|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (9)
просмотр истории страницыh1 Схема поиска проблемы |
{toc} |
|
h1. Схема поиска проблемы *Совет*: при отладке фильтрации вы очень сильно упростите себе жизнь, если будете тестировать на [одном конкретном тестовом абоненте и одном конкретном запрещённом сайте|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=52789268] |
В принципе 95% проблем в том, что после установки ещё ничего не настроено или упущена какая-либо деталь. |
... |
h1. Полезные команды |
Будем считать, что зеркало трафика приходит на сетевую карту eth1. eth0 - выход в интернет и доступ к абонентам. |
При настройке с нуля стоит проверять от общего к частному. Обычно это даёт решение быстрее. |
|
h2. Проверить что трафик от пользователей попадает на сервер: |
* Будем считать, что зеркало трафика приходит на сетевую карту eth1. * eth0 - выход в интернет и доступ к абонентам. * считаем что ip тестового пользователя 10.30.2.15 |
|
tcpdump \-nneei eth1 |
h2. Проверить что трафик от пользователей попадает на сервер {code} tcpdump -nneei eth1 -c 20 {code} h2. Проверить наличие тэгов и ppp в зеркале Список тэгов, не зная их заранее можно получить с помощью команды {code} tcpdump -nneei eth1 -c 20 vlan {code} Обратите внимание на вывод команды {code} tcpdump -nneei eth1 -c 20 {code} если у пакетов в описании имеется что-то в духе: {code} ethertype 802.1Q (0x8100), length 64: vlan 3362 {code} то трафик тэгированый (номер тэга указан в виде vlan XXX). если видны заголовки PPPoE / L2TP / PPTP - нужно расположить зеркало к Carbon Reductor так, чтобы туда попадал чистый трафик. h2. Проверить что пакеты от пользователя попадают на сервер: {code} tcpdump -nneei eth1 host 10.30.2.15 {code} h3. Проверить что от него попадает http трафик {code} tcpdump -nneei eth1 host 10.30.2.15 and tcp port 80 {code} h3. Проверить что от него попадает http трафик идущий в нужную сторону {code} tcpdump -nneei eth1 src host 10.30.2.15 and tcp dst port 80 {code} h2. Проверить счётчик срабатывания правила {code} iptables -xnvL http {code} показатель pkts должен расти при открытии запрещённых сайтов h2. Проверить что пакеты с редиректами улетают от Carbon Reductor к пользователям {code} tcpdump -nni eth0 tcp src port 80 {code} h3. Проверить уход пакетов с редиректами к конкретному пользователю {code} tcpdump -nni eth0 tcp src port 80 and dst host 10.30.2.15 {code} Примечание: для https ресурсов port 443. h2. Проверить различные аномалии Например [порт с которого прилетают редиректы к абоненту, возможно он отличается от 80|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=63799316]. h1. Полезные советы Сделайте роуты до всех абонетов через scope, а не через default route, иными словами - исключите маршрутизатор по пути редиректа, если это возможно. |