ВНИМАНИЕ!
Наша конференция посвящена космической тематике и компьютерным играм.
Политические вопросы и происходящие в мире события в данный момент на нашем сайте не обсуждаются!
|
| » Unix | страница 19 |
|
|
|
|
Железный канал: «Unix» |
|
|
|
RenderG
 2290 EGP
             
Рейтинг канала: 10(1433)
Репутация: 243
Сообщения: 20534
Откуда: [OEG]
Зарегистрирован: 18.09.2006
   |
|
| Voha : |
На размышления наводит выделенная красным разница в пробросе портов в локал.
rdr pass on $vpn_if proto { tcp udp } from any to any port 44566 -> 192.168.1.4 port 44566
rdr pass on $vpn_if proto { udp } from any to any port 9103 -> 192.168.1.2 port 9103
|
| Warstone : |
|
IPv4-адрес. . . . . . . . . . . . : 192.168.1.2(Основной)
|
Собсно да. 4-ка не в тему.
зы - а ты уверен, что эти игры используют только эти порты? И уверен, что только udp достаточно?
_________________
No More Mr. Nice Guy!
Смирись, Пилот!
Ты будешь жалок
Всего-лишь после
Пары палок... (с) Dandy |
|
|
|
Варсик
 545 EGP
  
Рейтинг канала: 3(31)
Репутация: 117
Сообщения: 4039
Откуда: Москва
Зарегистрирован: 22.12.2002
|
|
Ребята... Там miniupnpd стоит. Это значит что вот тех строк вообще не должно быть. То есть upnp должен сам дырки ковырять. А то что разница - 1.4 - это Торрент на кухонной Убунте. Мы там сериалы смотрим с известных мест. 1.2 - это моя машинка, и там прописано то, что стоит в мане от World of Battles. Более того, тут нету правила для Morden Warfare, а оно почему-то стало показывать открытый тип подключения. Что странно.
_________________
WARNING: By reading this post you accept that this post is genius. |
|
|
|
RenderG
2290 EGP
Рейтинг канала: 10(1433)
Репутация: 243
Сообщения: 20534
Откуда: [OEG]
Зарегистрирован: 18.09.2006
|
|
А в винде оно включено?
http://www.bitwiseim.com/wiki/index.php?title=Using_UPnP_on_Windows_XP
_________________
No More Mr. Nice Guy!
Смирись, Пилот!
Ты будешь жалок
Всего-лишь после
Пары палок... (с) Dandy |
|
|
|
Варсик
545 EGP
Рейтинг канала: 3(31)
Репутация: 117
Сообщения: 4039
Откуда: Москва
Зарегистрирован: 22.12.2002
|
|
А у меня как-бы 7-ка...
_________________
WARNING: By reading this post you accept that this post is genius. |
|
|
|
Vic3Dexe
 685 EGP
Рейтинг канала: 4(51)
Репутация: 148
Сообщения: 2264
Откуда: Kiev
Зарегистрирован: 23.03.2004
|
|
Здрасьте, это снова я 
Если вкратце о минувших событиях - прова с его туннелем я еще год назад послал в сад, посему данная железка мне была без надобности.
Теперь же, в преддверии нового прова (без туннеля), мне опять понадобится роутить около 50 мегабит трафа.
Сразу скажу - почти все работает, осталось по мелочи.
Я даже расскажу как я все починил и почему все не работало. Для назидания тем, кто пойдет по моим стопам
Итак, железо почти тоже, оставлены только 2 интерфейса, vr0 и rl0. Схема прилагается:
| Код: |
192.168.0.0/24 ---> rl0 BSD vr0 ---> 192.168.10.0/24 ---> DSL router
|
Это то, что щас, для тренировки на кошках. DSL-мопед роутит инет в подсетку 192.168.1.0/24, собраный шлюз роутит это все ко мне (192.168.0.0/24).
А вот что будет:
| Код: |
192.168.0.0/24 ---> rl0 BSD vr0 ---> LAN+inet
|
LAN+inet - это локал прова, оттуда же инет, без тоннелей, идентификация по маку.
Почти похоже, если представить, что в существующем конфиге 192.168.10.0/24 - это и есть тот самый LAN+inet.
Что было сделано:
1. Начисто установлена BSD 7.2 release.
2. В /etc/rc.conf добавлено (что-то во время установки, что-то руками):
|
Cкрытый текст (кликните здесь для просмотра)
gateway_enable="YES"
hostname="local.domain" # вот не знаю, что тут писать правильно
ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_vr0="DHCP"
keymap="ua.koi8-u.shift.alt"
rpcbind_enable="YES" #сам не знаю, зачем в инсталле выбрал
sshd_enable="YES"
senmail_enable="NO" #  как эту ### выключить совсем?
firewall_enable="YES"
firewall_nat_enable="YES" #а вот это врубает kernel-nat без пересборки ядра
firewall_type="/home/Vic3Dexe/router.fw"
named_enable="YES" #иначе DNS не форвардится наружу. Никак. Или как-то можно?
|
3. Путем вдумчивого чтения сего был наконец-то озарен пониманием
4. Было убрано net.inet.ip.fw.one_pass=0 (т.к. я все нат-правила задвигал в конец таблицы, после чего шло 65535 deny ip from any to any со всеми вытекающими - почему все и не работало - пакеты после ната прибивались последним правилом).
5. С помощью инета, двух дней времени и какой-то матери было написано следующее
ipfw show
|
Cкрытый текст (кликните здесь для просмотра)
| Код: |
00100 211571 131693824 count ip from any to any
00200 162 23170 allow ip from me to me via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 105766 65839131 allow ip from any to any via rl0
00600 105643 65831523 nat 1 ip from any to any via vr0
00700 0 0 deny log logamount 100 ip from any to any
65535 0 0 deny ip from any to any
|
|
Наивно? Чуточку  Но оно работает.
Нат прописан так
ipfw nat show config
| Код: |
ipfw nat 1 config if vr0 log deny_in same_ports reset redirect_port tcp 192.168.0.54:10468 10468
|
0.54 - это я.
А, чуть не забыл
ifconfig (lo0 отрезан)
|
Cкрытый текст (кликните здесь для просмотра)
| Код: |
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:21:91:8b:b3:ef
inet 192.168.10.2 netmask 0xffffff00 broadcast 192.168.10.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:e0:4c:6b:10:48
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
|
|
Терь вопросы:
1. Для того, чтобы форвардился DNS запрос с меня наружу пришлось поднимать named (гугл помог). А как-то средствами ipfw это нельзя замутить? Просто ради форвардинга демона запускать - из пушки по воробьям, имхо.
2. Как выключить этот зло..счастный sendmail? Я его не заказывал вообще, тем не менее, сначала ругалось на не-FQDN имя хоста, потом, когда прописал с точкой вроде отстало, но на "NO" в конфиге упорно кладет. Мне уже даже 2 письма пришло. От Чарли Рута. Не знаете где его найти?
3. В конфиге ната, как видно, попытка пробросить порт (для торрента). Порт проброшен на мопеде (в сторону 192.168.10.2), и, если я включен в него напрямую (сидя под 192.168.10.2) - все работает. В данном случае - фик.
Что странно - пока не пробрасывал порт - ipfw че-то там блочил входящее по 10468, о чем голосил в лог. После проброса не блочит ничего, но и tcpdump -i vr0 port 10468 не ловит ничего. Вообще. Тыкаю тут на F5 - по счетчикам видно, как пакеты лезут в нат, ничего не блочится, но страничка упрямо твердит, что у меня порт закрыт. Другой сервис тож сказал time-out. Гугл пока не особо помог.
upd упс, терь и напрямую кажет, что закрыто, пойду разбираться
4. По правилам ipfw. Если я правильно понял, сейчас у меня на выход через vr0 открыто все, на вход - 10468 (ну по идее). Не сильно ли все просто? Люди такие недетские конфиги ваяют, а тут все закрыто на вход и так просто. Где подвох?
5. Где почитать (может рассылка или новости какие) про известные дыры во фре и способы латания. Я, в принципе, догадываюсь, что такое должно быть, поискал бы сам, но боюсь найти "не то".
Вот как-то так...
_________________
I'll be back... (c)
Последний раз редактировалось: Vic3Dexe (04:09 17-03-2010), всего редактировалось 1 раз |
|
|
|
Diff
708 EGP
Рейтинг канала: 8(861)
Репутация: 44
Сообщения: 4179
Откуда: Сферическая Земля в вакууме.
Зарегистрирован: 04.07.2003
|
|
А не щупал ли кто pfSence? Как я понял, это дистрибутив фри заточенный под бытие именно роутером. Есть противопоказания по его использованию?
Последний раз редактировалось: Diff (11:30 17-03-2010), всего редактировалось 1 раз |
|
|
|
RenderG
2290 EGP
Рейтинг канала: 10(1433)
Репутация: 243
Сообщения: 20534
Откуда: [OEG]
Зарегистрирован: 18.09.2006
|
|
| Diff : |
|
Есть противопоказания по его использованию?
|
Есть - противопоказание называется Корбина. Но, если настроить на нем mpd и IGMP через консоль (что удобно - она там в вебморде) - то все ок, правда метод немного через Ж выходит...
А если без туннеля - то очень даже приятная весч.
_________________
No More Mr. Nice Guy!
Смирись, Пилот!
Ты будешь жалок
Всего-лишь после
Пары палок... (с) Dandy
Последний раз редактировалось: RenderG (11:38 17-03-2010), всего редактировалось 1 раз |
|
|
|
wedge
510 EGP
Рейтинг канала: 5(110)
Репутация: 166
Сообщения: 1019
Откуда: Нерезиновая
Зарегистрирован: 17.03.2004
|
|
Как уже говорили, в нём нет pptp-клиента, только сервер. Значит интернетов, если у тебя провайдер раздаёт их по впн, не будет.
Но для этих случаев есть мод m0n0wall'а.
_________________
Космос - это всё, что есть, что когда-либо было, и когда-либо будет.
Карл Саган |
|
|
|
A.Mansurov
980 EGP
 
| Технический Администратор |
Рейтинг канала: 5(120)
Репутация: 203
Сообщения: 5041
Откуда: Екатеринбург
Зарегистрирован: 24.05.2005
|
|
| wedge : |
Как уже говорили, в нём нет pptp-клиента, только сервер. Значит интернетов, если у тебя провайдер раздаёт их по впн, не будет.
Но для этих случаев есть мод m0n0wall'а.
|
Настраивал с этим модом - все вроде бы отлично, системка понравилась. Только вот помню, были какие-то затыки...
Вспомнил. Сервер наглухо вис при использовании торрентов. Фиг знает, почему, но помогал только ребут с передней панели сервера
_________________
Когда мудрец утратил истины смысл,
Глупец на ладонях принес мудрецу им же разбросанный бисер. |
|
|
|
Vic3Dexe
685 EGP
Рейтинг канала: 4(51)
Репутация: 148
Сообщения: 2264
Откуда: Kiev
Зарегистрирован: 23.03.2004
|
|
Ап. Спрошу еще разок о странном поведении ssh.
Суть: через некоторое время работы моего девайса к нему нельзя подконнектится по ssh. Притом что трафик через него бегает.
Выглядит так: "login as: вася_пупкин" + enter. Все, дальше тишина.
Сразу после включения/ребута коннект успешный. Через какое именно время наступает облом, сказать трудно, похоже, процесс нерегулярный - может быть 15 минут, может быть час.
Конфиг ssh дефолтный. BSD 7.2 release, железные проблемы исключены, т.к. щас поменял ему _всю_ начинку.
Кто виноват? Если еще какая инфа нужна - спрашивайте.
_________________
I'll be back... (c) |
|
|
|
Voha
 930 EGP
   
Рейтинг канала: 9(1038)
Репутация: 167
Сообщения: 4920
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
Наиболее вероятен вариант исчерпывания каких-то конечных ресурсов системы
Память, файловые дескрипторы, сокеты или еще чего. Или диск отсох внезапно - и не может зачитать информацию с раздела.
Посмотри, что есть не очень натурального в логах на момент перед перезагрузкой, когда проблема обнаружилась...
_________________
Time will show... |
|
|
|
Vic3Dexe
685 EGP
Рейтинг канала: 4(51)
Репутация: 148
Сообщения: 2264
Откуда: Kiev
Зарегистрирован: 23.03.2004
|
|
Загадочный глюк неуловим. Как назло, уже неделя аптайма - и хоть бы раз отвалилось. Работает как часы.
А теперь к ним хотелось бы кукушку.
Мониторю температуру ЦПУ с помощью coretemp
| Код: |
Vic3Dexe:Vic3Dexe>sysctl -a | grep temper
dev.cpu.0.temperature: 57
dev.cpu.1.temperature: 56
|
Насколько сложно будет заставить девайс сообщать о перегреве выше заданного порога, скажем, на мыло, ну или хотя бы голосить в писиспикер?
Пока вроде терпимо, но впереди лето, блин, а ящик под потолком в тесной кладовке без вентиляции.
Как я понимаю, проще всего заставить некий скрипт по часам опрашивать sysctl и принимать решение о кипише.
Реализацию сего действа нифига не представляю
Есть ли готовые решения? Если нет, то какие стихии придется привлечь? Просто хочу понять стоит ли вообще овчинка выделки
зы Интересно, в цисках тоже поллинг идет, или там иной механизм?
_________________
I'll be back... (c)
Последний раз редактировалось: Vic3Dexe (23:48 19-05-2010), всего редактировалось 1 раз |
|
|
|
Voha
930 EGP
Рейтинг канала: 9(1038)
Репутация: 167
Сообщения: 4920
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
| Vic3Dexe : |
А теперь к ним хотелось бы кукушку.
Мониторю температуру ЦПУ с помощью coretemp
| Код: |
Vic3Dexe:Vic3Dexe>sysctl -a | grep temper
dev.cpu.0.temperature: 57
dev.cpu.1.temperature: 56
|
Насколько сложно будет заставить девайс сообщать о перегреве выше заданного порога, скажем, на мыло, ну или хотя бы голосить в писиспикер?
Пока вроде терпимо, но впереди лето, блин, а ящик под потолком в тесной кладовке без вентиляции.
Как я понимаю, проще всего заставить некий скрипт по часам опрашивать sysctl и принимать решение о кипише.
Реализацию сего действа нифига не представляю
Есть ли готовые решения? Если нет, то какие стихии придется привлечь? Просто хочу понять стоит ли вообще овчинка выделки
|
/etc/crontab
| Код: |
| * * * * * root /some/path/to/script/overheat.sh |
overheat.sh
| Код: |
#!/bin/sh
tempwarn=60 # писец близко
tempcrit=70 # писец уже здесь
gameover=80 # полный писец
cpu0temp=`sysctl -a | grep dev.cpu.0.temperature | awk '{ print $2 }'`
cpu1temp=`sysctl -a | grep dev.cpu.1.temperature | awk '{ print $2 }'`
[ $cpu1temp -gt $cpu0temp ] && cpu0temp=$cpu1temp
[ $cpu0temp -gt $tempwarn ] && echo "CPU temp is $cpu0temp. AAAAA!!!!!" | mail -s "Temperature warning!" some@e-mail.blah
[ $cpu0temp -gt $tempcrit ] && echo -e "\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b"
[ $cpu0temp -gt $gameover ] && shutdown -h -P now
|
_________________
Time will show... |
|
|
|
Vic3Dexe
685 EGP
Рейтинг канала: 4(51)
Репутация: 148
Сообщения: 2264
Откуда: Kiev
Зарегистрирован: 23.03.2004
|
|
Профессор, мы к вам, и вот по какому делу... (с)
Пров раздает IPTV, задача - принять и разрулить на 2 тачки.
Схема:
| Код: |
+------------+
inet| sk0|--> тачка1 192.168.1.2
<---|vr0 BSD |
| msk0|--> тачка2 192.168.2.2
+------------+
|
ifconfig
|
Cкрытый текст (кликните здесь для просмотра)
| Код: |
msk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4>
ether 00:18:f3:4f:7c:63
inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:21:91:8b:b3:ef
inet 86.111.84.15 netmask 0xfffffe00 broadcast 86.111.84.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether 00:18:f3:4f:45:dc
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (1000baseTX <full-duplex,flag0,flag1,flag2>)
status: active
|
|
ip наружу вполне реальный, но это как бы пофик.
| Код: |
Vic3Dexe:~>uname -a
FreeBSD Vic3Dexe.la.net.ua 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Mon Jul 26 21:33:12 UTC 2010 Vic3Dexe@Vic3Dexe.la.net.ua:/usr/src/sys/i386/compile/multi i386
|
Ядро пересобрал с MROUTING, поставил igmpproxy, конфиг:
|
Cкрытый текст (кликните здесь для просмотра)
| Код: |
Vic3Dexe:~>cat /etc/igmpproxy.conf
phyint vr0 upstream ratelimit 0 threshold 1
#altnet 192.168.1.0/24
#altnet 192.168.2.0/24
phyint sk0 downstream ratelimit 0 threshold 1
phyint msk0 downstream ratelimit 0 threshold 1
phyint lo0 disabled
phyint ng0 disabled
phyint ng1 disabled
phyint ng2 disabled
phyint ng3 disabled
phyint ng4 disabled
phyint ng5 disabled
phyint ng6 disabled
phyint ng7 disabled
phyint ng8 disabled
phyint ng9 disabled
phyint ng10 disabled
phyint ng11 disabled
phyint ng12 disabled
phyint ng13 disabled
phyint ng14 disabled
phyint ng15 disabled
phyint ng16 disabled
phyint ng17 disabled
phyint ng18 disabled
phyint ng19 disabled
phyint ng20 disabled
|
|
Чего писать в altnet толком так и не понял - разные источники путаются в показаниях (мультикаст диапазоны, диапазоны вещания прова, диапазоны локала, куда надо раздать мультикаст), пока отрубил.
Работает ядерный фаер/нат, конфиг:
|
Cкрытый текст (кликните здесь для просмотра)
| Код: |
Vic3Dexe# ipfw show
00100 7324236 5873924883 count ip from any to any
00200 0 0 allow ip from me to me via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 3577403 2825077563 allow ip from any to any via sk0
00600 449 43888 allow ip from any to any via msk0
00700 3746361 3048792239 nat 1 ip from any to any via vr0
00800 0 0 deny log logamount 100 ip from any to any
65535 5 240 deny ip from any to any
Vic3Dexe# ipfw nat show config
ipfw nat 1 config if vr0 log deny_in same_ports reset redirect_port udp 192.168.1.2:1234 1234 redirect_port tcp 192.168.1.2:10468 10468
|
|
На тсп 10468 живет мюторрент, про удп 1234 см. ниже.
Гружу (пока руками) igmpproxy -dv /etc/igmpproxy.conf, стартует, много пишет в консоль, в основном непонятное, но вроде не матюки.
На тачке1 пускаю IP-TV player v0.28.1.8792, выбираю канал (список с айпишникам дает пров), пускаю. Далее вижу примерно следующее (опишу на пальцах, щас лень снова tcpdump пускать):
- запросы от тачки1 в мультикаст есть;
- igmpproxy на них реагирует, но правильно ли - хз;
- запросы наружу лезут, пров отвечает на них udp трафиком вида 10.х.х.х:1213->multicast_ip_телеканала:1234, который ясно виден на vr0 (10.x.x.x - это, очевидно, ихняя вещалка, диапазон их локала);
- на sk0/msk0 данного трафика уже нет.
Что я делаю не так? Гугл не дает однозначного ответа, кроме того, в 99% случаев у людей pf, iptables или еще чего похуже, примеров настройки ядерного ната под это дело не нашел.
Также не понимаю следующего (хоть теорию мультикаста вроде прочитал):
- когда мультикаст-пакет (т.е. с ip назначения типа 239.x.x.x) попадает ко мне на vr0, он вообще должен лезть в нат? По идее да, т.к. у меня своя сеть со своими тараканами, но с другой стороны - он мультикаст, ему не пофик? Из этих соображений пробросил в нате 1234 удп на тачку1, но ниче не изменилось.
- igmpproxy после старта не возвращает управление консоли (т.е. стартует как какой-нить ee, а не как демон). Ctrl-C его обламывает, а хотелось бы запустить с перенаправлением матюков в лог и забыть.
- что в принтауте igmpproxy должно говорить о его корректной работе? Судя по гуглу, у меня какой-то не такой igmpp, хотя качал с sourceforge и собирал сам.
Будет посвежее башка, выложу его матюки и результаты tcpdump.
ps Да, еще что-то там такое в гугле было про TTL=1 и связанный с этим option IP_STEALTH, но вот я так до конца и не вкурил - надо оно или нет.
_________________
I'll be back... (c)
Последний раз редактировалось: Vic3Dexe (02:21 27-07-2010), всего редактировалось 1 раз |
|
|
|
Vic3Dexe
685 EGP
Рейтинг канала: 4(51)
Репутация: 148
Сообщения: 2264
Откуда: Kiev
Зарегистрирован: 23.03.2004
|
|
Обещаный tcpdump -i vr0 -p udp
|
Cкрытый текст (кликните здесь для просмотра)
| Код: |
<skip>
16:34:02.621701 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.623606 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.626308 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.626319 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 188
16:34:02.628514 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.630832 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.633190 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.635322 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.637388 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.639532 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.642034 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.644000 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.646148 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.648446 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.650504 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.652588 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.655157 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.655168 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 188
16:34:02.657098 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.659048 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.661614 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
16:34:02.664148 IP 10.33.33.91.1213 > 239.0.1.12.1234: UDP, length 1316
<skip>
|
|
На sk0 глухо.
Речь igmpp:
|
Cкрытый текст (кликните здесь для просмотра)
| Код: |
Vic3Dexe# igmpproxy -dv /etc/igmpproxy.conf
adding VIF, Ix 0 Fl 0x0 IP 0x0102a8c0 msk0, Threshold: 1, Ratelimit: 0
adding VIF, Ix 1 Fl 0x0 IP 0x0f546f56 vr0, Threshold: 1, Ratelimit: 0
adding VIF, Ix 2 Fl 0x0 IP 0x0101a8c0 sk0, Threshold: 1, Ratelimit: 0
joinMcGroup: 224.0.0.2 on msk0
joinMcGroup: 224.0.0.2 on sk0
RECV V2 member report from 192.168.2.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV Membership query from 192.168.2.1 to 224.0.0.1
RECV Membership query from 192.168.1.1 to 224.0.0.1
RECV V2 member report from 192.168.1.2 to 239.255.255.250
Inserted route table entry for 239.255.255.250 on VIF #2
joinMcGroup: 239.255.255.250 on vr0
RECV V2 member report from 192.168.1.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.2 to 239.192.152.143
Inserted route table entry for 239.192.152.143 on VIF #2
joinMcGroup: 239.192.152.143 on vr0
RECV V2 member report from 192.168.2.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.2 to 224.0.0.252
Inserted route table entry for 224.0.0.252 on VIF #2
joinMcGroup: 224.0.0.252 on vr0
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Inserted route table entry for 239.0.1.12 on VIF #2
joinMcGroup: 239.0.1.12 on vr0
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
RECV Membership query from 192.168.2.1 to 224.0.0.1
RECV Membership query from 192.168.1.1 to 224.0.0.1
RECV V2 member report from 192.168.1.2 to 239.192.152.143
Updated route entry for 239.192.152.143 on VIF #2
RECV V2 member report from 192.168.1.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.2 to 224.0.0.252
Updated route entry for 224.0.0.252 on VIF #2
RECV V2 member report from 192.168.2.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.2 to 239.255.255.250
Updated route entry for 239.255.255.250 on VIF #2
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
RECV Membership query from 192.168.2.1 to 224.0.0.1
RECV Membership query from 192.168.1.1 to 224.0.0.1
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
RECV V2 member report from 192.168.1.2 to 239.255.255.250
Updated route entry for 239.255.255.250 on VIF #2
RECV V2 member report from 192.168.2.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.2 to 224.0.0.252
Updated route entry for 224.0.0.252 on VIF #2
RECV V2 member report from 192.168.1.2 to 239.192.152.143
Updated route entry for 239.192.152.143 on VIF #2
RECV Membership query from 192.168.2.1 to 224.0.0.1
RECV Membership query from 192.168.1.1 to 224.0.0.1
RECV V2 member report from 192.168.1.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.2 to 224.0.0.252
Updated route entry for 224.0.0.252 on VIF #2
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
RECV V2 member report from 192.168.2.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.2 to 239.255.255.250
Updated route entry for 239.255.255.250 on VIF #2
RECV V2 member report from 192.168.1.2 to 239.192.152.143
Updated route entry for 239.192.152.143 on VIF #2
The source address 192.168.1.2 for group 239.255.255.250, is not in any valid net for upstream VIF.
The source address 192.168.1.2 for group 239.255.255.250, is not in any valid net for upstream VIF.
The source address 192.168.1.2 for group 239.255.255.250, is not in any valid net for upstream VIF.
The source address 192.168.1.2 for group 239.255.255.250, is not in any valid net for upstream VIF.
RECV Membership query from 192.168.2.1 to 224.0.0.1
RECV Membership query from 192.168.1.1 to 224.0.0.1
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
RECV V2 member report from 192.168.2.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 192.168.1.2 to 239.192.152.143
Updated route entry for 239.192.152.143 on VIF #2
RECV V2 member report from 192.168.1.2 to 224.0.0.252
Updated route entry for 224.0.0.252 on VIF #2
RECV V2 member report from 192.168.1.2 to 239.255.255.250
Updated route entry for 239.255.255.250 on VIF #2
RECV Leave message from 192.168.1.2 to 224.0.0.2
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
joinMcGroup: 239.0.1.12 on vr0
MRT_ADD_MEMBERSHIP failed; Errno(22): Invalid argument
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
RECV Leave message from 192.168.1.2 to 224.0.0.2
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
joinMcGroup: 239.0.1.12 on vr0
MRT_ADD_MEMBERSHIP failed; Errno(22): Invalid argument
RECV V2 member report from 192.168.1.2 to 239.0.1.12
Updated route entry for 239.0.1.12 on VIF #2
|
|
Почитал man igmpproxy, в altnet прописал 10.0.0.0/8, т.к. принимает потоко он по умолчанию только на подсети апстрим интерфейса, altnet как раз для указания других сетей. Ниче, правда, не изменилось.
зы При попытке смены канала igmpp говорит:
MRT_ADD_MEMBERSHIP failed; Errno(22): Invalid argument
ззы Попробовал udpxy, но там все еще хуже - даже потока от прова не видно (что логично, имхо, т.к. udpxy просто заворачивает готовый поток в tcp, а не занимается его разруливанием).
_________________
I'll be back... (c)
Последний раз редактировалось: Vic3Dexe (18:06 27-07-2010), всего редактировалось 3 раз(а) |
|
|
|
Voha
930 EGP
Рейтинг канала: 9(1038)
Репутация: 167
Сообщения: 4920
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
Мультикаст не должен ехать в НАТ, он должен маршрутизироватся.
Не мучайся, возьми стандартный mrouted (если, конечно, ttl в мультикастовых пакетах хватает на еще один хоп - ну тут как раз тцпдумп тебе в помощь для проверки)...
Если не хватает - то либо подправить ттл во всех пакетиках фаерволом (затратно по процу), либо продолжать дальше копать мультикастовые прокси.
Ну и фаервол поправь, естестно - сейчас у тебя мультикаст дохнет в дебрях НАТ-а.
_________________
Time will show... |
|
|
|
Vic3Dexe
685 EGP
Рейтинг канала: 4(51)
Репутация: 148
Сообщения: 2264
Откуда: Kiev
Зарегистрирован: 23.03.2004
|
|
Т.е., я правильно понимаю:
| Код: |
00100 count ip from any to any
00200 allow ip from me to me via lo0
00300 deny ip from any to 127.0.0.0/8
00400 deny ip from 127.0.0.0/8 to any
00500 allow ip from any to any via sk0
00600 allow ip from any to any via msk0
##########
00650 allow udp from 224.0.0.0/какая_там_маска:1234 to me via vr0[b] #или тут 10.0.0.0/8:1213 надо впускать?
##########
00700 nat 1 ip from any to any via vr0
00800 deny log logamount 100 ip from any to any
65535 deny ip from any to any
|
Пускаем мультикаст в себя до правил ната, он попадает в igmpp (ну или кто им будет заниматься), после чего igmpp рулит его дальше по локалу.
ТТЛ гляну, что касается
| Цитата: |
|
затратно по процу
|
ну C2D E6600 2.4 должно хватить, по идее.
UPD: Урра, заработало! (с)
Прикрутил перед натом
| Код: |
allow ip from 10.0.0.0/8 to 224.0.0.0/4 1234 via vr0
|
и убил проброс udp 1234 в нате.
Аки там и було
Igmpp, правда, намертво вешает машину периодически, но это уже детали. fixed переездом на udpxy, терь просто рвется бывает.
Voha, ишшо раз пасибо, я те уже цистерну пива должен
_________________
I'll be back... (c)
Последний раз редактировалось: Vic3Dexe (11:09 28-07-2010), всего редактировалось 3 раз(а) |
|
|
|
Voha
930 EGP
Рейтинг канала: 9(1038)
Репутация: 167
Сообщения: 4920
Откуда: Moscow, Russia
Зарегистрирован: 15.02.2001
|
|
Надеюсь, до момента, когда ты решишь на этом рутере поднимать IPSEC-туннель, я не доживу - там извращения измеряются уже в танкерах пива
А цистерну можешь подгонять. Я как раз на следующие пару недель перемещаю свою тушку в Брянск, можно сэкономить на транспортировке )
_________________
Time will show... |
|
|
|
Vic3Dexe
685 EGP
Рейтинг канала: 4(51)
Репутация: 148
Сообщения: 2264
Откуда: Kiev
Зарегистрирован: 23.03.2004
|
|
Дано IPB 3.1.2, бежит на:
-FreeBSD 7.2
-apache 2.2
-php 5.3.5
-mysql 5.x не помню какой, да и неважно
Трабл - при попытке залить файл в виде аттача к посту имеем:
- txt, zip и т.п., включая ico грузятся нормально
- jpg, png, gif - физически на сервер попадают в /uploads, но в посте, где должен отобразиться этот аттач видим http://img810.imageshackdisabled/img810/4689/63707417.jpg
Там "невозможно получить доступ к файлу бла-бла-бла".
При этом:
- файлы не битые (забираю обратно через pscp - все ок)
- в логах php ниче нет
- в httpd-error.log ниче нет
- в httpd-access.log есть
| Код: |
192.168.1.2 - - [10/Jan/2011:20:46:05 +0200]
"POST /forum/index.php?очень/многа/букв/и/цифр HTTP/1.1"
500 - "http://х.х.х.х/forum/index.php?очень/многа/букв/и/цифр" "буквы про браузер"
|
где "очень/многа/букв/и/цифр" совпадают с теми, что по ссылке на скрине.
Если переименовать, напр. jpg->zip, то тот же файл приаттачивается на ура.
Что пробовал:
1. php.ini
- отключать safe-mode
- задавать upload_temp_dir или как оно там
- еще много всяких разных настроек
2. httpd.ini
- убивал <directory>, отвечающую за доступ к той же uploads
3. OS
- раздавал всей uploads chmod 777 (хотя там и так 777).
4. IPB
- ковырял разрешенные к загрузке/аватарам типы
- ковырял "Разрешенные к публикации в сообщениях расширения файлов изображений" - убивал все
- отключил эскизы
Как очевидно - ниче не помогло.
Предполагаю, что какой-то кусок самой IPB пытается что-то с картинками делать, но фейлит и отваливается. Но вот кто и где...
ps Если какая инфа/конфиги нужны - говорите, я просто пока не соображу, что нужно.
pps Щас проверил - аватар тоже не загрузился, все те же 500.
_________________
I'll be back... (c)
Последний раз редактировалось: Vic3Dexe (01:12 11-01-2011), всего редактировалось 2 раз(а) |
|
|
|
VBKesha
 817 EGP
Рейтинг канала: 7(600)
Репутация: 132
Сообщения: 3329
Откуда: обл.Брянская г. Трубчевск
Зарегистрирован: 07.12.2005
|
|
Пальцем в небо но всёж, GD2 собран? Не включен ли ModRewrite где-то начиная от самого апача и заканчивая всякими .htaccess
|
|
|
|
|
|
|
|
|
Железный канал: «Unix» |
|
|
| К списку каналов | Наверх страницы |
Цитата не в тему: Я буду... когда точно, не знаю, но меня легко узнать по группе крови... (решил встретиться WolF)
|
| » Unix | страница 19 |
|
