URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 78387
[ Назад ]

Исходное сообщение
"Linux Server (Samba+iptables)"
Отправлено EuGen , 23-Янв-08 22:09

Доброго времени суток!
Нужна помощь знающих людей. Описываю ситуацию.
Есть Linux-сервер для небольшой сети. Он выполняет функции PDC, dhcp сервера и маршрутизатора. Соответственно стоят Samba 3, dhcp и iptables. ОС Linux Slackware 12.
iptables следят за трафиком, проходящим через эту машину, при необходимости блокируют/логят и т.п.
Все клиенты домена - Windows машины (WinXP), домен работает нормально, все сетевые ресурсы доступны тем, кому надо.
Проблема заключается в том, что почему-то наблюдаются кратковременные потери соединения с интернетом. То есть секунды на 1-3. Для веб-браузеров это не критично, а для ssh (putty, tterm и т.п.) это чувствительно - постоянно обрываются соединения. Соответственно, IM (icq, irc клиенты и т.п.) тоже теряют соединение.
В системных логах нету ничего на этот счет. Я уже пробовал разные конфигурации iptables, полагая, что причина в них. Но это ничего не дало. Может, кто сталкивался с такими проблемами, подскажите?

Содержание

Linux Server (Samba+iptables),angra, 22:36 , 23-Янв-08
- Linux Server (Samba+iptables),CrAzOiD, 01:24 , 24-Янв-08
  - Linux Server (Samba+iptables),EuGen, 10:27 , 24-Янв-08
    - Linux Server (Samba+iptables),CrAzOiD, 13:08 , 24-Янв-08
      - Linux Server (Samba+iptables),EuGen, 16:49 , 24-Янв-08
        
        Linux Server (Samba+iptables),CrAzOiD, 17:15 , 24-Янв-08
        
        Linux Server (Samba+iptables),EuGen, 13:11 , 25-Янв-08

Сообщения в этом обсуждении

"Linux Server (Samba+iptables)"
Отправлено angra , 23-Янв-08 22:36

Могу предположить что что-либо регулярно меняет правила iptables в зависимости от каких либо условий, причем меняет полным сбросом и установкой новых.

"Linux Server (Samba+iptables)"
Отправлено CrAzOiD , 24-Янв-08 01:24

>Могу предположить что что-либо регулярно меняет правила iptables в зависимости от каких
>либо условий, причем меняет полным сбросом и установкой новых.
могу предположить, помимо подземного стука, что это злой провайдер напоминает о своем существовании разрывая сесии (шутка).
а вообще такие вещи надо диагностировать конкретно. идете на gate и смотрите что там происходит с интерфейсом к провайдеру. И при чем тут самба и виндовые клиенты?
Может просто сервак умирает и поет прощальную песТню.

"Linux Server (Samba+iptables)"
Отправлено EuGen , 24-Янв-08 10:27

>>Могу предположить что что-либо регулярно меняет правила iptables в зависимости от каких
>>либо условий, причем меняет полным сбросом и установкой новых.
>
>могу предположить, помимо подземного стука, что это злой провайдер напоминает о
>своем существовании разрывая сесии (шутка).
>а вообще такие вещи надо диагностировать конкретно. идете на gate и смотрите
>что там происходит с интерфейсом к провайдеру. И при чем тут
>самба и виндовые клиенты?
>Может просто сервак умирает и поет прощальную песТню.
Спасибо за ответы. Про самбу сказал, чтобы картина была более-менее полной.
Провайдер точно ни при чем, ибо при прямом подключении на гейт провайдера (минуя этот сервер) никаких проблем нет.
Привожу кусок rc.firewall:
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -A INPUT -i $LAN_IFACE -s 255.255.255.255 -j DROP
$IPTABLES -A INPUT -i $LAN_IFACE -d 0.0.0.0 -j DROP
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source 192.168.1.77

"Linux Server (Samba+iptables)"
Отправлено CrAzOiD , 24-Янв-08 13:08

>[оверквотинг удален]
>$IPTABLES -F FORWARD
>$IPTABLES -t nat -F
>
>$IPTABLES -A INPUT -i $LAN_IFACE -s 255.255.255.255 -j DROP
>$IPTABLES -A INPUT -i $LAN_IFACE -d 0.0.0.0 -j DROP
>
>$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -j ACCEPT
>$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT
>
>$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source 192.168.1.77
пускаете 3 параллельных пинга
1. на внутренний интерфейс сервера
2. на внешний интерфейс сервера
3. провайдерский шлюз
смотрите за поведением в момент когда отваливается инет.
если все три отвалились - проблема с вашей стороны
далее, думаю, логика ясна...
еще с самого сервака можно пустить пинг с внешнего интерфейса на гейт провайдера и смотреть
Сдается мне что проблема "железная"... сетевая карточки или что-то подобное

"Linux Server (Samba+iptables)"
Отправлено EuGen , 24-Янв-08 16:49

>[оверквотинг удален]
>3. провайдерский шлюз
>
>смотрите за поведением в момент когда отваливается инет.
>если все три отвалились - проблема с вашей стороны
>далее, думаю, логика ясна...
>
>еще с самого сервака можно пустить пинг с внешнего интерфейса на гейт
>провайдера и смотреть
>
>Сдается мне что проблема "железная"... сетевая карточки или что-то подобное
"далее, думаю, логика ясна..." Что-то не очень ясна. Что конкретно Вы предложить можете? Заранее спасибо!

"Linux Server (Samba+iptables)"
Отправлено CrAzOiD , 24-Янв-08 17:15

>"далее, думаю, логика ясна..." Что-то не очень ясна. Что конкретно Вы предложить
>можете? Заранее спасибо!
предлагаю для начала локализовать проблему
в момент когда отвалится инет пинги покажут что отвалилось, а что осталось доступным
ну и дальше думать

"Linux Server (Samba+iptables)"
Отправлено EuGen , 25-Янв-08 13:11

>>"далее, думаю, логика ясна..." Что-то не очень ясна. Что конкретно Вы предложить
>>можете? Заранее спасибо!
>
>предлагаю для начала локализовать проблему
>в момент когда отвалится инет пинги покажут что отвалилось, а что осталось
>доступным
>ну и дальше думать
Что-то ничего не дали пинги, которые шли почти двое суток. По всем 3-м узлам потеря всего 5 пакетов - явно не соответствует тому, как разрывались соединения..