- Схема поиска проблемы
- Полезные команды
- Проверить что трафик от пользователей попадает на сервер
- Проверить наличие тэгов и ppp в зеркале
- Проверить что пакеты от пользователя попадают на сервер:
- Проверить что от него попадает http трафик
- Проверить что от него попадает http трафик идущий в нужную сторону
- Проверить счётчик срабатывания правила
- Проверить что пакеты с редиректами улетают от Carbon Reductor к пользователям
- Проверить различные аномалии
- Полезные советы
Схема поиска проблемы
Совет: при отладке фильтрации вы очень сильно упростите себе жизнь, если будете тестировать на одном конкретном тестовом абоненте и одном конкретном запрещённом сайте
В принципе 95% проблем в том, что после установки ещё ничего не настроено или упущена какая-либо деталь.
При прохождении по этой схемке рекомендуем куда-нибудь записывать ответы на все вопросы, потому что они сэкономят много времени и вам и нашей технической поддержке, если решить проблему не удастся своими силами.
Полезные команды
При настройке с нуля стоит проверять от общего к частному. Обычно это даёт решение быстрее.
- Будем считать, что зеркало трафика приходит на сетевую карту eth1.
- eth0 - выход в интернет и доступ к абонентам.
- считаем что ip тестового пользователя 10.30.2.15
Проверить что трафик от пользователей попадает на сервер
tcpdump -nneei eth1 -c 20
Проверить наличие тэгов и ppp в зеркале
Список тэгов, не зная их заранее можно получить с помощью команды
tcpdump -nneei eth1 -c 20 vlan
Обратите внимание на вывод команды
tcpdump -nneei eth1 -c 20
если у пакетов в описании имеется что-то в духе:
ethertype 802.1Q (0x8100), length 64: vlan 3362
то трафик тэгированый (номер тэга указан в виде vlan XXX).
если видны заголовки PPPoE / L2TP / PPTP - нужно расположить зеркало к Carbon Reductor так, чтобы туда попадал чистый трафик.
Проверить что пакеты от пользователя попадают на сервер:
tcpdump -nneei eth1 host 10.30.2.15
Проверить что от него попадает http трафик
tcpdump -nneei eth1 host 10.30.2.15 and tcp port 80
Проверить что от него попадает http трафик идущий в нужную сторону
tcpdump -nneei eth1 src host 10.30.2.15 and tcp dst port 80
Проверить счётчик срабатывания правила
iptables -xnvL http
показатель pkts должен расти при открытии запрещённых сайтов
Проверить что пакеты с редиректами улетают от Carbon Reductor к пользователям
tcpdump -nni eth0 tcp src port 80
Проверить уход пакетов с редиректами к конкретному пользователю
tcpdump -nni eth0 tcp src port 80 and dst host 10.30.2.15
Примечание: для https ресурсов port 443.
Проверить различные аномалии
Например порт с которого прилетают редиректы к абоненту, возможно он отличается от 80.
Полезные советы
Сделайте роуты до всех абонетов через scope, а не через default route, иными словами - исключите маршрутизатор по пути редиректа, если это возможно.