192.168.7.0/24 -d 192.168.7.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan7 -s 192.168.7.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan10 -s 192.168.10.0/24 -d 192.168.10.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan10 -s 192.168.10.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan11 -s 192.168.11.0/24 -d 192.168.11.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan11 -s 192.168.11.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan12 -s 192.168.12.0/24 -d 192.168.12.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan12 -s 192.168.12.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan13 -s 192.168.13.0/24 -d 192.168.13.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan13 -s 192.168.13.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan14 -s 192.168.14.0/24 -d 192.168.14.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan14 -s 192.168.14.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan15 -s 192.168.15.0/24 -d 192.168.15.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan15 -s 192.168.15.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan16 -s 192.168.16.0/24 -d 192.168.16.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan16 -s 192.168.16.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan17 -s 192.168.17.0/24 -d 192.168.17.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan17 -s 192.168.17.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan18 -s 192.168.18.0/24 -d 192.168.18.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan18 -s 192.168.18.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan19 -s 192.168.19.0/24 -d 192.168.19.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan19 -s 192.168.19.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan20 -s 192.168.20.0/24 -d 192.168.20.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan20 -s 192.168.20.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan21 -s 192.168.21.0/24 -d 192.168.21.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan21 -s 192.168.21.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan22 -s 192.168.22.0/24 -d 192.168.22.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan22 -s 192.168.22.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan23 -s 192.168.23.0/24 -d 192.168.23.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan23 -s 192.168.23.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan24 -s 192.168.24.0/24 -d 192.168.24.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan24 -s 192.168.24.0/24 -d $INET_IP -j ACCEPT
$IPT -A FORWARD -i vlan25 -s 192.168.25.0/24 -d 192.168.25.1/24 -j ACCEPT
$IPT -A FORWARD -i vlan25 -s 192.168.25.0/24 -d $INET_IP -j ACCEPT
#на авторизацию
$IPT -t nat -N REDIR_AUTH
#local
$IPT -t nat -A PREROUTING -s 192.168.4.0/22 -j REDIR_AUTH
#VLAN
$IPT -t nat -A PREROUTING -s 192.168.10.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.11.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.12.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.13.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.14.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.15.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.16.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.17.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.18.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.19.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.20.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.21.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.22.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.23.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.24.0/24 -j REDIR_AUTH
$IPT -t nat -A PREROUTING -s 192.168.25.0/24 -j REDIR_AUTH
$IPT -t nat -A REDIR_AUTH -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 9443
# Дать этим охламонам инет
#$IPT -A FORWARD -i ppp+ -s 192.168.160.0/24 -o $IF_INET -j ACCEPT
#$IPT -t nat -A POSTROUTING -s 192.168.160.0/24 -j SNAT --to-source $INET_IP
#Инет на IPN
#$IPT -t nat -A POSTROUTING -s 192.168.4.0/22 -j SNAT --to-source $INET_IP
# LOCAL
$IPT -t nat -A POSTROUTING -s 192.168.4.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.5.8/30 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.5.12/30 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.5.16/28 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.5.32/27 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.5.64/26 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.5.128/25 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.6.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.7.0/24 -j SNAT --to-source $INET_IP
# VLAN
$IPT -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.11.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.12.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.13.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.14.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.15.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.16.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.17.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.18.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.19.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.20.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.21.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.22.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.23.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.24.0/24 -j SNAT --to-source $INET_IP
$IPT -t nat -A POSTROUTING -s 192.168.25.0/24 -j SNAT --to-source $INET_IP
# Поймать всё, что забыли.
$IPT -A INPUT -j LOG --log-prefix "FORGOT-INPUT "
$IPT -A FORWARD -j LOG --log-prefix "FORGOT-FORWARD "
Код: Выделить всё
$conf{IPN_FW_START_RULE}="sudo iptables -t nat -I REDIR_AUTH -s %IP -j RETURN; sudo iptables -I FORWARD -s %IP -d 0/0 -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn up eth1 %LOGIN %IP". ' > /dev/null 2>&1';
$conf{IPN_FW_STOP_RULE}="sudo iptables -t nat -D REDIR_AUTH -s %IP -j RETURN; sudo iptables -D FORWARD -s %IP -d 0/0 -j ACCEPT; sudo /usr/abills/libexec/linkupdown ipn down eth1 %LOGIN %IP". ' > /dev/null 2>&1';
-
- Сообщения: 95
- Зарегистрирован: Ср июн 23, 2010 4:41 pm
- Откуда: г. Раздельная
- Контактная информация:
Re: переодически пропадают правила шейпера
подскажите плиз где я провтыкал эту дрянь)))