... {toc} h1. Схема поиска проблемы *Совет*: при отладке фильтрации вы очень сильно упростите себе жизнь, если будете тестировать на [одном конкретном тестовом абоненте и одном конкретном запрещённом сайте|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=52789268]
|
|
|
В принципе 95% проблем в том, что после установки ещё ничего не настроено или упущена какая-либо деталь.
|
... При прохождении по этой схемке рекомендуем куда-нибудь записывать ответы на все вопросы, потому что они сэкономят много времени и вам и нашей технической поддержке, если решить проблему не удастся своими силами. !what to check in reductor scheme.png|border=1! h1. Полезные команды При настройке с нуля стоит проверять от общего к частному. Обычно это даёт решение быстрее. * Будем считать, что зеркало трафика приходит на сетевую карту eth1. * eth0 - выход в интернет и доступ к абонентам. * считаем что ip тестового пользователя 10.30.2.15 h2. Проверить что трафик от пользователей попадает на сервер {code} tcpdump -nneei eth1 -c 20 {code} h2. Проверить наличие тэгов и ppp в зеркале Список тэгов, не зная их заранее можно получить с помощью команды {code} tcpdump -nneei eth1 -c 20 vlan {code} Обратите внимание на вывод команды {code} tcpdump -nneei eth1 -c 20 {code} если у пакетов в описании имеется что-то в духе: {code} ethertype 802.1Q (0x8100), length 64: vlan 3362 {code} то трафик тэгированый (номер тэга указан в виде vlan XXX). если видны заголовки PPPoE / L2TP / PPTP - нужно расположить зеркало к Carbon Reductor так, чтобы туда попадал чистый трафик. h2. Проверить что пакеты от пользователя попадают на сервер: {code} tcpdump -nneei eth1 host 10.30.2.15 {code} h3. Проверить что от него попадает http трафик {code} tcpdump -nneei eth1 host 10.30.2.15 and tcp port 80 {code} h3. Проверить что от него попадает http трафик идущий в нужную сторону {code} tcpdump -nneei eth1 src host 10.30.2.15 and tcp dst port 80 {code} h2. Проверить счётчик срабатывания правила {code} iptables -xnvL http {code} показатель pkts должен расти при открытии запрещённых сайтов h2. Проверить что пакеты с редиректами улетают от Carbon Reductor к пользователям {code} tcpdump -nni eth0 tcp src port 80 {code} h3. Проверить уход пакетов с редиректами к конкретному пользователю {code} tcpdump -nni eth0 tcp src port 80 and dst host 10.30.2.15 {code}
|
Примечание: для https ресурсов port 443.
|
h2. Проверить различные аномалии Например [порт с которого прилетают редиректы к абоненту, возможно он отличается от 80|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=63799316].
|
h1. Полезные советы
|
|
Сделайте роуты до всех абонетов через scope, а не через default route, иными словами - исключите маршрутизатор по пути редиректа, если это возможно.
|