From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,SPF_PASS autolearn=ham version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1403256531; bh=Np7KqAT73JoXGrfvTr1FECzv4tlY24m/QmJlXnl1uUM=; h=From:To:Subject:Date; b=tTUiW0E4F6Rag7nmvHeDzAUNLT9uoCJalCclwqxppWCsCe9ssMNSuj3ueXrJ2Bb7g demNb48sXhLmPHYOLGdtZmvJWfZWya1FqaPF0qxRUxsi0uA2SAZSLEODKZOgq4C3Tu ZgozxAHC8zQckwc7ZWioHWTwRLfHXXka6lKcH/gw= From: =?koi8-r?B?68HSwdfBxdcg8MHXxcw=?= To: ALT Linux sysadmins discussion MIME-Version: 1.0 Message-Id: <8399321403256531@web23m.yandex.ru> X-Mailer: Yamail [ http://yandex.ru ] 5.0 Date: Fri, 20 Jun 2014 13:28:51 +0400 Content-Transfer-Encoding: 8bit Content-Type: text/plain; charset=koi8-r Subject: [Sysadmins] =?koi8-r?b?+sXSy8HMydLP18HOycUg1NLBxsnLwSDOwSDTz9PF?= =?koi8-r?b?xM7JyiDIz9PU?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 20 Jun 2014 09:29:01 -0000 Archived-At: List-Archive: День добрый. Стоит задача зеркалировать трафик, проходящий через шлюз для фильтрации на соседнем сервере. На этом "соседе" прибывшие пакеты через iptables -t mangle -A PREROUTING -s x.x.x.x/32 -p tcp -m tcp --dport 80 -j NFQUEUE --queue-num 0 --queue-bypass попадают в фильтр https://github.com/ircop/nfq_filter. Зеркалирую трафик со шлюза таким образом: iptables -t mangle -A PREROUTING -s x.x.x.x/32 -i eth0 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 Все выглядит нормальным, пакеты до соседа ходят, запрещенные страницы блокируются. В течение нескольких дней все отлично. Но стоит только вместо одного ip сделать зеркалирование _всего_ трафика: iptables -t mangle -A PREROUTING -s a.a.a.0/22 -i eth0 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s a.a.a.0/22 -i eth2 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s a.a.a.0/22 -i eth5 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s b.b.b.0/22 -i eth0 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s b.b.b.0/22 -i eth2 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s b.b.b.0/22 -i eth5 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s c.c.c.0/21 -i eth0 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s c.c.c.0/21 -i eth2 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s c.c.c.0/21 -i eth5 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s d.d.d.0/22 -i eth0 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s d.d.d.0/22 -i eth2 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 iptables -t mangle -A PREROUTING -s d.d.d.0/22 -i eth5 -p tcp --dport 80 -j TEE --gateway 192.168.0.2 через несколько минут получаю на соседе глухой зависон. Только reset. После загрузки - в логах все чисто, нигде никакого намека, что была проблема. Трафик получается небольшой, порядка 20-30 МБит. Если зеркалировать не все сети (уменьшить трафик), работает дольше. Ломаю голову, как диагностировать проблему...