Главная » Форум » Gentoo Linux » Системное администрирование

тормоза route

Heimdall 9 июля, 2009 - 10:57

Есть хост gate.xxx.ru (прописан только в hosts)
От него есть соединение вовне через ppp0 (rp-pppoe) и внутрь через eth0

файл net выглядит так

modules=( "!dhcpc" "!udhcpc" "!pump" "!udhcp" "iproute2")
config_eth0=( "192.168.0.2/24" )
# config_eth2=( "adsl" )
# routes_eth0=( "192.168.0.0/24 via 192.168.0.2 dev eth0" )
config_eth1=( "null" )
config_eth2=( "null" )
config_ath0=( "null" )
# config_eth1=( "192.168.0.37/24" )

Через eth2 работает pppoe
Транзитные пакеты идут через gate нормально. Но на входящий траффик машина не реагирует.
При этом комманда route (без опций) тормозит минуты две и выдаёт следующее.

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
xxx.85.32.1 * 255.255.255.255 UH 0 0 0 ppp0
office * 255.255.255.0 U 0 0 0 eth0
loopback gate.xxx.ru 255.0.0.0 UG 0 0 0 lo
default xxx.85.32.1 0.0.0.0 UG 0 0 0 ppp0

office прописан в networks как 192.168.0.0
Файрволл стоит стандартный для rp-pppoe MASQUERADE.
Соединение adsl через net не поднимается.

Вопроса два. Почему тормозит route? Как изменить настройки чтоб можно было достучаться до gate?

Ну и на засыпку скажите пожалуйста чем отличается ath0 от wifi0 и откуда последний берёться в системе?

‹ Нужно запустить необычный скрипт при старте системы [SOLVED] Postfix + Dovecot. Postfix не знает о Dovecot ›
»

Почему тормозит route? А вот

Автор Pinkbyte, дата создания 9 июля, 2009 - 11:36.
Цитата:
Почему тормозит route?

А вот хз, может DNS не настроен правильно или глючит? Пробуй route -n

Цитата:
Как изменить настройки чтоб можно было достучаться до gate?

Правила iptables в студию - телепаты в отпуске...

Нейтральность - высшее достижение сознания!

»

Причём тут DNS если всё

Автор Heimdall, дата создания 9 июля, 2009 - 11:46.

Причём тут DNS если всё рулиться через файл hosts?
Это тоже самое что вписать ip в конфигах ручками.

»

с опцией n и вправду лучше.

Автор Heimdall, дата создания 9 июля, 2009 - 12:21.

с опцией n и вправду лучше.
dns на другом серваке, работает нормально.
C gate вообще ничего не пингуется.

Правила файрволла следующие:

# Interface to Internet
EXTIF=ppp+

# NAT-Tables are different, so we can use ACCEPT everywhere (?)
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# Flush the NAT-Table
iptables -t nat -F

iptables -t filter -P INPUT DROP
iptables -t filter -F

# Allow incoming SSH
#iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT

# Log & Deny the rest of the privileged ports
iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 0:1023 -j LOG
iptables -t filter -A INPUT -i $EXTIF -p udp --dport 0:1023 -j LOG
iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 0:1023 -j DROP
iptables -t filter -A INPUT -i $EXTIF -p udp --dport 0:1023 -j DROP

# Log & Deny NFS
iptables -t filter -A INPUT -i $EXTIF -p udp --dport 2049 -j LOG
iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 2049 -j LOG
iptables -t filter -A INPUT -i $EXTIF -p udp --dport 2049 -j DROP
iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 2049 -j DROP

# Log & Deny X11
iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 6000:6063 -j LOG
iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 6000:6063 -j DROP

# Log & Deny XFS
iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 7100 -j LOG
iptables -t filter -A INPUT -i $EXTIF -p tcp --dport 7100 -j DROP

# Deny TCP connection attempts
iptables -t filter -A INPUT -i $EXTIF -p tcp --syn -j LOG
iptables -t filter -A INPUT -i $EXTIF -p tcp --syn -j DROP

# Deny ICMP echo-requests
iptables -t filter -A INPUT -i $EXTIF -p icmp --icmp-type echo-request -j DROP

# Do masquerading
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# no IP spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $i
done
fi

# Disable Source Routed Packets
for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $i
done

»

/

Автор Anarchist, дата создания 9 июля, 2009 - 13:45.
Heimdall написал(а):
Причём тут DNS если всё рулиться через файл hosts?
Это тоже самое что вписать ip в конфигах ручками.

Если привести к корректному виду (смотри на разрешение имён) тебе легче станет?

:wq
--
Live free or die

»

Отключил файрволл и всё

Автор Heimdall, дата создания 9 июля, 2009 - 12:57.

Отключил файрволл и всё заработалою
Будем ковырять его.

»

А ещё для внутренних dns

Автор dancingfire, дата создания 9 июля, 2009 - 17:52.

А ещё для внутренних dns записей (gate.xxx.ru в данном случае) лучше использовать зону .local afaik она для этого и предназначена. Это куда правильнее, имхо.

Из приведённого конфига iptables не понятно что в FORWARD и OUTPUT в таблице filter.

»

А ссылку не дадите где

Автор Heimdall, дата создания 10 июля, 2009 - 10:33.

А ссылку не дадите где настройки для локальной зоны лучше описываются.
В FORWARD и OUTPUT нет ничего. Это станлартный конфиг из rp-pppoe

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".