Power, снова зависает... как можно решить проблему мою?
iptables -L -nv
iptables -L -nv -t natCode:Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51778 258 19273 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 660 172K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 20 1920 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW 1065 328K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 3 180 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x17/0x02 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80 3794 310K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 60620 packets, 3546K bytes) pkts bytes target prot opt in out source destination 1176 60988 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 105K 5125K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 1447K 425M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0 33668 2169K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT 0 0 ACCEPT all -- * br0 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 1819 packets, 500K bytes) pkts bytes target prot opt in out source destination Chain BRUTE (0 references) pkts bytes target prot opt in out source destination Chain MACS (0 references) pkts bytes target prot opt in out source destination Chain SECURITY (0 references) pkts bytes target prot opt in out source destination 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain logaccept (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT ' 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain logdrop (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
iptables -L -nv -t mangleCode:Chain PREROUTING (policy ACCEPT 47273 packets, 3124K bytes) pkts bytes target prot opt in out source destination 40789 2697K VSERVER all -- * * 0.0.0.0/0 92.255.166.74 Chain POSTROUTING (policy ACCEPT 36930 packets, 2405K bytes) pkts bytes target prot opt in out source destination 42814 2744K MASQUERADE all -- * ppp0 !92.255.166.74 0.0.0.0/0 187 12277 SNAT all -- * br0 192.168.1.0/24 192.168.1.0/24 to:192.168.1.1 Chain OUTPUT (policy ACCEPT 319 packets, 45519 bytes) pkts bytes target prot opt in out source destination Chain VSERVER (1 references) pkts bytes target prot opt in out source destination 23668 1172K DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:40598 to:192.168.1.150:40598 0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9528 to:192.168.1.150:9528 13130 1200K DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:40598 to:192.168.1.150:40598 0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:29026 to:192.168.1.241:29026 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:29026 to:192.168.1.241:29026 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9528 to:192.168.1.150:9528
2 компа подключено через Lan, фаерволл включен.Code:Chain PREROUTING (policy ACCEPT 1734K packets, 483M bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 6422 packets, 914K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 1726K packets, 482M bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 2329 packets, 597K bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1730K packets, 483M bytes) pkts bytes target prot opt in out source destination
Power, снова зависает... как можно решить проблему мою?
Вот честно - я не знаю. Могу предложить поставить эксперимент:
1) перезагружаете роутер
2) подключаетесь к роутеру по telnet или ssh и держите подключение открытым
3) подключаете к роутеру флешку или диск, на который он сможет писать и с которого вы сможете на компе прочитать (например, с файловой системой fat)
4) дожидаетесь, когда в логах появится "ip_conntrack: table full, dropping packet"
5) выполняете команды и копируете результат
6) копируете себе лог роутера из веб-морды либо с помощью командыCode:iptables -L -nv iptables -L -nv -t nat iptables -L -nv -t mangle
7) выполняете командыCode:cat /tmp/syslog.log
8) копируете файл /tmp/ip_conntrack.gz на флешку или каким-то другим способом забираете его с роутера. Скопировать можно, например, командойCode:cat /proc/net/ip_conntrack > /tmp/ip_conntrack gzip /tmp/ip_conntrack
Ну и в конце концов, выкладываете всё собранное добро тут.Code:cp /tmp/ip_conntrack.gz /tmp/mnt/disc0_1/ # зависит от того, куда смонтирована флешка # и не забудьте перед вытаскиванием отмонтировать umount /tmp/mnt/disc0_1
Следует заметить, что в файле ip_conntrack.gz будут IP-адреса и порты всех соединений, которые установлены через роутер (та самая таблица, которая переполняется). Там не будет самих данных, которые передаются, но всё равно достаточно личная информация.
Last edited by Power; 06-05-2010 at 19:52.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Уважаемый Power и все кто может помощь , я прочитал ваше сообщение и провёл эксперимент, сидел ждал строчки "ip_conntrack: table full, dropping packet", сначала их не наблюдалось, решил сбросить настройки роутера, роутер поработал 13 часов и появились эти строчки которые я ждал
Number of connections to track было по делолту 4096
вот результат команд: result.txt
а вот лог ip_conntrack.gz: ip_conntrack.gzCode:iptables -L -nv iptables -L -nv -t nat iptables -L -nv -t mangle
Я не стал ставить в 2 раза больше подключений или максимальный параметр, т.к. до сброса параметров такая же беда была.
Такая беда началась 3 недели назад, и каждый день приходится по пару раз выключать/включать роутер.
И почему то таблица маршрутизации не очищается, скажите почему?
И ещё на одном компе играют в покер на 12 столов, есть подозрения что они забивают сильно таблицу, но я даже когда макс параметр у Number of connections to track поставил, ничего не изменилось.
Прошу помощи
P.S. Пойду ребут
Last edited by dieselslk; 07-05-2010 at 23:31.
Во-первых, вы не приложили лог роутера.
Во-вторых, надо было всё-таки выставить Number of connections to track на максимум, статистика будет точнее.
По имеющимся данным могу сказать, что сейчас большую часть соединений занимает то, что, как я полагаю, является торрентом, на машинах 192.168.1.150 и 192.168.1.241 (на последней в большей степени).
Кстати, не знаю, связано ли это, но я бы на вашем месте попробовал отключить на роутере UPnP и настроить проброс портов вручную.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Вот лог syslog.txt
Сейчас поставлю макс параметр, отключу UPnP.
Тока какие порты пробрасывать? и как правильно?
ЭЭЭхххх... А торрент у клиентов Пушкин будет настраивать, на 10Мбит канала нужно 800 соединений... Ну ладно, для Крутых Пацанов 1200...
При большем/меньшем канале пропорционально увеличиваете/уменьшаете.
И это всего соединений! Т.е. если 4 машины с постоянно используемым торрентом, то на каждую максимум по 300! Иначе вместо полезной инфоремации вы гоняете кучу служебного трафика попусту забивая канал...
Порты на каждую машину, по одному порту указанному в Настройка/Конфигурация/Соединение все порты должны быть разые, пробрасываются в Virtual Server на роутере, тип соединения BOTH... В клиенте галки UPNP, NAT-PMP, новый порт при запуске снимаются...
Товарищи кто подскажет, что с этим делать? Неделю шло нормально, вдруг случилась такая оказия
May 14 23:00:35 kernel: printk: 1 messages suppressed.
May 14 23:00:35 kernel: nf_conntrack: table full, dropping packet.
Роутер РТ-Н16, прошивка RT-N16-1.9.2.7-rtn-r1557.trx
Спасибо
Ну попробуйте увеличить лимит количества соединений ("number of connections to track", если такой параметр есть в веб-морде).
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
вероятно вы имели в виду это:
[admin@DIR320]$ cat /proc/net/ip_conntrack
Last edited by magistr6x9; 04-11-2010 at 20:40.
Добрый день подскажите как лучше чем лучше
логировать соединения
т е фиксировать даже транзитные соединения
локальный компьютер и интернет
а не только локальный компьютер и маршрутизатор
простым способом я сделал следующее
добавил в crom таблицу запись
создал фскрипт
/etc/crom.1mins/whoconnect.sh
дал права на выполнение
содержимое
в crontabCode:grep ESTABLISHED /proc/net/ip_conntrack >> /opt/var/log/whoconnect.log date >> /opt/var/log/whoconnect.log
/opt/etc/crontab
добавил строку - на минутке не было
*/1 * * * * admin run-parts /opt/etc/cron.1mins
это результат
Разумеется , каждую минуту создается запись даже если не былоCode:tcp 6 21599 ESTABLISHED src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx sport=14177 dport=23777 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx sport=23777 dport=14177 [ASSURED] use=1 mark=0 tcp 6 21519 ESTABLISHED src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx sport=14465 dport=80 src=xxx.xxx.xxx.xxx dst=xxx.xxx.xxx.xxx sport=80 dport=14465 [ASSURED] use=1 mark=0 Mon Nov 8 03:28:01 YEKT 2010 Mon Nov 8 03:29:01 YEKT 2010 Mon Nov 8 03:30:01 YEKT 2010 Mon Nov 8 03:31:01 YEKT 2010
соединения
Если просто написать на шеле , то как сделать что бы
при отсутствии соединения пустая записьь не формировалась
Наверняка есть что то более удобное,
Но включать фиксацию пакетов на FireWall
не хочется там сильно большой объем на каждый пакет
мне достаточно фиксировать факт соединения
Last edited by yuraz; 08-11-2010 at 04:41.
В прошивке есть функционал логирования пакетов:
ASUS RT-N16 1.9.2.7-rtn, Zotac ZBOX (rtorrent@Ubuntu 13.10)