Биллинговая система Nodeny
23 Ноября 2024, 04:07:26 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: помогите советом. freeebsd nat ipfw  (Прочитано 5651 раз)
YuSHa
NoDeny
Постоялец
*

Карма: 6
Offline Offline

Сообщений: 183


318444293
Просмотр профиля Email
« : 17 Июля 2013, 16:11:33 »

Прошу помощи в решении вопроса.
в приложении примерная схема сети.
 клиенты Nanoostation и  им подобные подключаются к БС. На БС стоят рокеты, которые подключены к микротикам типа РБ750, на этих микротиках подняты EoIP туннели с сервером PPPoE. Абонентские наносы получают IP вида 10.10.x.x и  маршрутизируются  на сервер NAT(стооял Centos).
В  данный момент на  сервера NAT я установил freeebsd 9.1 пересобрал ядро, включил pf и ipfw (правила из  коробки)+ добавил 2 правила, чтоб IP адреса подсети 10.10.0.0/16 проходили свободно для клиентов со старого биллинга и постепенным переводом абонентов на ноый.
 
Цитировать
${f} add 55 allow ip from 10.10.0.0/16 to any
${f} add 56 allow ip from any to 10.10.0.0/16
после смены ОС появился хаотичный флуд
от IP клиента на сервер ната или от IP клиента на IP гругого внутреннего сервера.
флудит 4-5 мбит и дает около 4к пакетов
В следствии этого падают EoIP тунели, которые ходят через UBNT радиоканалы и соответственно вываливаются абоны пачками. Если на радиоканале стоит железо от Mikrotik то все нормально. Так же не отпадают клиенты PPPoE которые работают по кабелю в городе.
Сначала грешили на сетевушки, потом на их драйвера em. скачка исходников с сайта мелкософта и их устанвка проблему не решила.

Когда стоял centos с одним правилом маскарада в iptabless такого не происходило.

Вопрос: может ли что-то быть в правилах фаервола? что какой-то пакет зацикливает или просто не знает куда его засунуть.
Проблема актуальна и как  работать без использования EoIP пока не представляю. заводить все интерфейсы в бридж по радио считаю не разумным.
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #1 : 17 Июля 2013, 17:42:20 »

а чего нат решили поменять?
Записан
YuSHa
NoDeny
Постоялец
*

Карма: 6
Offline Offline

Сообщений: 183


318444293
Просмотр профиля Email
« Ответ #2 : 17 Июля 2013, 22:40:40 »

нат решили поменять из-за перехода на нодени. хочется на NATах видеть шейп+нат+заглушку+коллектор
в данный момент шейпы на микротике.
вечером убил все правила в фаерволе кроме allow ip from any to any на обоих натах. утром посмотрю, падало или нет. если падало - попробую включить нат на ipfw вместо pf. если не поможет - буду на локале искать бубен шаманский Смеющийся
Записан
YuSHa
NoDeny
Постоялец
*

Карма: 6
Offline Offline

Сообщений: 183


318444293
Просмотр профиля Email
« Ответ #3 : 18 Июля 2013, 10:09:14 »

правила iptabless на старом линухе было такое.
Цитировать
# Generated by iptables-save v1.3.5 on Sat Feb  4 21:36:38 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [5309669:3257891022]
:OUTPUT ACCEPT [160694:17079134]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -i ppp1 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -s 194.146.197.4 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8004 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 27015 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 27016 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 27006 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
#Completed on Sat Feb  4 21:36:38 2012
#Generated by iptables-save v1.3.5 on Sat Feb  4 21:36:38 2012
*nat
:PREROUTING ACCEPT [344113:25006827]
:POSTROUTING ACCEPT [4960:461198]
:OUTPUT ACCEPT [11:753]
#-A POSTROUTING -s 192.168.1.105/255.255.255.255 -o eth2 -j MASQUERADE
-A POSTROUTING -s 10.10.0.0/255.255.0.0 -o eth0  -j MASQUERADE
#-A POSTROUTING -s 10.10.0.0/255.255.0.0 -o eth1  -j MASQUERADE
COMMIT
# Completed on Sat Feb  4 21:36:38 2012

вечером оставил с такими правилами
Цитировать
root@nat1:/etc # ipfw list
00100 allow ip from any to any
65535 deny ip from any to any
в 12 ночи опять упало пол сетки. админ выключил натящие сервера и включил нат на микротике.
уже голова идет кругом((( В замешательстве
сейчас хочу заблочить весь ICMP
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #4 : 18 Июля 2013, 10:14:58 »

снимите tcpdump трафик в когда упало
на свиче вланы ?
Записан
YuSHa
NoDeny
Постоялец
*

Карма: 6
Offline Offline

Сообщений: 183


318444293
Просмотр профиля Email
« Ответ #5 : 18 Июля 2013, 10:21:03 »

нет вланов на портах.
Записан
YuSHa
NoDeny
Постоялец
*

Карма: 6
Offline Offline

Сообщений: 183


318444293
Просмотр профиля Email
« Ответ #6 : 01 Августа 2013, 22:51:28 »

вроде побороли
5 часов аптайма без падений
добавили такие строки в /etc/rc.firewall
Цитировать
/sbin/ipfw add 15 drop ip from 10.0.0.0/8 to any via bce0 in
/sbin/ipfw add 16 drop ip from 172.16.0.0/12 to any via bce0 in
/sbin/ipfw add 17 drop ip from 192.168.0.0/16 to any via bce0 in

/sbin/ipfw add 18 drop ip from any to 10.0.0.0/8  via bce0 out
/sbin/ipfw add 19 drop ip from any to 172.16.0.0/12 via bce0 out
/sbin/ipfw add 20 drop ip from any to 192.168.0.0/16 via bce0 out
где bce0  интерфейс в мир.
за 5 часов работы имеем на счетчиках такое
Цитировать
00015      3277       225936 deny ip from 10.0.0.0/8 to any via bce0 in
00016      1039        83963 deny ip from 172.16.0.0/12 to any via bce0 in
00017      1020        83196 deny ip from 192.168.0.0/16 to any via bce0 in
00018     39060      3037490 deny ip from any to 10.0.0.0/8 via bce0 out
00019     10785       838432 deny ip from any to 172.16.0.0/12 via bce0 out
00020    534922     37945534 deny ip from any to 192.168.0.0/16 via bce0 out
пока полет нормальный. и нат подняли тут же на ipfw
дальше будем посмотреть Улыбающийся
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!