Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Не открывается google через шлюз Ubuntu server 12.04  (Прочитано 4045 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sol-minor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Ситуация такая :
Стоит шлюз на базе Ubuntu server 12.04. На нём поднят DNS DHCP SQUID3.
И всё вроде бы работает,но при попытке открыть гугл долго тупит в итоге ошибка,по айпишнику заходит

Eth0 static
Address 192.168.0.118
Netmask 255.255.255.0
Gateway 192.168.0.1
Dns-nameservers 192.168.0.1
 
Eth1 static
Address 192.168.2.1
Netmasq 255.255.255.0


особых настроек  dnsmasq не делал :
interface=eth1
listen-address=192.168.2.1 127.0.0.1
bind-interfaces
domain=linux
dhcp-range=192.168.2.2,192.168.2.254,255.255.255.0,24h
dhcp-option=3,192.168.2.1

resolv.conf
Nameserver 192.168.0.1 . он сбрасывает постоянно на 127.0.0.1

Пинги с клиенстких компов не идут на любые сайты

Сайты открываются нормально

Вот пример nslookup с клиента

*** Can't find server name for address 192.168.2.1: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.2.1

Name:    google.ru
Addresses:  173.194.32.184, 173.194.32.183, 173.194.32.191

iptables на всякий случай
sudo iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
iptables -A FORWARD -m conntrack --ctstate NEW ! -i eth0 -j ACCEPT

Говорили что у 12,04 что то поменялось с резолв

Оффлайн Shalmaran

  • Активист
  • *
  • Сообщений: 836
  • Cow super power!
    • Просмотр профиля
    • kristyushatmb.livejournal.com
В 12.04 нельзя изменять resolv.conf напрямую. Впрочем, это в нём  написано внутри.
Banana Pi

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
судя по тому какие тут опечатки , давай-ка параметры не из головы и прямо из конфигов
cat /etc/network/interfaces
cat /etc/dnsmasq.conf | egrep -v '^#|^$|^;'
cat /etc/resolv.conf
sudo iptables-save -c
  и результат nslookup ya.ru на самом шлюзе и затем на клиенте

Оффлайн sol-minor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
судя по тому какие тут опечатки , давай-ка параметры не из головы и прямо из конфигов
cat /etc/network/interfaces
cat /etc/dnsmasq.conf | egrep -v '^#|^$|^;'
cat /etc/resolv.conf
sudo iptables-save -c
  и результат nslookup ya.ru на самом шлюзе и затем на клиенте
к сожалению прямо из конфигов не могу,т.к. там ubuntu server нету граф. оболочки,
я напишу в точности как есть в конфиге

cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.0.118
netmask 255.255.255.0
gateway 192.168.0.1
dns-nameservers 192.168.0.1

auto eth1
iface eth1 inet static
address 192.168.2.1
netmask 255.255.255.0


/etc/dnsmasq.conf | egrep -v '^#|^$|^;'
interface=eth1
listen-address=192.168.2.1 127.0.0.1
bind-interfaces
domain=rava.eu
dhcp-range=192.168.2.2,192.168.2.254,255.255.255.0,24h
dhcp-option=3,192.168.2.1

cat /etc/resolv.conf
nameserver 127.0.0.1

sudo iptables-save -c
*nat
:PREROUTING ACCEPT [2205:265922]
:INPUT ACCEPT [773:105874]
:OUTPUT ACCEPT [150:9426]
POSTROUTING ACCEPT [5:856]
[20:960] -A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
[1488:166526] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [7448:804740]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [871:157396]
[3338:773208] -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
[1372:161267] -A FORWARD ! -i eth0 -m conntrack -ctstate NEW -j ACCEPT
COMMIT
*mangle
:PREROUTING ACCEPT [12283:1743451]
:INPUT ACCEPT [7464:805924]
:FORWARD ACCEPT [4710:934475]
:OUTPUT ACCEPT [887:158580]
POSTROUTING ACCEPT [5597:1093055]
[437:20968] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
commit

в squid-e доступ на все сайты открыт.Запрет в тестовом режиме только на рамблер и вконтакте

Пользователь решил продолжить мысль 08 Июнь 2012, 07:29:05:
nslookup у клиента (win xp)
*** Can't find server name for address 192.168.2.1: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.2.1

Non-authoritative answer:
Name:    ya.ru
Addresses:  93.158.134.3, 93.158.134.203, 213.180.193.3, 213.180.204.3
          77.88.21.3, 87.250.250.3, 87.250.250.203, 87.250.251.3

nslookup на сервере
server : ya.ru
Server: 127.0.0.1
Address: 127.0.0.1#53
NON-authoritative answer :
Address : 87.250.250.203
Name: ya.ru
итд
« Последнее редактирование: 08 Июнь 2012, 08:19:52 от sol-minor »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Цитировать
listen-address=192.168.2.1 127.0.0.1
bind-interfaces
dhcp-option=3,192.168.2.1
эти параметры можно было и не задавать. они и так подразумеваются

Цитировать
nslookup у клиента (win xp)
*** Can't find server name for address 192.168.2.1: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.2.1

Non-authoritative answer:
Name:    ya.ru
Addresses:  93.158.134.3, 93.158.134.203, 213.180.193.3, 213.180.204.3
          77.88.21.3, 87.250.250.3, 87.250.250.203, 87.250.251.3
ну винда говорит что она знает где живет яндекс, стало быть с днсом все впрорядке. давай сбда результат пинга с клиента

Пользователь решил продолжить мысль 08 Июнь 2012, 10:50:42:
и ipconfig с винды
« Последнее редактирование: 08 Июнь 2012, 10:50:42 от xeon_greg »

Оффлайн sol-minor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Пинг клиента
C:\Documents and Settings\Администратор>ping google.ru

Обмен пакетами с google.ru [173.194.32.191] по 32 байт:

Ответ от 173.194.32.191: число байт=32 время=316мс TTL=50
Ответ от 173.194.32.191: число байт=32 время=363мс TTL=50
Ответ от 173.194.32.191: число байт=32 время=228мс TTL=50
Ответ от 173.194.32.191: число байт=32 время=329мс TTL=50


IPCONFIG клиента
Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : compr
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет
        Порядок просмотра суффиксов DNS . : rava.eu

Linux - Ethernet адаптер:

        DNS-суффикс этого подключения . . : rava.eu
        Описание  . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC #2
        Физический адрес. . . . . . . . . : 00-E0-4C-60-0B-9D
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 192.168.2.34
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.2.1
        DHCP-сервер . . . . . . . . . . . : 192.168.2.1
        DNS-серверы . . . . . . . . . . . : 192.168.2.1
        Аренда получена . . . . . . . . . : 8 июня 2012 г. 13:07:26
        Аренда истекает . . . . . . . . . : 9 июня 2012 г. 13:07:26

Вообщем ситуация теперь следующая,после того как я закоментировал вот это :
listen-address=192.168.2.1 127.0.0.1
bind-interfaces
dhcp-option=3,192.168.2.1
пинги появились а страницы не открывались,следовательно дело за сквидом. Закоментировав почти всё в конфигураторе оставил только упрощённую схему - кое какие страницы открылись,а от же google.ru нет.Не только гугл и википедия и ряд других страниц
Правила такие,потому что сквид прозрачный,и чтобы работал аутлук
пока как то так

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Цитировать
кое какие страницы открылись,а от же google.ru нет.Не только гугл и википедия и ряд других страниц

проверить наличие этого правила в таблице mangle
-A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

Оффлайн sol-minor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
В таблице mangle у меня только вот это :

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
commit

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
понятно.
ну тогда проверки ради убери это правило
Цитировать
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
и проверь открываются сайты, что не открывались раньше или нет. чтобы понять что дело точно в кальмаре

Оффлайн sol-minor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Извините у меня два вопроса
1) Как удалить именно это правило,в инете сморел но чёто так и не понял
2) Если я его удалю,то у меня инет пропадёт ?!

Пользователь решил продолжить мысль 08 Июнь 2012, 12:51:27:
потомучто в в правиле которое я удалю оно отсылает 80 и 8080  к 3128
« Последнее редактирование: 08 Июнь 2012, 12:51:27 от sol-minor »

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Не открывается google через шлюз Ubuntu server 12.04
« Ответ #10 : 08 Июнь 2012, 14:01:53 »
удалить так:
sudo iptables -t nat -F PREROUTINGпрокси же у тебя прозрачный, инет пойдет мимо кальмара, обычным натом.

Оффлайн sol-minor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Re: Не открывается google через шлюз Ubuntu server 12.04
« Ответ #11 : 08 Июнь 2012, 14:18:05 »
Проделал данную операцию,в итоге всё открывается
Значит в кальмаре дело?

но там всё просто
http_port 3128 transparent
acl users src "/etc/squid3/allow.txt"
http_acces allow users
остальное что было я закоментировал

З.Ы.
Спасибо xeon_greg тебе за помощь

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Не открывается google через шлюз Ubuntu server 12.04
« Ответ #12 : 08 Июнь 2012, 16:19:16 »
добавить в кальмар параметр
disable-pmtu-discovery=transparent

Оффлайн sol-minor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Re: Не открывается google через шлюз Ubuntu server 12.04
« Ответ #13 : 11 Июнь 2012, 06:19:19 »
добавить в кальмар параметр
disable-pmtu-discovery=transparent
добавил, работет
потом добавил iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128 - работает только агент

Оффлайн sol-minor

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Re: Не открывается google через шлюз Ubuntu server 12.04
« Ответ #14 : 12 Июнь 2012, 08:44:51 »
Объясните этот параметр  "disable-pmtu-discovery=transparent" пожалуйста
я не пойму схемы,я в файрволе убрал "iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128" , тем самым я не перенаправляю порты 80 и 8080 на кальмар.Получается у меня только как шлюз работает.
но я добавляю "disable-pmtu-discovery=transparent " и у меня работает. Не в обход кальмара ?
Или что ? не ясно

 

Страница сгенерирована за 0.09 секунд. Запросов: 24.