Page 6 of 8 FirstFirst ... 45678 LastLast
Results 76 to 90 of 110

Thread: Вопрос по ip_conntrack

  1. #76
    iptables -L -nv
    Code:
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination 
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:51778
      258 19273 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
      660  172K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
       20  1920 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           state NEW
     1065  328K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           state NEW
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:67 dpt:68
        3   180 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 flags:0x17/0x02
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.1         tcp dpt:80
     3794  310K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
    
    Chain FORWARD (policy ACCEPT 60620 packets, 3546K bytes)
     pkts bytes target     prot opt in     out     source               destination 
     1176 60988 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0   
        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
     105K 5125K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    1447K  425M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
        0     0 DROP       all  --  !br0   ppp0    0.0.0.0/0            0.0.0.0/0   
        0     0 DROP       all  --  !br0   vlan1   0.0.0.0/0            0.0.0.0/0   
    33668 2169K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate DNAT
        0     0 ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0   
    
    Chain OUTPUT (policy ACCEPT 1819 packets, 500K bytes)
     pkts bytes target     prot opt in     out     source               destination 
    
    Chain BRUTE (0 references)
     pkts bytes target     prot opt in     out     source               destination 
    
    Chain MACS (0 references)
     pkts bytes target     prot opt in     out     source               destination 
    
    Chain SECURITY (0 references)
     pkts bytes target     prot opt in     out     source               destination 
        0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 1/sec burst 5
        0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 limit: avg 1/sec burst 5
        0     0 RETURN     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 5/sec burst 5
        0     0 RETURN     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 5/sec burst 5
        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   
    
    Chain logaccept (0 references)
     pkts bytes target     prot opt in     out     source               destination 
        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW LOG flags 7 level 4 prefix `ACCEPT '
        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0   
    
    Chain logdrop (0 references)
     pkts bytes target     prot opt in     out     source               destination 
        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW LOG flags 7 level 4 prefix `DROP '
        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
    iptables -L -nv -t nat
    Code:
    Chain PREROUTING (policy ACCEPT 47273 packets, 3124K bytes)
     pkts bytes target     prot opt in     out     source               destination 
    40789 2697K VSERVER    all  --  *      *       0.0.0.0/0            92.255.166.74
    
    Chain POSTROUTING (policy ACCEPT 36930 packets, 2405K bytes)
     pkts bytes target     prot opt in     out     source               destination 
    42814 2744K MASQUERADE  all  --  *      ppp0   !92.255.166.74        0.0.0.0/0  
      187 12277 SNAT       all  --  *      br0     192.168.1.0/24       192.168.1.0/24      to:192.168.1.1
    
    Chain OUTPUT (policy ACCEPT 319 packets, 45519 bytes)
     pkts bytes target     prot opt in     out     source               destination 
    
    Chain VSERVER (1 references)
     pkts bytes target     prot opt in     out     source               destination 
    23668 1172K DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:40598 to:192.168.1.150:40598
        0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:9528 to:192.168.1.150:9528
    13130 1200K DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:40598 to:192.168.1.150:40598
        0     0 DNAT       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:29026 to:192.168.1.241:29026
        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:29026 to:192.168.1.241:29026
        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9528 to:192.168.1.150:9528
    iptables -L -nv -t mangle
    Code:
    Chain PREROUTING (policy ACCEPT 1734K packets, 483M bytes)
     pkts bytes target     prot opt in     out     source               destination 
    
    Chain INPUT (policy ACCEPT 6422 packets, 914K bytes)
     pkts bytes target     prot opt in     out     source               destination 
    
    Chain FORWARD (policy ACCEPT 1726K packets, 482M bytes)
     pkts bytes target     prot opt in     out     source               destination 
    
    Chain OUTPUT (policy ACCEPT 2329 packets, 597K bytes)
     pkts bytes target     prot opt in     out     source               destination 
    
    Chain POSTROUTING (policy ACCEPT 1730K packets, 483M bytes)
     pkts bytes target     prot opt in     out     source               destination
    2 компа подключено через Lan, фаерволл включен.

  2. #77

    Lightbulb ?

    Power, снова зависает... как можно решить проблему мою?

  3. #78
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    Quote Originally Posted by dieselslk View Post
    Power, снова зависает... как можно решить проблему мою?
    Вот честно - я не знаю. Могу предложить поставить эксперимент:
    1) перезагружаете роутер
    2) подключаетесь к роутеру по telnet или ssh и держите подключение открытым
    3) подключаете к роутеру флешку или диск, на который он сможет писать и с которого вы сможете на компе прочитать (например, с файловой системой fat)
    4) дожидаетесь, когда в логах появится "ip_conntrack: table full, dropping packet"
    5) выполняете команды и копируете результат
    Code:
    iptables -L -nv
    iptables -L -nv -t nat
    iptables -L -nv -t mangle
    6) копируете себе лог роутера из веб-морды либо с помощью команды
    Code:
    cat /tmp/syslog.log
    7) выполняете команды
    Code:
    cat /proc/net/ip_conntrack > /tmp/ip_conntrack
    gzip /tmp/ip_conntrack
    8) копируете файл /tmp/ip_conntrack.gz на флешку или каким-то другим способом забираете его с роутера. Скопировать можно, например, командой
    Code:
    cp /tmp/ip_conntrack.gz /tmp/mnt/disc0_1/ # зависит от того, куда смонтирована флешка
    # и не забудьте перед вытаскиванием отмонтировать
    umount /tmp/mnt/disc0_1
    Ну и в конце концов, выкладываете всё собранное добро тут.
    Следует заметить, что в файле ip_conntrack.gz будут IP-адреса и порты всех соединений, которые установлены через роутер (та самая таблица, которая переполняется). Там не будет самих данных, которые передаются, но всё равно достаточно личная информация.
    Last edited by Power; 06-05-2010 at 20:52.
    Everybody stand back. I know iptables.
    Мой вариант правильного выключения роутера.

  4. #79
    Уважаемый Power и все кто может помощь , я прочитал ваше сообщение и провёл эксперимент, сидел ждал строчки "ip_conntrack: table full, dropping packet", сначала их не наблюдалось, решил сбросить настройки роутера, роутер поработал 13 часов и появились эти строчки которые я ждал
    Number of connections to track было по делолту 4096
    вот результат команд: result.txt
    Code:
    iptables -L -nv
    iptables -L -nv -t nat
    iptables -L -nv -t mangle
    а вот лог ip_conntrack.gz: ip_conntrack.gz

    Я не стал ставить в 2 раза больше подключений или максимальный параметр, т.к. до сброса параметров такая же беда была.
    Такая беда началась 3 недели назад, и каждый день приходится по пару раз выключать/включать роутер.
    И почему то таблица маршрутизации не очищается, скажите почему?
    И ещё на одном компе играют в покер на 12 столов, есть подозрения что они забивают сильно таблицу, но я даже когда макс параметр у Number of connections to track поставил, ничего не изменилось.
    Прошу помощи
    P.S. Пойду ребут
    Last edited by dieselslk; 08-05-2010 at 00:31.

  5. #80
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    Quote Originally Posted by dieselslk View Post
    Уважаемый Power и все кто может помощь , я прочитал ваше сообщение и провёл эксперимент, сидел ждал строчки "ip_conntrack: table full, dropping packet", сначала их не наблюдалось, решил сбросить настройки роутера, роутер поработал 13 часов и появились эти строчки которые я ждал
    Number of connections to track было по делолту 4096
    вот результат команд: result.txt
    Code:
    iptables -L -nv
    iptables -L -nv -t nat
    iptables -L -nv -t mangle
    а вот лог ip_conntrack.gz: ip_conntrack.gz

    Я не стал ставить в 2 раза больше подключений или максимальный параметр, т.к. до сброса параметров такая же беда была.
    Такая беда началась 3 недели назад, и каждый день приходится по пару раз выключать/включать роутер.
    И почему то таблица маршрутизации не очищается, скажите почему?
    И ещё на одном компе играют в покер на 12 столов, есть подозрения что они забивают сильно таблицу, но я даже когда макс параметр у Number of connections to track поставил, ничего не изменилось.
    Прошу помощи
    P.S. Пойду ребут
    Во-первых, вы не приложили лог роутера.
    Во-вторых, надо было всё-таки выставить Number of connections to track на максимум, статистика будет точнее.

    По имеющимся данным могу сказать, что сейчас большую часть соединений занимает то, что, как я полагаю, является торрентом, на машинах 192.168.1.150 и 192.168.1.241 (на последней в большей степени).

    Кстати, не знаю, связано ли это, но я бы на вашем месте попробовал отключить на роутере UPnP и настроить проброс портов вручную.
    Everybody stand back. I know iptables.
    Мой вариант правильного выключения роутера.

  6. #81
    Вот лог syslog.txt

    Сейчас поставлю макс параметр, отключу UPnP.
    Тока какие порты пробрасывать? и как правильно?

  7. #82
    Join Date
    Mar 2009
    Location
    Default City
    Posts
    2,684
    Blog Entries
    4
    Quote Originally Posted by dieselslk View Post
    Вот лог syslog.txt

    Сейчас поставлю макс параметр, отключу UPnP.
    Тока какие порты пробрасывать? и как правильно?
    ЭЭЭхххх... А торрент у клиентов Пушкин будет настраивать, на 10Мбит канала нужно 800 соединений... Ну ладно, для Крутых Пацанов 1200...
    При большем/меньшем канале пропорционально увеличиваете/уменьшаете.
    И это всего соединений! Т.е. если 4 машины с постоянно используемым торрентом, то на каждую максимум по 300! Иначе вместо полезной инфоремации вы гоняете кучу служебного трафика попусту забивая канал...


    Порты на каждую машину, по одному порту указанному в Настройка/Конфигурация/Соединение все порты должны быть разые, пробрасываются в Virtual Server на роутере, тип соединения BOTH... В клиенте галки UPNP, NAT-PMP, новый порт при запуске снимаются...

  8. #83

    nf_conntrack: table full, dropping packet

    Товарищи кто подскажет, что с этим делать? Неделю шло нормально, вдруг случилась такая оказия

    May 14 23:00:35 kernel: printk: 1 messages suppressed.
    May 14 23:00:35 kernel: nf_conntrack: table full, dropping packet.

    Роутер РТ-Н16, прошивка RT-N16-1.9.2.7-rtn-r1557.trx

    Спасибо

  9. #84
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    Ну попробуйте увеличить лимит количества соединений ("number of connections to track", если такой параметр есть в веб-морде).
    Everybody stand back. I know iptables.
    Мой вариант правильного выключения роутера.

  10. #85
    Quote Originally Posted by Power View Post
    Ну попробуйте увеличить лимит количества соединений ("number of connections to track", если такой параметр есть в веб-морде).
    Нашел, стояло около 4000, переставил на максимум 16384
    посмотрим
    Спасибо

  11. #86
    Quote Originally Posted by chiefff View Post
    Нашел, стояло около 4000, переставил на максимум 16384
    посмотрим
    Спасибо
    К концу дня все равно появилась запись в логах

  12. #87
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    Quote Originally Posted by chiefff View Post
    К концу дня все равно появилась запись в логах
    Тогда читайте сообщения пользователя dieselslk от сих до сих и ответы на них.
    Everybody stand back. I know iptables.
    Мой вариант правильного выключения роутера.

  13. #88
    вероятно вы имели в виду это:

    [admin@DIR320]$ cat /proc/net/ip_conntrack
    Last edited by magistr6x9; 04-11-2010 at 21:40.

  14. #89

    Стоит задача логировать все соединения

    Добрый день подскажите как лучше чем лучше
    логировать соединения

    т е фиксировать даже транзитные соединения
    локальный компьютер и интернет
    а не только локальный компьютер и маршрутизатор


    простым способом я сделал следующее

    добавил в crom таблицу запись

    создал фскрипт
    /etc/crom.1mins/whoconnect.sh
    дал права на выполнение

    содержимое
    Code:
    grep ESTABLISHED /proc/net/ip_conntrack >> /opt/var/log/whoconnect.log
    date >> /opt/var/log/whoconnect.log
    в crontab
    /opt/etc/crontab
    добавил строку - на минутке не было

    */1 * * * * admin run-parts /opt/etc/cron.1mins




    это результат

    Code:
     
    tcp      6 21599 ESTABLISHED src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx sport=14177 dport=23777 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx sport=23777 dport=14177 [ASSURED] use=1 mark=0 
    tcp      6 21519 ESTABLISHED src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx sport=14465 dport=80 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx sport=80 dport=14465 [ASSURED] use=1 mark=0 
    Mon Nov  8 03:28:01 YEKT 2010
    Mon Nov  8 03:29:01 YEKT 2010
    Mon Nov  8 03:30:01 YEKT 2010
    Mon Nov  8 03:31:01 YEKT 2010
    Разумеется , каждую минуту создается запись даже если не было
    соединения

    Если просто написать на шеле , то как сделать что бы
    при отсутствии соединения пустая записьь не формировалась


    Наверняка есть что то более удобное,
    Но включать фиксацию пакетов на FireWall
    не хочется там сильно большой объем на каждый пакет
    мне достаточно фиксировать факт соединения
    Last edited by yuraz; 08-11-2010 at 05:41.

  15. #90
    В прошивке есть функционал логирования пакетов:
    ASUS RT-N16 1.9.2.7-rtn, Zotac ZBOX (rtorrent@Ubuntu 13.10)

Page 6 of 8 FirstFirst ... 45678 LastLast

Similar Threads

  1. Bad system call with samba-3.0.14a
    By demonv in forum WL-500gP Q&A
    Replies: 7
    Last Post: 13-12-2006, 19:08

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •