Forum Debian Users Gang

pidraf · 2014-01-24 18:59:20

Witam,
Mam Serwer w serwerowni na których postawione jest kilka virtualek (na hyper-v) pracowało sobie to bardzo fajnie do momentu zmiany serwerowni, w poprzedniej lokalizacji miałem router a tutaj mam switch i bezpośrednie połączenie do "Internetu". MAm tam także kilka zewnętrznych IP (chyba 8). Zrobiłem router na debianie (próbowałem coś dedykowanego ale miałem problem z uruchomieniem tego pod hyper-v, nie widział sieci itd) i IPTABLES. Router DZIAŁAŁ przez kilka miesięcy do momentu gdy musiałem go zrestartować...

Teraz mam taki objaw że: serwery wewnątrz sieci nie mają dostępu do neta, każdy serwer z każdym nie za bardzo chce sie komunikować (komunikacja odbywa się z sekundowymi opóźnieniami), baza danych się "zapycha", w ciągu kilku sekund jest olbrzymia ilość połaczeń do DB (podejżewam że pakiety krązą jak głupie od kompa do kompa).

Prośba jest taka zeby ktoś mi coś podpowiedział co zrobiłem nie tak :(

Dla ułatwienia sprawy podsyłam zawartość IPTABLES z routera.

Kod:

*mangle
:PREROUTING ACCEPT [2267:1572512]
:INPUT ACCEPT [147:12568]
:FORWARD ACCEPT [2044:1555528]
:OUTPUT ACCEPT [76:6948]
:POSTROUTING ACCEPT [2120:1562476]
COMMIT
# Completed on Fri Aug 30 17:41:40 2013
# Generated by iptables-save v1.4.8 on Fri Aug 30 17:41:40 2013
*nat
:PREROUTING ACCEPT [104:6282]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [33:1836]
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.150.20
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.100.5
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.100.30
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.200.21
#-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.150.100
#-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.150.101
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Aug 30 17:41:40 2013
# Generated by iptables-save v1.4.8 on Fri Aug 30 17:41:40 2013
*filter
:INPUT ACCEPT [53:5116]
:FORWARD ACCEPT [89:7239]
:OUTPUT ACCEPT [76:6948]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
COMMIT

eth1 ma adres .150.1, eth1.1 ma .200.1 eth 1.2 .200.1

Kazdy adres zewnętrzny wchodzi osobnym portem sieciówki.

oczywiscie ip_forwarding jest właczony na 1.

Czy ktoś mi coś podpowie?

Ostatnio edytowany przez pidraf (2014-01-24 19:15:28)

Jacekalex · 2014-01-24 19:13:54

Ja tam żadnego filtrowania nie widzę, wszystkie polityki domyślne są ACCEPT.

Kod:

A na przyszłość - wszystkie konfigi, komunikaty systemowe  i logi umieszcza się w znacznikach CODE.

pidraf · 2014-01-24 19:17:21

Wydaje mi się że czegoś nie rozumiem...jakie filtrowania? Co powinienem wycinać? Co tam jest nie tak?

PS. Dzięki za podpowiedź, o code zapomniałem.

pidraf · 2014-01-24 22:22:15

Zadziałało...zmieniło się IPTABLES na takie:

Kod:

# Generated by iptables-save v1.4.8 on Fri Jan 24 21:43:44 2014
*filter
:INPUT ACCEPT [13281:1281234]
:FORWARD ACCEPT [4382:282395]
:OUTPUT ACCEPT [1278:165417]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j ACCEPT
COMMIT
# Completed on Fri Jan 24 21:43:44 2014
# Generated by iptables-save v1.4.8 on Fri Jan 24 21:43:44 2014
*nat
:PREROUTING ACCEPT [28125:1706388]
:INPUT ACCEPT [111:18088]
:OUTPUT ACCEPT [106:8683]
:POSTROUTING ACCEPT [3340:187426]
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.150.20
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.100.5
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.100.30
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.200.21
-A PREROUTING -d adres_zewnetrzny/32 -j DNAT --to-destination 192.168.150.100
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jan 24 21:43:44 2014
# Generated by iptables-save v1.4.8 on Fri Jan 24 21:43:44 2014
*mangle
:PREROUTING ACCEPT [538862:375722264]
:INPUT ACCEPT [14231:1451380]
:FORWARD ACCEPT [502479:372975442]
:OUTPUT ACCEPT [1342:172177]
:POSTROUTING ACCEPT [503757:373140859]
COMMIT
# Completed on Fri Jan 24 21:43:44 2014

Teraz dizała...domyslam się ze chodzi o blokowanie odpowiednich reguł nie chce sprawdzać tego na zywym organiźmie, ponieważ niestety jest to bardzo duzy organizm. Co powinienem zmienic zeby było dobrze?

pidraf · 2014-01-25 22:31:00

Czy na prawde nikt na tym forum nie potrafi odpowiedzieć na to pytanie????

Jacekalex · 2014-01-26 11:19:11

Nikt za Ciebie nie skonfiguruje tego firewalla.

Musisz sobie zrobić jakieś środowisko testowe, gdzie przygotujesz sobie konfigurację, a potem ją wrzucisz na środowisko produkcyjne.

Tu masz instrukcję:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter
A tu mapkę, jak pakiety wędrują przez firewalla:
http://jacekalex.sh.dug.net.pl/Iptables-packet-flow.png

Więc weź się w garść i do roboty.

hello_world · 2014-01-26 11:52:05

Za mało danych.
Musimy wiedzieć:
1.jak wygląda schemat sieci
2.ifconfig
3. route -n
3. ping z routera do swiata
4. czy adresacja na pozostałych stacjach jest po dhcp czy static
5. ping ze stacji roboczej do routera
6. ping ze stacji roboczej do swiata

Jeżeli jest problem z siecią bez pewnych zabiegów trudno wróżyć

Time (s)	Query
0.00012	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00128	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.12.34.209' WHERE u.id=1
0.00066	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.12.34.209', 1733056989)
0.00021	SELECT * FROM punbb_online WHERE logged<1733056689
0.00076	SELECT topic_id FROM punbb_posts WHERE id=253509
0.00094	SELECT id FROM punbb_posts WHERE topic_id=25076 ORDER BY posted
0.00241	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25076 AND t.moved_to IS NULL
0.00008	SELECT search_for, replace_with FROM punbb_censoring
0.00695	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25076 ORDER BY p.id LIMIT 0,25
0.00184	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25076
Total query time: 0.01529 s

Forum Debian Users Gang

Ogłoszenie

#1 2014-01-24 18:59:20

pidraf - Użytkownik

Debian jako router//brama

Kod:

#2 2014-01-24 19:13:54

Jacekalex - Podobno człowiek...;)

Re: Debian jako router//brama

Kod:

#3 2014-01-24 19:17:21

pidraf - Użytkownik

Re: Debian jako router//brama

#4 2014-01-24 22:22:15

pidraf - Użytkownik

Re: Debian jako router//brama

Kod:

#5 2014-01-25 22:31:00

pidraf - Użytkownik

Re: Debian jako router//brama

#6 2014-01-26 11:19:11

Jacekalex - Podobno człowiek...;)

Re: Debian jako router//brama

#7 2014-01-26 11:52:05

hello_world - Członek DUG

Re: Debian jako router//brama

Stopka forum

Informacje debugowania