URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 54650
[ Назад ]

Исходное сообщение
"к знатокам iptables"
Отправлено Vladimir , 21-Мрт-05 11:41

имею настроенную и работающую netams version 3.1(1829.1)
в конфигурации прописано
....
policy acct oid 031949 name all-ip target ip
policy acct oid 032AE8 name www target tcp-http 80 8080 81 3128 443
....
service data-source 1
type ip-traffic
rule 10 "INPUT -p all -j QUEUE"
rule 11 "FORWARD -p all -j QUEUE"
rule 12 "OUTPUT -p all -j QUEUE"
....
service quota 2
policy www
notify soft
notify hard  01327B
notify return
storage 1
при таких правилах при достижении квоты блокируется почта, хочу чтобы почта при наступлении квоты не блокировалась а продолжала ходить, для этого меняю настройки iptables на
rule 10 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT"
rule 15 "INPUT -p all -j QUEUE"
rule 20 "FORWARD -p all -j QUEUE"
rule 25 "OUTPUT -p all -j QUEUE"
все равно при достижении квоты с такими правилами блокируется почта,
пытаюсь сделать так, чтобы в очередь попадали только пакеты для сквид (все юзеры идут в инет через сквид), в расчте ена то, что почта в очередь попадать не будет
все правила rule  заменяю на два
rule 15 "INPUT -i eth1 -p tcp -s 192.168.178.0 --sport 1024:63353 -d 192.168.178.2 --dport 3128 -j QUEUE"
rule 20 "OUTPUT -o eth1 -p tcp -s 192.168.178.2 --sport 3128 -d 192.168.178.0 --dport 1024:63353 -j QUEUE"
где eth1 -внутренний интерфейс, 192.168.178.0 сеть, кот. надо обсчитывать.
при таких правилах вообще ничего не считает.
Поправьте знатоки iptables, пожалуйста.

Содержание

к знатокам iptables,jonatan, 12:22 , 21-Мрт-05
- к знатокам iptables,Vladimir, 12:47 , 21-Мрт-05
  - к знатокам iptables,jonatan, 12:52 , 21-Мрт-05
    - к знатокам iptables,Vladimir, 13:27 , 21-Мрт-05
      - к знатокам iptables,jonatan, 13:41 , 21-Мрт-05
        
        к знатокам iptables,Vladimir, 14:10 , 21-Мрт-05
        
        к знатокам iptables,jonatan, 15:37 , 21-Мрт-05
        
        к знатокам iptables,Vladimir, 16:27 , 21-Мрт-05

Сообщения в этом обсуждении

"к знатокам iptables"
Отправлено jonatan , 21-Мрт-05 12:22

>rule 10 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT"
>rule 15 "INPUT -p all -j QUEUE"
>rule 20 "FORWARD -p all -j QUEUE"
>rule 25 "OUTPUT -p all -j QUEUE"
>
Покажи правила iptables после этого.

"к знатокам iptables"
Отправлено Vladimir , 21-Мрт-05 12:47

>Покажи правила iptables после этого.
вообщем правил особых нет, есть только маскарад:
iptables -t nat -A POSTROUTING -s 192.168.178.4 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.40 -o eth0 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.40 -o eth0 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.30 -o eth0 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.30 -o eth0 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.30 -o eth0 -p tcp --dport 119 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.30 -o eth0 -p udp --dport 119 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.81 -o eth0 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.81 -o eth0 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.81 -o eth0 -p tcp --dport 389 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.178.81 -o eth0 -p udp --dport 389 -j MASQUERADE
проверял с машины, кот. имеет адрес 192.168.178.81

"к знатокам iptables"
Отправлено jonatan , 21-Мрт-05 12:52

Меня интересуют правила в таблице filter после запуска netams с указанными настройками.
ipfilter -nvL -t filter

"к знатокам iptables"
Отправлено Vladimir , 21-Мрт-05 13:27

результат вывода iptables -nvL -t filter
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
9649 2431K QUEUE      all  --  *      *       0.0.0.0/0            0.0.0.0/0
318K   88M RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
  684 43571 QUEUE      all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport ports 25,110
78665   11M RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT 258K packets, 103M bytes)
pkts bytes target     prot opt in     out     source               destination
8583 3574K QUEUE      all  --  *      *       0.0.0.0/0            0.0.0.0/0
Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target     prot opt in     out     source               destination
32088 7466K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
114K   65M ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
251K   26M ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
    0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:23
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

"к знатокам iptables"
Отправлено jonatan , 21-Мрт-05 13:41

>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target     prot opt in
>   out     source
>
> destination
>  684 43571 QUEUE      all
>--  *      *
>    0.0.0.0/0
>     0.0.0.0/0
>    0     0 ACCEPT
>   tcp  --  *
>  *       0.0.0.0/0
>          0.0.0.0/0
>          multiport
>ports 25,110
>78665   11M RH-Firewall-1-INPUT  all  --  *
>    *
>0.0.0.0/0
> 0.0.0.0/0
>
Вот ответ на твой вопрос. Правило, разрешающее 25,110 tcp-порты, стоит после QUEUE.
Не уверен, но можно попробовать
rule 10 "INPUT -p all -j QUEUE"
rule 15 "FORWARD -p all -j QUEUE"
rule 20 "OUTPUT -p all -j QUEUE"
rule 25 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT"
Лично я вообще отказался от использования правил через netams.cfg. Просто в правилах iptables вместо ACCEPT пишу QUEUE где нужно (обратный трафик тоже нужно не забыть). На форуме www.netams.com эта тема давно уже обсуждалась.

"к знатокам iptables"
Отправлено Vladimir , 21-Мрт-05 14:10

>Не уверен, но можно попробовать
>
>rule 10 "INPUT -p all -j QUEUE"
>rule 15 "FORWARD -p all -j QUEUE"
>rule 20 "OUTPUT -p all -j QUEUE"
>rule 25 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT"
попробовал после этого результат вывода iptables - nvL -t filter изменился:
Правило, разрешающее 25,110 tcp-порты, стоит теперь перед QUEUE.
но все равно при достижении квоты почта блокируется
>Лично я вообще отказался от использования правил через netams.cfg. Просто в правилах
>iptables вместо ACCEPT пишу QUEUE где нужно (обратный трафик тоже нужно
>не забыть). На форуме www.netams.com эта тема давно уже обсуждалась.
но у меня пользователи ходят в Инет через сквид, что менять в правилах?
Форум netams.com весь излазил, ответа на свой вопрос не нашел. Советуют обновляться до новой версии. Но это еще вместе с установкой новых версий софта (мускул и т.п.), и настройкой конфигов займет много времени. и надо быть уверенным, что это работает в новой версии.

"к знатокам iptables"
Отправлено jonatan , 21-Мрт-05 15:37

>>rule 10 "INPUT -p all -j QUEUE"
>>rule 15 "FORWARD -p all -j QUEUE"
>>rule 20 "OUTPUT -p all -j QUEUE"
>>rule 25 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT"
>попробовал после этого результат вывода iptables - nvL -t filter изменился:
>Правило, разрешающее 25,110 tcp-порты, стоит теперь перед QUEUE.
>но все равно при достижении квоты почта блокируется
Сори, я просмотрел. Под правило
FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT
попадут только пакеты, идущие с 25 на 25 порт (110 на 110 соответсвенно). Клиенты делают запросы с портов >1023. Поэтому должно быть:
rule 25 "FORWARD -p tcp -m multiport --destination-port 25,110 -j ACCEPT"
rule 30 "FORWARD -p tcp -m multiport --source-port 25,110 -j ACCEPT"
Но с такими правилами почтовый трафик вообще не будет попадать в netams и, соответсвенно, учитываться.
> но у меня пользователи ходят в Инет через сквид, что
>менять в правилах?
Я уже сказал. Направляй в netams только тот трафик, который необходимо считать. Есть еще системы учета и блокирования трафика для squid (SAMS, SAcc и т.п.).
>Форум netams.com весь излазил, ответа на свой вопрос не нашел. Советуют обновляться
>до новой версии. Но это еще вместе с установкой новых версий
>софта (мускул и т.п.), и настройкой конфигов займет много времени. и
>надо быть уверенным, что это работает в новой версии.
В STABLE-версии netams квота работает только для всего трафика, о чем авторы тебе и сказали.

"к знатокам iptables"
Отправлено Vladimir , 21-Мрт-05 16:27

спасибо за ответы, проверю -напишу