Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: ошибки на lo интерфейсе  (Прочитано 1337 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн coolman

  • Автор темы
  • Участник
  • *
  • Сообщений: 156
  • :)
    • Просмотр профиля
ошибки на lo интерфейсе
« : 04 Ноябрь 2010, 20:13:53 »
ошибки на lo интерфейсе, подскажите из за чего могут быть подобные?

eth0      Link encap:Ethernet  HWaddr *******
          inet addr:*****  Bcast:*****  Mask:255.255.255.128
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:257633529 errors:0 dropped:0 overruns:0 frame:0
          TX packets:325258159 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2307555014 (2.3 GB)  TX bytes:2592344867 (2.5 GB)
          Interrupt:40 Base address:0xe000

eth1      Link encap:Ethernet  HWaddr 0********
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:192828257 errors:0 dropped:0 overruns:0 frame:0
          TX packets:142864456 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2881591061 (2.8 GB)  TX bytes:2006354656 (2.0 GB)
          Interrupt:17 Base address:0x8000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:605871 errors:93 dropped:93 overruns:0 frame:0
          TX packets:605871 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:111878709 (111.8 MB)  TX bytes:111878709 (111.8 MB)

iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

стоят самыми первыми в настройках файрвола.
ubuntu 10.10 server
iptables

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #1 : 05 Ноябрь 2010, 00:10:42 »
А ничего что 127.0.0.1/255.0.0.0 и lo это одно и то же?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27308
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #2 : 05 Ноябрь 2010, 00:26:16 »
iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

стоят самыми первыми в настройках файрвола.
ubuntu 10.10 server


Кто тебя учил правила писать? Передай ему - пусть головой о стенку стукнется.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
...
iptables -P INPUT DROP

ВСЁ!
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн coolman

  • Автор темы
  • Участник
  • *
  • Сообщений: 156
  • :)
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #3 : 05 Ноябрь 2010, 11:30:09 »
Кто тебя учил правила писать? Передай ему - пусть головой о стенку стукнется.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
...
iptables -P INPUT DROP

ВСЁ!
не красиво написал, чем твои правила отличается от моих? ???
Получается на выход lo интерфейс не должен отвечать?
и зачем выдалпервое правило с ctstate :idiot2: это у меня и так есть, мы ща про lo говорим

Пользователь решил продолжить мысль [time]Fri Nov  5 11:30:58 2010[/time]:
А ничего что 127.0.0.1/255.0.0.0 и lo это одно и то же?
нет ни чего
iptables -A INPUT -s lo ! -i lo -j DROP
так красивее?  ;D

походу гуру еще не проснулись :-\
а уже получил 2 станных сообщения :2funny:
« Последнее редактирование: 05 Ноябрь 2010, 11:36:40 от coolman »
iptables

Оффлайн MaratSh

  • Участник
  • *
  • Сообщений: 204
  • Всё пройдёт...
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #4 : 05 Ноябрь 2010, 11:38:46 »
iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
Это правило дропает пакеты отправленные с адреса 127.0.0.1, которые пришли НЕ с интерфейса lo.

coolman показывай ВСЕ правила.
« Последнее редактирование: 05 Ноябрь 2010, 11:40:35 от MaratSh »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27308
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #5 : 05 Ноябрь 2010, 16:21:27 »
Кто тебя учил правила писать? Передай ему - пусть головой о стенку стукнется.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
...
iptables -P INPUT DROP

ВСЁ!
не красиво написал, чем твои правила отличается от моих? ???
Получается на выход lo интерфейс не должен отвечать?
и зачем выдалпервое правило с ctstate :idiot2: это у меня и так есть, мы ща про lo говорим

Пользователь решил продолжить мысль 05 Ноябрь 2010, 11:30:58:
А ничего что 127.0.0.1/255.0.0.0 и lo это одно и то же?
нет ни чего
iptables -A INPUT -s lo ! -i lo -j DROP
так красивее?  ;D

походу гуру еще не проснулись :-\
а уже получил 2 станных сообщения :2funny:

Ты бредишь.

показывай ВСЕ правила.

... подписываюсь.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн coolman

  • Автор темы
  • Участник
  • *
  • Сообщений: 156
  • :)
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #6 : 06 Ноябрь 2010, 15:41:03 »
] показывай ВСЕ правила.
Это и есть все, что касается lo и стоят самые первые, выше только тюненг ядра, может лучше его написать?

(Нажмите, чтобы показать/скрыть)

 Хотя я сомневаюсь, что в этой области есть гуру, иначе бы давно данный вопрос поднимали бы.
Да и в iptables,  ACCEPT DROP и все дальше ну ни как, а как же hashlimit recent и так далее? Ну ни каких  развернутых дискуссий нету.
« Последнее редактирование: 08 Ноябрь 2010, 14:37:38 от coolman »
iptables

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27308
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #7 : 06 Ноябрь 2010, 17:56:08 »
ПОКАЗЫВАЙ ПРАВИЛА.
sudo iptables-save
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн coolman

  • Автор темы
  • Участник
  • *
  • Сообщений: 156
  • :)
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #8 : 08 Ноябрь 2010, 14:41:48 »
ПОКАЗЫВАЙ ПРАВИЛА.
sudo iptables-save
фигушки :2funny:, я больше года составлял, пора уже диссертацию писать на данную тему ;D а ты правила показывай, мои правила, это моя интеллектуальная собственность 8)
особых трудностей я не испытываю из-за ошибок в lo интерфейсе, и думал может кто-то уже сталкивался с данной ситуацией, и всю нужную информацию я уже давал >:(, остальное излишне.
iptables

Оффлайн kobaltd

  • Активист
  • *
  • Сообщений: 265
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #9 : 08 Ноябрь 2010, 15:23:20 »
что вы вообще привезались к человеку с iptables ошибки RX TX это ошибки протола Ethernet (в этом случаи) и в TCP/IP они вообще не имеют никакого отношение. lo это loopback интерфейс - т.к. что смотрите в сторону dmesg и прочих логов. Как предположение во время появления ошибок у вас могла бать "сильно" загружена машина и "RX" получились битыми. А так надо копать в сторону ошибок ядра и работы loopback интерфейса.

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #10 : 08 Ноябрь 2010, 16:19:41 »
Боюсь для диссертации вам как до Китая пешком...
1. Зачем нужно писать дропающие правила и разрешающие одновременно, ведь есть политика по умолчанию, от неё и пляшут - разрешающие или запрещающие правила писать.
2. iptables -A INPUT -s lo ! -i lo -j DROP - вместо ерничества лучше бы в суть такой ахинеи вникли.

З.Ы. Вам уже несколько раз написали убрать "кривое" дропающее правило.
З.Ы.Ы. Некоторые видели такие ошибки ;)
« Последнее редактирование: 08 Ноябрь 2010, 16:21:14 от drako »

Гарри Кашпировский

  • Гость
Re: ошибки на lo интерфейсе
« Ответ #11 : 08 Ноябрь 2010, 16:30:44 »
Что это ешё за цирк Монти Пайтона?
Фигушки говоришь? Вот и помощи тебе фигушки в таком случае  :2funny:

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27308
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #12 : 08 Ноябрь 2010, 18:48:02 »
ПОКАЗЫВАЙ ПРАВИЛА.
sudo iptables-save
фигушки :2funny:, я больше года составлял, пора уже диссертацию писать на данную тему

Ну вот и е... отсюда и до Китая. Нужная информация - это листинг всех правил, активных в системе. То, что ты давал - это вода на киселе, ни о чём не говорящая и ни на что не влияющая.

P.S.
Нет такого понятия как "интеллектуальная собственность". Собственностью может быть вещь. Знание собственностью быть не может.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kobaltd

  • Активист
  • *
  • Сообщений: 265
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #13 : 08 Ноябрь 2010, 20:24:27 »
Ребят я угараю  :2funny: :2funny: :2funny: :2funny: http://xgu.ru/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D1%84%D0%B5%D0%B9%D1%81
ну обясните мне как можно создать правила iptables которое создает errors на протоколе КАНАЛЬНОГО уровня Ethernet. Буду пользоваться - прикалываться над народом
ЗНАЧЕНИ счетчиков RX и TX а, также их подразделы error, drop и т.д. относяться к Ethernet в данном случаи, а не к TCP/IP. Если на интерфейсе поднять только IPX допустим эти значения будут и на "битой" сетки ну никак не будет зависеть от протакола. У человека проблемы есчо до того как обработка дойдет до правил iptables, а вы привезялись к правилам. Если дошло до правил -  то значит пакет уже прошол вчетчик RX.  :2funny: :2funny: :2funny:

Оффлайн coolman

  • Автор темы
  • Участник
  • *
  • Сообщений: 156
  • :)
    • Просмотр профиля
Re: ошибки на lo интерфейсе
« Ответ #14 : 09 Ноябрь 2010, 14:06:16 »
Боюсь для диссертации вам как до Китая пешком...
1. Зачем нужно писать дропающие правила и разрешающие одновременно, ведь есть политика по умолчанию, от неё и пляшут - разрешающие или запрещающие правила писать.
2. iptables -A INPUT -s lo ! -i lo -j DROP - вместо ерничества лучше бы в суть такой ахинеи вникли.

З.Ы. Вам уже несколько раз написали убрать "кривое" дропающее правило.
З.Ы.Ы. Некоторые видели такие ошибки ;)
1. Если я уберу дроп, то по сути  127.0.0.1 может придти с внешнего интерфейса, например в случаи атаки.
2. Это шутка, ответ на второй пост.
3 Если видели, тогда подскажите, из-за чего такое может быть?

Пользователь решил продолжить мысль [time]Tue Nov  9 14:15:27 2010[/time]:
Нет такого понятия как "интеллектуальная собственность". Собственностью может быть вещь. Знание собственностью быть не может.
хорошо, тогда почему нету в интернете правил, для продвинутых пользователей, для минимизации например ддос атак?
дальше подобных правил ни куда не идет:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

и  тупого правила:
/sbin/iptables --append lim1-m limit --limit 20/sec --jump RETURN

 когда вместо него логичнее использовать это:
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate ESTABLISHED,RELATED  -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 14 --hashlimit-mode srcip --hashlimit-name not_ddos -j ACCEPT

где сложные переходы по пользовательским цепочкам, тюненг ядра на лету в случаи атаки, где комплексные механизмы ограничений по новым пакетам, не ограниченные одним двумя правилами, на ip или подсеть /24, где просто дропы пакетов с плохими флагами типо этого:
iptables -A evil -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j DROP
где все это???
« Последнее редактирование: 09 Ноябрь 2010, 14:18:23 от coolman »
iptables

 

Страница сгенерирована за 0.167 секунд. Запросов: 24.