The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables проблема с icq"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"iptables проблема с icq"  
Сообщение от amix email(??) on 14-Янв-09, 12:57 
Существует проблема с работой icq через линуксовый нат
2.6.27-gentoo-r7 + ipset патч
#iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.32.0.0/14         0.0.0.0/0           to:93.157.184.1-93.157.184.126

у пользователей не пашет аська, tcpdump ничего криминального не выдает, в протоколе oscar я не силен, зашел в тупик.
Если у кого есть идеи, сталкивался с подобным - прошу помощи

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables проблема с icq"  
Сообщение от wertik (ok) on 14-Янв-09, 13:11 
>[оверквотинг удален]
>target     prot opt source    
>          destination
>
>SNAT       all  --  10.32.0.0/14
>        0.0.0.0/0  
>        to:93.157.184.1-93.157.184.126
>
>у пользователей не пашет аська, tcpdump ничего криминального не выдает, в протоколе
>oscar я не силен, зашел в тупик.
>Если у кого есть идеи, сталкивался с подобным - прошу помощи

iptables-save -c покажи
и с роутера
telnet login.icq.com 5190

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables проблема с icq"  
Сообщение от amix email(ok) on 14-Янв-09, 13:18 
>iptables-save -c покажи

# Generated by iptables-save v1.4.0 on Wed Jan 14 13:16:52 2009
*raw
:PREROUTING ACCEPT [55118225486:39746072203874]
:OUTPUT ACCEPT [800289606:70199395716]
COMMIT
# Completed on Wed Jan 14 13:16:52 2009
# Generated by iptables-save v1.4.0 on Wed Jan 14 13:16:52 2009
*nat
:PREROUTING ACCEPT [1341831593:88132067429]
:POSTROUTING ACCEPT [80947:5915545]
:OUTPUT ACCEPT [80991:5918185]
[800571699:47701582483] -A PREROUTING -i eth1 -j RETURN
[540928807:40408009511] -A POSTROUTING -s 10.32.0.0/14 -o eth1 -j SNAT --to-source 93.157.184.1-93.157.184.126
COMMIT
# Completed on Wed Jan 14 13:16:52 2009
# Generated by iptables-save v1.4.0 on Wed Jan 14 13:16:52 2009
*mangle
:PREROUTING ACCEPT [55118224536:39746072192162]
:INPUT ACCEPT [2023415:218776573]
:FORWARD ACCEPT [54301836879:39695013598021]
:OUTPUT ACCEPT [800289616:70199398180]
:POSTROUTING ACCEPT [55102126495:39765212996201]
COMMIT
# Completed on Wed Jan 14 13:16:52 2009
# Generated by iptables-save v1.4.0 on Wed Jan 14 13:16:52 2009
*filter
:INPUT ACCEPT [2023415:218776573]
:FORWARD ACCEPT [54301836884:39695013601013]
:OUTPUT ACCEPT [800289618:70199398444]
COMMIT
# Completed on Wed Jan 14 13:16:52 2009

>и с роутера

# telnet login.icq.com 5190
Trying 205.188.153.121...
Connected to login.icq.com.
Escape character is '^]'.
*█y
Connection closed by foreign host.

Добавлю, конект у юзеров проходит, но происходит сброс соединения.
Вот дебаг icq
Sending Login Cookie
Sending packet to Server
0000  2a 01 69 37 01 08 00 00 00 01 00 06 01 00 b2 f5  *.i7............
0010  a0 10 f5 b8 21 60 cd 8a 8e 69 98 85 e5 9e 15 f8  ....!`...i......
0020  f5 87 83 ae a4 36 3f ea a0 fe a2 e5 df 6c b6 20  .....6?......l.
0030  25 3d ed 59 8b 5d 9d ab c2 75 e0 ac dc 5e 32 59  %=.Y.]...u...^2Y
0040  06 c0 38 cf 9a 10 a5 a4 c3 e1 fc 9c bd f7 8b 49  ..8............I
0050  f3 82 77 8b d0 8d 38 a7 49 05 81 d0 f4 52 40 f6  ..w...8.I....R@.
0060  22 1d ad 83 93 a7 c3 af b3 73 24 96 fe 5a 8f 64  "........s$..Z.d
0070  de cf 06 e0 f2 af 3a c4 3b 6b 11 02 c7 13 bc 79  ......:.;k.....y
0080  b3 1f 0d 36 08 e3 45 84 bc a7 fc 7a 45 55 13 cf  ...6..E....zEU..
0090  57 d7 5d a0 e6 3d a8 74 57 9e 33 a2 35 02 af a2  W.]..=.tW.3.5...
00a0  d2 df 80 1c 22 46 70 12 32 0d ba 79 1d 48 62 85  ...."Fp.2..y.Hb.
00b0  b1 1d 75 9e 05 a7 4c 34 e3 c4 fc b3 67 2b fc 1d  ..u...L4....g+..
00c0  42 a5 63 24 97 f1 57 1f c9 f4 94 35 0c 46 a7 58  B.c$..W....5.F.X
00d0  21 95 4b 32 39 4c e5 f3 3d da 5b 77 0e e2 1e 16  !.K29L..=.[w....
00e0  32 e8 67 93 31 a9 41 4e c0 e2 3d 55 2f d9 ff 72  2.g.1.AN..=U/..r
00f0  53 7d 68 a6 e6 b4 75 77 39 15 e8 d1 74 10 1b f1  S}h...uw9...t...
0100  1a 57 d8 0f b7 ed 74 14 92 34 00 af 08 bd        .W....t..4....

Failed on recv: Соединение сброшено другой стороной
Client disconnecting

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables проблема с icq"  
Сообщение от wertik (ok) on 14-Янв-09, 13:25 
я бы убрал -A PREROUTING -i eth1 -j RETURN
и скачал бы более свежего клиента.
Клиенты одинаковые ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables проблема с icq"  
Сообщение от amix email(ok) on 14-Янв-09, 13:29 
>я бы убрал -A PREROUTING -i eth1 -j RETURN

попытка убрать результата не дала
>и скачал бы более свежего клиента.
>Клиенты одинаковые ?

Клиенты разнообразные, всякие, любые.
Но у всех схожая проблема.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "iptables проблема с icq"  
Сообщение от wertik (ok) on 14-Янв-09, 13:33 
>>я бы убрал -A PREROUTING -i eth1 -j RETURN
>
>попытка убрать результата не дала
>>и скачал бы более свежего клиента.
>>Клиенты одинаковые ?
>
>Клиенты разнообразные, всякие, любые.
>Но у всех схожая проблема.

подозреваю что проблема тут в --to-source 93.157.184.1-93.157.184.126
смените на реальник. Который на роутере настроен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "iptables проблема с icq"  
Сообщение от amix email(ok) on 14-Янв-09, 13:37 

>подозреваю что проблема тут в --to-source 93.157.184.1-93.157.184.126
>смените на реальник. Который на роутере настроен.

вы были правы, при попытке занатить все в 1 реальник интерфейса все заработало,
но как исправить? 1 ip это мучительно мало.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "iptables проблема с icq"  
Сообщение от wertik (ok) on 14-Янв-09, 13:41 
>
>>подозреваю что проблема тут в --to-source 93.157.184.1-93.157.184.126
>>смените на реальник. Который на роутере настроен.
>
>вы были правы, при попытке занатить все в 1 реальник интерфейса все
>заработало,
>но как исправить? 1 ip это мучительно мало.

для внешки мучительно мало на 1 физическом канале?
я про сосок один на выход????

А вообще

Действие SNATКлюч    --to-source
Пример    iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
Описание    Ключ --to-source используется для указания адреса, присваемового пакету. Все просто, вы указываете IP адрес, который будет подставлен в заголовок пакета в качестве исходящего. Если вы собираетесь перераспределять нагрузку между несколькими брандмауэрами, то можно указать диапазон адресов, где начальный и конечный адреса диапазона разделяются дефисом, например: 194.236.50.155-194.236.50.160. Тогда, конкретный IP адрес будет выбираться из диапазона случайным образом для каждого нового потока. Дополнительно можно указать диапазон портов, которые будут использоваться только для нужд SNAT. Все исходящие порты будут после этого перекартироваться в заданный диапазон. iptables старается, по-возможности, избегать перекартирования портов, однако не всегда это возможно, и тогда производится перекартирование . Если диапазон портов не задан, то исходные порты ниже 512 перекартируются в диапазоне 0-511, порты в диапазоне 512-1023 перекартируются в диапазоне 512-1023, и, наконец порты из диапазона 1024-65535 перекартируются в диапазоне 1024-65535. Что касается портов назначения, то они не подвергаются перекартированию.

А лучше юзать порты.
--to-source 194.236.50.155-194.236.50.160:1024-32000
Зачем написано выше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "iptables проблема с icq"  
Сообщение от amix email(ok) on 14-Янв-09, 13:46 
>для внешки мучительно мало на 1 физическом канале?
>я про сосок один на выход????

при нате порядка 5-6к клиентов , 1 внешний ип это мало.
>А лучше юзать порты.
>--to-source 194.236.50.155-194.236.50.160:1024-32000
>Зачем написано выше.

попытка явно указать порты результата не дала
при попытке натить в 2,3 внешника проблема не наблюдается, больше 10ти - уже видна.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "iptables проблема с icq"  
Сообщение от amix email(ok) on 14-Янв-09, 16:42 
В общем если кто напорется на проблему, проблема в SNAT
поставил старое ядро, с "устаревшим" SAME и все пашет как часы
Если вы натите в кучу реальников, не обновляйте ядро на большее чем 2.6.25
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "iptables проблема с icq"  
Сообщение от michman on 16-Мрт-09, 16:05 
>В общем если кто напорется на проблему, проблема в SNAT
>поставил старое ядро, с "устаревшим" SAME и все пашет как часы
>Если вы натите в кучу реальников, не обновляйте ядро на большее чем
>2.6.25

Я предполагаю что роутер просто успевает прибить трансляцию и когда приходит пакет с наружи он не знает куда его слать и соответсвенно шлет его куда подальше.

Я бы посмотрел какое значение находиться в файлике
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
для него значение 300 вокура.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру