подскажите плиз
Если и выполнять команду то полную
но и по netstat -na видно что на роутер открыто только одно telnet-соединение.netstat -na | grep ESTABLISHED
З.Ы. Компьютеры с LAN качают не с роутера, а значит и не открывают с ним соединений.
З.Ы.Ы. Для Ваших целей используйте
Здрасте, у меня зависал роурер, сказали увеличить Number of connections to track: в 2 раза я увеличил, через некоторое время он тоже зависал, решил увеличить по максимуму, поставил 16384.
И с таким параметром роутер зависает и выдаёт с логе такие же строчки.
Что мона сделать?Code:00:12:55 06-05-2010 (warning|kern|kernel) ip_conntrack: table full, dropping packet. 00:12:58 06-05-2010 (warning|kern|kernel) NET: 1 messages suppressed. 00:12:58 06-05-2010 (warning|kern|kernel) ip_conntrack: table full, dropping packet. 00:13:04 06-05-2010 (warning|kern|kernel) NET: 48 messages suppressed.
Роутер D-link Dir 320 прошивка WL500gpv2 1.9.2.7-d-r1445
Last edited by dieselslk; 05-05-2010 at 19:45.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
iptables -L -nv
iptables -L -nv -t natCode:Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51778 258 19273 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 660 172K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 20 1920 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW 1065 328K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 3 180 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x17/0x02 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.1 tcp dpt:80 3794 310K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 60620 packets, 3546K bytes) pkts bytes target prot opt in out source destination 1176 60988 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 105K 5125K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 1447K 425M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0 33668 2169K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT 0 0 ACCEPT all -- * br0 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 1819 packets, 500K bytes) pkts bytes target prot opt in out source destination Chain BRUTE (0 references) pkts bytes target prot opt in out source destination Chain MACS (0 references) pkts bytes target prot opt in out source destination Chain SECURITY (0 references) pkts bytes target prot opt in out source destination 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain logaccept (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT ' 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain logdrop (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
iptables -L -nv -t mangleCode:Chain PREROUTING (policy ACCEPT 47273 packets, 3124K bytes) pkts bytes target prot opt in out source destination 40789 2697K VSERVER all -- * * 0.0.0.0/0 92.255.166.74 Chain POSTROUTING (policy ACCEPT 36930 packets, 2405K bytes) pkts bytes target prot opt in out source destination 42814 2744K MASQUERADE all -- * ppp0 !92.255.166.74 0.0.0.0/0 187 12277 SNAT all -- * br0 192.168.1.0/24 192.168.1.0/24 to:192.168.1.1 Chain OUTPUT (policy ACCEPT 319 packets, 45519 bytes) pkts bytes target prot opt in out source destination Chain VSERVER (1 references) pkts bytes target prot opt in out source destination 23668 1172K DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:40598 to:192.168.1.150:40598 0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9528 to:192.168.1.150:9528 13130 1200K DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:40598 to:192.168.1.150:40598 0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:29026 to:192.168.1.241:29026 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:29026 to:192.168.1.241:29026 0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9528 to:192.168.1.150:9528
2 компа подключено через Lan, фаерволл включен.Code:Chain PREROUTING (policy ACCEPT 1734K packets, 483M bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 6422 packets, 914K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 1726K packets, 482M bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 2329 packets, 597K bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1730K packets, 483M bytes) pkts bytes target prot opt in out source destination
Power, снова зависает... как можно решить проблему мою?
Вот честно - я не знаю. Могу предложить поставить эксперимент:
1) перезагружаете роутер
2) подключаетесь к роутеру по telnet или ssh и держите подключение открытым
3) подключаете к роутеру флешку или диск, на который он сможет писать и с которого вы сможете на компе прочитать (например, с файловой системой fat)
4) дожидаетесь, когда в логах появится "ip_conntrack: table full, dropping packet"
5) выполняете команды и копируете результат
6) копируете себе лог роутера из веб-морды либо с помощью командыCode:iptables -L -nv iptables -L -nv -t nat iptables -L -nv -t mangle
7) выполняете командыCode:cat /tmp/syslog.log
8) копируете файл /tmp/ip_conntrack.gz на флешку или каким-то другим способом забираете его с роутера. Скопировать можно, например, командойCode:cat /proc/net/ip_conntrack > /tmp/ip_conntrack gzip /tmp/ip_conntrack
Ну и в конце концов, выкладываете всё собранное добро тут.Code:cp /tmp/ip_conntrack.gz /tmp/mnt/disc0_1/ # зависит от того, куда смонтирована флешка # и не забудьте перед вытаскиванием отмонтировать umount /tmp/mnt/disc0_1
Следует заметить, что в файле ip_conntrack.gz будут IP-адреса и порты всех соединений, которые установлены через роутер (та самая таблица, которая переполняется). Там не будет самих данных, которые передаются, но всё равно достаточно личная информация.
Last edited by Power; 06-05-2010 at 19:52.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Уважаемый Power и все кто может помощь , я прочитал ваше сообщение и провёл эксперимент, сидел ждал строчки "ip_conntrack: table full, dropping packet", сначала их не наблюдалось, решил сбросить настройки роутера, роутер поработал 13 часов и появились эти строчки которые я ждал
Number of connections to track было по делолту 4096
вот результат команд: result.txt
а вот лог ip_conntrack.gz: ip_conntrack.gzCode:iptables -L -nv iptables -L -nv -t nat iptables -L -nv -t mangle
Я не стал ставить в 2 раза больше подключений или максимальный параметр, т.к. до сброса параметров такая же беда была.
Такая беда началась 3 недели назад, и каждый день приходится по пару раз выключать/включать роутер.
И почему то таблица маршрутизации не очищается, скажите почему?
И ещё на одном компе играют в покер на 12 столов, есть подозрения что они забивают сильно таблицу, но я даже когда макс параметр у Number of connections to track поставил, ничего не изменилось.
Прошу помощи
P.S. Пойду ребут
Last edited by dieselslk; 07-05-2010 at 23:31.
Во-первых, вы не приложили лог роутера.
Во-вторых, надо было всё-таки выставить Number of connections to track на максимум, статистика будет точнее.
По имеющимся данным могу сказать, что сейчас большую часть соединений занимает то, что, как я полагаю, является торрентом, на машинах 192.168.1.150 и 192.168.1.241 (на последней в большей степени).
Кстати, не знаю, связано ли это, но я бы на вашем месте попробовал отключить на роутере UPnP и настроить проброс портов вручную.
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.
Вот лог syslog.txt
Сейчас поставлю макс параметр, отключу UPnP.
Тока какие порты пробрасывать? и как правильно?
Товарищи кто подскажет, что с этим делать? Неделю шло нормально, вдруг случилась такая оказия
May 14 23:00:35 kernel: printk: 1 messages suppressed.
May 14 23:00:35 kernel: nf_conntrack: table full, dropping packet.
Роутер РТ-Н16, прошивка RT-N16-1.9.2.7-rtn-r1557.trx
Спасибо
Ну попробуйте увеличить лимит количества соединений ("number of connections to track", если такой параметр есть в веб-морде).
Everybody stand back. I know iptables.
Мой вариант правильного выключения роутера.