Просьба к гуру дать совет новичку в мире unix.В наследство досталась следующая система:
локальная сеть 192.168.1.0,
модем-router ADSL Zyxel 645R-A1 внуренний интерфейс 192.168.1.1 прописан как шлюз по умолчанию для сети,
Linux FC3 +squid + Samba 192.168.1.2 , работает с одной сетевой картой, вторая карта не задействована,
Домен Windows около 70 компьютеров.
Ограничение выхода в Интернет прописано в squid по именам компьютеров, в доменной политике в настойках IE доступ через прокси, меню «подключение» от пользователя скрыто.
Ограничение весьма слабое, т.к. не действует на 98 , легко обходится применением других браузеров , менеджеров закачки и т.д.
Необходимо обеспечить полный контроль трафика.
С Linux раньше не работал, первое желание было перейти на более знакомую платформу,
но более внимательно присмотрелся к squid и iptables - понравилось.Сделал следующее:
Настроил вторую сетевую карту на сервере Linux в другую подсеть 192.168.2.2, соединил напримую с модемом кроссовером;
Модему прописал адрес 192.168.2.1;
192.168.1.2 прописал шлюзом для первой подсети;
Настроил в Iptables NAT для нескольких компьютеров, пропуск DNS, почты (ящики у провайдера), остальные должны ходить через прокси (кому разрешено).
Три недели все прекрасно работало.
Потом стало пропадать соединение с Интернет, ADSL не пропадает. Модем через шлюз пингуется, дальше пинга нет, доступ к модему через Telnet и WEB проходит. Трафика на внешнем порту модема нет.
Лечится перезагрузкой модема. Через некоторое время (10-40 минут) история повторяется. Вечером, когда большая часть компьютеров отключается, все вроде бы работает нормально.
Грешили на линию, проверили. Приежал представитель провайдера, посоветовал искать трояна. Искали, отключали по очереди все компьютеры, естественно, что-то нашли. Вроде помогло, но ненадолго.
Пришлось опять включить модем в сеть 192.168.1.X , работает не отваливается .
Карту смотрящюю во внутеннюю сеть менял (карты 8139) , логи смотрел- ничего не увидел.В чем может быть дело? Если связано с трояном или перегрузкой трафика, почему не отваливается,когда модем включен напрямую. Стандартные фильтры запрета доступа извне влокальную сеть на модеме включены.
У модема есть два режима работы - как маршрутизатор (т.е. он сам устанавливает соединение с провайдером) и как мост (тогда средствами операционной системы подключенного к нему компа организовывается подключение). В своих случаях я везде использую последнее, по причине полного контроля над соединением, например в 12 ночи отключаю инет, и утром его включаю. Так же удобнее настраивать контороль за доступом, так как у сервера появляется внешний IP, который можно прикрыть фаерволом, и открыть на нем нужные сервисы. IP модема роли не играет - нужен только для настройки его через telnet и WWW.
В твоем случае хочу обратить внимание еще вот на что, в режиме маршрутизатора, когда модем был настроен на сеть 192.168.1.х - таблица маршрутизации на нем была простой. Но теперь его подсеть 192.168.2.х, а пакеты идут в сеть 192.168.1.х - если ничего не указано особо - модем будет пересылать их на шлюз по умолчанию(провайдеру)PS Если чего-то не так понял, уточни конфигурацию и режим работы модема.
Модем соединение с провайдером устанавливает сам.
В документации модема режим назван SUA (разновидность NAT).
Режим настроен провайдером при подключении и менять его не желательно.
Доступ извне к внутренней сети не нужен.
Насколько я понимаю в NAT, то все пакеты с сервера должны уходить с адреса
192.168.2.2 (адрес второй сетевой карты). В Nat этот адрес указан явно, а squid должен использовать его как шлюз по умолчанию в тавлице роутинга.
Кроме того, как я говорил три недели все работало прекрасно, и потом при снижении нагрузки вроде не отваливалось.
Может влияет перегрузка карты смотрящей во внутреннюю подсеть? Есть много любителей включать обновления антивируса через 3 часа и т. д. Доступ им теперь закрыт и идет много повторных запросов.
У меня такой же Zyxel 645. Бывает за один день выкачивали до 12 гиг (и это не предел ) т.е. несколько часов канал был забит полностью, и не один пользователь не сказал что интернета нет (только скорость снижалась, и то не все заметили). И не разу модем не вис, питание уже месяцев шесть не отключалось.> Режим настроен провайдером при подключении и менять его не желательно.
Есть параметры соединения задаваемые провайдером, но режим работы модема в их число не входит. С его стороны неважно кто организовывает подключение - модем или комп.
>У меня такой же Zyxel 645. Бывает за один день выкачивали до
>12 гиг (и это не предел ) т.е. несколько часов канал
>был забит полностью, и не один пользователь не сказал что интернета
>нет (только скорость снижалась, и то не все заметили). И не
>разу модем не вис, питание уже месяцев шесть не отключалось.
>
Согласен, что дело не в модеме. Если модем включен в подсеть напрямую питание никогда не отключается. Соединение с провайдером с 8 до 20.
В 8, когда провайдер его включает, модем устанавливает соединение и в течение дня никаких подвисаний.
Режим работы оставил еще и потому, чтобы делать меньше перенастроек, т.к. в Linux слаб и времени на настойку не дают. В течение рабочего дня создается впечатление, что директору кроме как в Интернет заходить делать нечего. Логика была простая, если нормально обрабатываются запросы с 50 карт, то с одной тоже должно быть хорошо. А фильтры на модеме стоят.
Надо посмотреть не появился ли в локальной сети кто с клиентом eMule... такие штуки могут приводить к похожему эффекту если модем сам сессию поднимает... ресурсов у него не хватает. И тогда либо запрещать eMule или переходить в режим моста...
У меня виснет модем D-Link DSL-2640U, пришла идея перезагружать его, если нет инета. Вот скрипт, который это делает:
#! C:/perl64/bin/perl
my $url = 'http://ya.ru';
my $reseturl = 'http://30.30.30.1/rebootinfo.cgi';
use LWP::Simple;
my $content = get $url;
$content ? print "We'r online\n" : get $reseturl;Другие модемы, я тоже перегружал, но там скрипт сложнее - с POST полями.