» ipchains, iptables etc

наконец я вроде разобрался с IPCHAINS

настроил малость

вроде все работает
но, стало кое что сыпаться в логи.
у меня в ipchains есть такое правило:


Код:
INTERNET="eth0+"
LOOPBACK="127.0.0.0/8"

ipchains -A input -i $INTERNET -s $LOOPBACK -j DENY -l

у меня вот пару вопросов добавилось

вообщем настроил я ipchains на сервера, все работает.
но
хочу делать автоматический редирект на сквидовсий порт, всех исходящих пакетов наружу для 80-го порта, есть следующре правила:


Код:
INTERNET="eth0+"
IPADDR="212.154.144.206/29"
ANYWHERE="any/0"
UNPRIVPORTS="1024:65535"

INET_IN="inet-in"
INET_OUT="inet-out"

ipchains -A output -i $INTERNET -p tcp \
-s $IPADDR $UNPRIVPORTS \
-d $ANYWHERE http -j $INET_OUT

ipchains -A input -i $INTERNET -p tcp \
-s $ANYWHERE http \
-d $IPADDR $UNPRIVPORTS -j $INET_IN

#далее делаю подсчет траффика

ipchains -A $INET_IN -p tcp -d 0/0 $UNPRIVPORTS
ipchains -A $INET_OUT -p tcp -s 0/0 $UNPRIVPORTS

# отредиректить все обращения на 80 порты сквиду
ipchains -A $INET_OUT -p tcp \
-d $ANYWHERE http -j REDIRECT 8080

# вест траффик
ipchains -A $INET_OUT
ipchains -A $INET_IN

ipchains -A $INET_OUT -j ACCEPT
ipchains -A $INET_IN -j ACCEPT

Заколебался уже! не могу настроить файрволл... юзвери в сети не видят самбу... то есть если указывать как \\ххх.ххх.ххх.ххх, то видят, а вот если уазывать как \\samba_server, то не видят. все необходимые порты открыл, а не видно самбу, хотя 137 порт включен. если разрешить неограниченный траффик между сервером и локальной сетью, то NETBIOS Name Service работает... чего еще надо открыть то? вот такие вот правила у меня прописаны...

на предмет ipchains -C - все аккцептится.

ipchains -A input -i $LOCALNET -p udp -s $acc -d $LAN_IPADDR 137 -j $chains{in}
ipchains -A output -i $LOCALNET -p udp -d $acc -s $LAN_IPADDR 137 -j $chains{out}

ipchains -A input -i $LOCALNET -p udp -s $acc -d $LAN_IPADDR 138 -j $chains{in}
ipchains -A output -i $LOCALNET -p udp -d $acc -s $LAN_IPADDR 138 -j $chains{out}

ipchains -A input -i $LOCALNET -p tcp -s $acc -d $LAN_IPADDR 139 -j $chains{in}
ipchains -A output -i $LOCALNET -p tcp -d $acc -s $LAN_IPADDR 139 -j $chains{out}

ipchains -A input -i $LOCALNET -p tcp -s $acc -d $LAN_IPADDR 445 -j $chains{in}
ipchains -A output -i $LOCALNET -p tcp -d $acc -s $LAN_IPADDR 445 -j $chains{out}

Infection
# cat /etc/services |grep netbios
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
netbios-ssn 139/tcp # NETBIOS session service
netbios-ssn 139/udp

Порт 445 я бы не рискнула открывать, ведь именно через этот порт происходит инфицирование M$ виндовз, или я ошибаюсь?;)

ginger,

ginger

по документации прочитал, что используются порты
137 UDP
138 UDP
139 TCP
445 TCP

о чем даже говорит следующая команда:
www:/etc# netstat -an|grep 23
tcp 0 0 192.168.0.23:53 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.23:139 192.168.0.7:1028 ESTABLISHED
tcp 0 0 192.168.0.23:139 192.168.0.9:1030 ESTABLISHED
tcp 0 0 192.168.0.23:139 192.168.0.11:1029 ESTABLISHED
tcp 0 0 192.168.0.23:22 192.168.0.1:2651 ESTABLISHED
tcp 0 0 192.168.0.23:139 192.168.0.1:2516 ESTABLISHED
tcp 0 0 192.168.0.23:139 192.168.0.4:1034 ESTABLISHED
tcp 0 0 192.168.0.23:139 192.168.0.12:1031 ESTABLISHED
udp 0 0 192.168.0.23:137 0.0.0.0:*
udp 0 0 192.168.0.23:138 0.0.0.0:*
udp 0 0 192.168.0.23:53 0.0.0.0:*

настроил соответствующим образом ipchains, а вот доступ к серверу из адресной строки (\\www) не работает. только как \\192.168.0.23


www:/etc# cat hostname
www
www:/etc#

проверка ipchains отвечает следующее:
www:/etc# ipchains -C input -i eth1 -s 192.168.0.1 12345 -d 192.168.0.1 137 -p udp
accepted
www:/etc# ipchains -C output -i eth1 -d 192.168.0.1 12345 -s 192.168.0.1 137 -p udp
accepted

временно пришлось поставить
ipchains -A input -i $LOCALNET -s $LAN_ADDRESSES -j ACCEPT
ipchains -A output -i $LOCALNET -d $LAN_ADDRESSES -j ACCEPT

в настройках самбы
server string = %h server (Debian GNU Linux);

поставил просто
server string = %h

может будет работать. вечером, как бухи уйдут, проверю. Возможно в этом проблема.

Добавлено
только вот не понятно почему не видно через \\samba_server

порты
137
138
139
445
пробовал открывать по обоим протоколам... монопенисуально!

Infection
Я что-то не совсем понял связи между тем, как настроен твой брандмауэр, и резолвингом имен. Может все-таки стоит настроить WINS/DNS?

ooptimum
при чем тут DNS, когда резольвингом имен занимается NETBIOS Name Service

и потом в любом случае у меня поднят DNS сервер

Цитата:

при чем тут DNS, когда резольвингом имен занимается NETBIOS Name Service

W2K,XP,2003 по умолчанию резолвят имена через DNS, вот при чем. В общем, по моему убеждению, в твоем случае настройки брандмауэра совершенно не при чем. Копай в сторону резолвинга имен, а не в сторону открытых портов.

ooptimum, да.. не спорю, что что именя резольвятся через DNS, но ни как не нетбиосовские.

да.. копать надо в сторону резолвинга имен, но не биндов, а нетбоиса... и настройки файрвола тут очень даже при чем...

необходимо было открыть прохождения пакетов между сервером и целевым широковещательным каналом по 137-му порту, дабы оповещать сеть о присутствии самой самбы

Infection

Цитата:

ooptimum, да.. не спорю, что что именя резольвятся через DNS, но ни как не нетбиосовские.

И нетбиосовские тоже, не спорь. Или проверь прежде чем спорить. Ok? Спорь аргументированно.

Цитата:

необходимо было открыть прохождения пакетов между сервером и целевым широковещательным каналом по 137-му порту, дабы оповещать сеть о присутствии самой самбы

Что это такое -- "целевой широковещательный канал"? Может там и надо было что-то открывать -- я не знаю топологию твоей сети, но тот факт, что по IP твой сервер нормально доступен, а по имени -- нет, ясно говорит мне о том, что открытых портов более чем достаточно и проблема именно в резолвинге имен. Задумайся, netbios-имя введено только для того, чтобы тебе было удобно запоминать адреса (или имена) ресурсов, компьютеры же обращаются исключительно по IP-адресам (в IP cетях). Когда ты обращаешься к ресурсу по его netbios-имени, то оно сначала разрешается в IP-адрес и уже только затем происходит само обращение по этому адресу. При обращении напрямую по IP-адресу стадия резолвинга netbios-имени отсутствует. В твоем случае обращение по IP-адресу работает, а по netbios-имени -- нет. Значит где происходит проблема? Правильно -- на стадии разрешения (резолвинга) netbios-имени в IP-адрес. Ну и при чем тут широковещание? Широковещание на твоем samba-сервере вообще ни к чему, ибо оно используется в основном только клиентами SMB/CIFS сетей для того, чтобы определить, какие сервера доступны, и, например, отобразить их список в твоем сетевом окружении. Сервера же используют широковещательные запросы только в некоторых случаях, по моему мнению не имеющих отношения к твоей проблеме.

PS. Ты реально думаешь, что я берусь отвечать на вопросы не разбираясь в них в достаточной степени?

у меня тоже проблемка помогите плиз!поставил себе на сервак RedHat advaced server 2.1! как говоритя решил перейти на линукс!
Сервер С900 256 RAM hdd 20 gb! LAN 2pcs- realtec 8139
1. при вводе команд ipchains iptables ifconfig route routed говорит команда не известна! фактически я ничего из за этого не могу сделать!
2.через сервер сооветсвенно ни куда не выйдешь зато с него, нет проблем, в инет заходишь куда хочешь!! использовал Konqueror!
3. Если нужно сделать компиляцию ядра скажите как или доку дайте плиз!
4. Как доставить нужные сервисы если чего то не хватает?
5. X стоят KDE GNOME!
6. Использую sDSL с модема в хаб из хаба в сервер и далее...

Сервер стоит в нет клубе и хозяин попросил поставить линукс и меня немного напрягает, вот хочу заодно научится чтобы не было таких траблов с настройкой програмного обеспечения! В винде без проблем могу все сделать а здесь я никто!

Mavn

Цитата:

1. при вводе команд ipchains iptables ifconfig route routed говорит команда не известна! фактически я ничего из за этого не могу сделать!

Эти команды доступны пользователю root.


Цитата:

2.через сервер сооветсвенно ни куда не выйдешь зато с него, нет проблем, в инет заходишь куда хочешь!! использовал Konqueror!

Ничего страшного, нужно произвисти настройку машрутизации, а так же средств защиты.


Цитата:

3. Если нужно сделать компиляцию ядра скажите как или доку дайте плиз!

Этого делать не стоит. Нужно зайти на сервер RedHat'а, в разделе поддержки найти последнюю версию ядра для Вашей платформы, скачать и установить.
Например:
# rpm -Uvh kernel-2.4.24.i686.rpm


Цитата:

4. Как доставить нужные сервисы если чего то не хватает?

Смотря что требуется...;)
Чтобы посмотреть что установлено введите команду вида:
# rpm -qa|grep more
Установка выполняется командой rpm -ivh, либо обновление пакета командой rpm -Uvh, так же целесообразно посмотреть помощь rpm --help


Цитата:

5. X стоят KDE GNOME!

Ну это совершенно лишнее, за исключением если Вы работаете в графическом режеме.

В общем от Вас требуется больше информации...

Пасиб! уже НАТ настроил! в нет выхожу теперь! ядро у меня 2.4.9!
1. как настроить файервол? у меня веб камеры ходят через yahoo, msn messengers и звук через них же. ICQ Odigo
При сканировании Xspider 6.5 выдает следующее
Компьютер находится в сети (TTL = 254) >>>
Cеть класса A (максимальное число компьютеров 16.777.214)
TCP порты
- открытые : 3
- закрытые : 2937
- недоступные : 0
- порт 22/tcp
сервис SSH - Security Shell
SSH-1.99-OpenSSH_3.1p1 >>>
версии поддерживаемых протоколов: 1.33 1.5 1.99 2.0
версии протокола 1.33 и 1.5 недостаточно защищены криптографически >>>
подозрение на существование уязвимости
командная строка с правами root :::::
- порт 111/tcp
сервис RPC Port Mapper (карта портов)
список портов:
100000 - vers=2 (tcp : 111) - Port Mapper
100000 - vers=2 (udp : 111) - Port Mapper
100024 - vers=1 (udp : 32768) - status
100024 - vers=1 (tcp : 32768) - status
391002 - vers=2 (tcp : 32769) - sgi_fam
- порт 6000/tcp
- порт 32768/tcp
сервис "status" >>>
сервис стандарта RPC unix >>>
подозрение на существование уязвимости
возможность получения привилегий root в ОС Linux :::::
- порт 32769/tcp
сервис "sgi_fam" >>>
- порт 111/udp
сервис RPC Port Mapper (UDP)
2. Статистику на инет.
3. Домен, желаетльно настроить так чтобы компы после 24:00 не могли войти в сеть!
4. ДНС
5. Ограничение на инет чтобы в 24:00 инет отключался или через пароль!
6. Результаты Статистики по инету по каждому компу и в сумме (Kb,Mb) все высылались на почтовый ящик типа mavn@mail.ru

Mavn

Цитата:

Пасиб! уже НАТ настроил! в нет выхожу теперь! ядро у меня 2.4.9!

Нужно обновить до последней неуязвимой версии, http://updates.redhat.com


Цитата:

1. как настроить файервол? у меня веб камеры ходят через yahoo, msn messengers и звук через них же. ICQ Odigo

...;)
Читать документацию...;) Зарубить себе на носу правило касательно фаервола - все что не разрешено, то запрещено, т.е. изначально должно быть запрещено ВСЕ! Открывать только то что требуется.
Чтобы долго голову не ломать можно воспользоваться готовым достаточно гибким скриптом обеспечивающим защиту при помощи iptables, http://www.giptables.org


Цитата:

- порт 22/tcp
сервис SSH - Security Shell
SSH-1.99-OpenSSH_3.1p1 >>>

Обновить SSH, до последней неуязвимой версии, http://updates.redhat.com


Цитата:

- порт 111/tcp
сервис RPC Port Mapper (карта портов)
список портов:
100000 - vers=2 (tcp : 111) - Port Mapper
100000 - vers=2 (udp : 111) - Port Mapper
100024 - vers=1 (udp : 32768) - status
100024 - vers=1 (tcp : 32768) - status
391002 - vers=2 (tcp : 32769) - sgi_fam

Отключить этот сервис, он Вам не нужен. Может быть использован для захвата системной информации, такой как пароли и для чтения и записи файлов.


Цитата:

- порт 6000/tcp

О, да... о чем собственно я и говорила в предыдущем посте, X'ы на сервере не нужны! Работать нужно в консоли...;) Может пропускать информацию от X Window дисплеев, включая все нажатия клавиш.

2. Статистику на инет.
Вполне справедливое требование;) Однако здесь слов мало, скорее всего нужно воспользоваться дополнительной программкой... их масса - выбирать Вам... возможно Вам подойдет на эту роль прокси сервер squid... чтобы далеко не ходить загляните в Программы/Варезник...


Цитата:

3. Домен, желаетльно настроить так чтобы компы после 24:00 не могли войти в сеть!

...;)
Домен?;) Вы немного не разобрались что есть что...;) А ну! Бегом читать...;)
На эту роль хорошо подойдет squid+squidGuard...


Цитата:

4. ДНС

А что ДНС? Вообще... что такое ДНС, т.е. DNS? Domain Name Service не так ли?;) Т.е. по русски сервер имен...
Читаем документацию про Bind..;)


Цитата:

5. Ограничение на инет чтобы в 24:00 инет отключался или через пароль!

Смотри ответ на пункт 3...;)


Цитата:

6. Результаты Статистики по инету по каждому компу и в сумме (Kb,Mb) все высылались на почтовый ящик типа mavn@mail.ru

...;)
...эх, была б волшебная палочка, да?;)

P.S. В общем, если нужна помощь по настройке то прошу в ПМ.

Господа, помогите разобраться, достался тут линух на админку.

В общем на нем все порезано ipchains предыдущим админом.

Ничего менять не хочу, но не работает SMTP

Поглядите в вот что у меня в /etc/sysconfig/ipchains


Код:
:input ACCEPT
:forward ACCEPT
utput ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 ssh:ssh -p tcp -j ACCEPT
-A input -s 192.168.0.0/255.255.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d ! 195.131.xx.xxx/255.255.255.255 -i eth1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 195.131.yy.yyy/255.255.255.255 -d 0.0.0.0/0.0.0.0 22:22 -i eth1 -p 6 -j ACCEPT -y
-A input -s 195.131.zz.zzz/255.255.255.255 -d 0.0.0.0/0.0.0.0 22:22 -i eth1 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 195.161.aaa.aaa/255.255.255.240 -d 0.0.0.0/0.0.0.0 514:514 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 514:514 -p 17 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d 195.131.xx.xxx/255.255.255.255 3128:3128 -i eth1 -p 6 -j DENY -y
-A input -s 195.131.yy.yyy/255.255.255.255 -d 0.0.0.0/0.0.0.0 143:143 -p 6 -j ACCEPT -y
-A input -s ! 195.131.zz.zzz/255.255.255.255 -d 195.131.yy.yyy/255.255.255.255 8080:8080 -i eth1 -p 6 -j DENY -y
-A input -s 0.0.0.0/0.0.0.0 -d 195.131.xx.xxx/255.255.255.255 0:1023 -i eth1 -p 6 -j DENY -y
-A input -s 0.0.0.0/0.0.0.0 -d 195.131.xx.xxx/255.255.255.255 0:1023 -i eth1 -p 17 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -i eth0 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -i eth0 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -i eth0 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 3128:3128 -i eth0 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -i eth0 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -i eth0 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -i eth0 -p 17 -j REJECT
-A forward -s 192.168.0.0/255.255.0.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ
-A output -s 0.0.0.0/0.0.0.0 -d ! 192.168.0.0/255.255.0.0 -i eth0 -j DENY
-A output -s ! 195.131.xx.xxx/255.255.255.255 -d 0.0.0.0/0.0.0.0 -i eth1 -j DENY

alexhemp

Цитата:

проверяю так - делаю с самого сервака и с хоста во внутренней сети (которая за NAT-ом выходит) telnet smtp.мой-провайдер.ru 25
Снаружи на 25 порт коннект доступен, т.е. SendMail принять почту может, а отправить - нет.

Трогать правила INPUT не следует, раз почта нормально приходит, нужно всего лишь добавить правило для OUTPUT, например так:
ipchains -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -i eth0 -j ACCEPT

ginger
Да, после добавления такого правила, с терминала стал ходить по 25 порту. Потом из внутренней сетки проверю.

Не врублюсь я никак в логику эту Нафига столько разных цепочек. ipfw не в пример удобнее кажется - хотя может просто привык, ничего другого не юзаю.

alexhemp
Вам нужно обратиться к документации по ipchains, тогда станет сразу все понятно...
К тому же в современных ОС linux используется iptables... так что придется почитать и об этом.

ginger

Да нет ни времени - ни желания просто. Сервак приблудный, если серьезно сломается, поставим туда FreeBSD с его привычным ipfw . Сервак удаленный, платят за это немного, так что проще ipchains 1 раз починить, чем на ездить через весь город.

Все таки не пойму - нафиг ему несколько цепочек?

Почему было не сделать так как в ipfw - ведь пакеты все равно попадают на хост, разносить их по цепочкам - лишняя трата времени.

Спасибо тебе за помощь!

alexhemp

Цитата:

Все таки не пойму - нафиг ему несколько цепочек?

Почему было не сделать так как в ipfw - ведь пакеты все равно попадают на хост, разносить их по цепочкам - лишняя трата времени.

потому что цепочки экономят процессорное время...
это у тебя может быть 40 правил

а у меня на ipchains построена биллинговая система и правил около 1000 штук, так что без цепочек тут не обойтись

немогу попасть на внутренний IRC с инета
вобщем имеется локалка 192.168.1.1 шлюз (eth0-a.a.a.a - провайдер eth1-192.168.1.1 в качестве фаирвола iptables) в локалке на 192.168.1.2 поднят IRC server. Задача - с определенного адреса в интернете (b.b.b.b) попасть на IRCу.
в iptables имеем:
Chain PREROUTING (policy ACCEPT)
target prot opt in out source destination
DNAT tcp -- * * 0.0.0.0/0 a.a.a.a tcp dpt:6667 to:192.168.1.2:6667
(поидее все пакеты приходящие на a.a.a.a на 6667 порт должны перенаправиться на 192.168.1.2 на порт 6667)
в Chain FORWARD (policy DROP)
target prot opt in out source destination
ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 7 prefix `IPT FORWARD packet died: '
при коннекте мирки с b.b.b.b на шлюзе по tcpdump -i eth0 port 6667 вижу:
12:48:57.502121 b.b.b.b.45550 > a.a.a.a.ircd: S 5437808:5437808(0) win 8192 <mss 1422,nop,nop,sackOK>
самже мирка пишет "Невозможно подключиться к серверу (Соединение прервано по тайм-ауту)"
Впринципе все делал по Iptables Tutorial 1.1.19, что еще нужно для проброса?
С пробросом на 80 порт - аналогичная ситуация

стоит мой мейл сервак
релей по авторизации

есть еще один чужой сервер, они по POP3 забирают почту с моего сервера. У них тоже стоит мейл сервак и они сами могут отправлять почту, но отправляют через меня.

Но я не хочу чтобы они это делали через меня, пусть через свой сервак отправляют почту, у меня и так канал слабенький, сначало от них принять, потом куда-то отослать...

ну и написал правило:

ipchains -A input -i $INTERNET -p tcp -s 213.213.213.213/28 $UNPRIVPORTS -d $IPADDR smtp -y -j REJECT

а теперь получается так, что они если шлют просто почто на мой сервак, то письма встают в очередь и не могут долететь до меня. в чем трабла?

Цитата:

12:48:57.502121 b.b.b.b.45550 > a.a.a.a.ircd: S 5437808:5437808(0) win 8192 <mss 1422,nop,nop,sackOK>
самже мирка пишет "Невозможно подключиться к серверу (Соединение прервано по тайм-ауту)"

$IPTABLES -A FORWARD -p TCP -i eth0 --dport 6667 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i eth0 --dport 80 -j ACCEPT

Стал пересаживаться на новые серванты и новые линухи )) Узнал что ipchains давно уже умер и на замену ему пришёл iptables. С ним пришёл странный вопрос. При роутинге на фтп порты download и коннект работает на ура и очень быстро. Но вот upload на сервант который стоит за файрволом работает очень медленно. (56-45 кб на гигабитке). При коннекте с файрвола на сервант upload работает 250-300 кб в сек (как примерно и со старого серванта с ipchains). Уверен, что проблема в Iptables. Никто не сталкивался?

Прилагаю конфиг:

eth0 - инет, eth1 - локаль.

#!/bin/sh

/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j DROP
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
/sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j DROP
/sbin/iptables -A INPUT -s 192.168.111.0/24 -i eth0 -j DROP

/sbin/iptables -t nat -A POSTROUTING -s loc -j SNAT --to-source inet

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT


/sbin/iptables -A FORWARD -s loc -p tcp --dport 5190 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p udp --dport 123 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p udp --dport 2074 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p udp --dport 4000 -j ACCEPT
/sbin/iptables -A FORWARD -s loc -p icmp -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -s contra -j DROP
/sbin/iptables -A INPUT -s virus -j DROP


В мануалах ничего похожего что-то не нашёл.

alexxxss

Цитата:

Узнал что ipchains давно уже умер

Да ну?! Когда? А у меня, вот, работает до сих пор.

Цитата:

Уверен, что проблема в Iptables.

Загрузка CPU на шлюзе в этот момент какая? Шейперов нет, насколько понимаю? Уверен, что FTP-сервант не загружен в это время обрабокой других запросов?

ooptimum
Это я вроде как пошутил Просто интересно разобраться в том, что сейчас идёт во всех новых сборках. FTP сервант безусловно другие запросы обрабатывает, но при замене шлюза на старый сервант с ipchains upload работает быстро. На новом при форварде upload что-то вроде 19-20% загрузка cpu. Но что странно - при download через него цифры схожие, хотя скорость неизмеримо больше. Пробовал через него upload на другие фтпшники - та же картина. Такое впечатление, словно где-то прописан лимит на форвард данных через порт фтп, но не могу понять где.

alexxxss
Многое зависит от того, как там твое соединение с FTP устанавливается. Посмотри, есть ли у тебя такие модули в списке загруженных модулей:

Module Size Used by Not tainted
ip_nat_ftp 3056 0 (unused)
iptable_nat 17318 1 [ip_nat_ftp]
ip_tables 12800 3 [iptable_nat]
ip_conntrack_ftp 4048 1 [ip_nat_ftp]
ip_conntrack 21724 1 [ip_nat_ftp iptable_nat ip_conntrack_ftp]

Если да, то выгрузи их и проверь аплоад в такой конфигурации, но обязательно (!) в пассивном режиме.

ooptimum
Я так понял нужно проверить всё, что относится к маршрутризации именно в таком конфиге?

У меня сейчас:

Module Size Used by Not tainted
ip_nat_ftp 4080 0 (unused)
ip_conntrack_ftp 5328 1 [ip_nat_ftp]
ipt_state 1112 2 (autoclean)
iptable_filter 2444 1 (autoclean)
iptable_nat 22918 2 (autoclean) [ip_nat_ftp]
ip_conntrack 37512 3 (autoclean) [ip_nat_ftp ip_conntrack_ftp ipt_state iptable_nat]
iptable_mangle 2808 0 (autoclean) (unused)
ip_tables 15744 6 [ipt_state iptable_filter iptable_nat iptable_mangle]

alexxxss
Вот теперь выполняй `rmmod ip_nat_ftp iptable_nat ip_conntrack_ftp ip_conntrack` и смотри, не повысится ли скорость аплоада. Только в пассивном режиме, как уже писал.

ooptimum
Позже пишу, чем решил проблему - вообщем зря я ьалоны катил на iptables - проблема была в соединении, свитч на пару портов стал глючить - по гарантии поменял, всё стало пучком. Спасибо за помощь.