werehuman 23.04.2012 18:13 Psi+

А что толку от qos, если сам роутер валится на 35 мбитах, перестаёт отвечать по ssh и устанавливать новые соединения (при этом установленные обслуживает нормально).

openwrt, asus, linux, говно
#oentne
re 30 comments !recommend ~bookmark Ssubscribe
1. Rayslava 23.04.2012 18:14 AHHE

Мда. А ты делай как я — из старого компа собери себе нормальный зюзероутер

#oentne/1
rereply
2. mva 23.04.2012 18:14 N900

pptp?

#oentne/2
rereply
3. werehumanRayslava /1 23.04.2012 18:14 Psi+

нет старого компа и некуда ставить даже

#oentne/3
rereply
4. werehumanmva /2 23.04.2012 18:14 Psi+

нормальная полноценная выделенка

#oentne/4
rereply
5. mvawerehuman /4 23.04.2012 18:14 N900

а напомни-ка модель?

#oentne/5
rereply
6. werehumanmva /2 23.04.2012 18:14 Psi+

просто у меня в ипстолах больше ста правил.

#oentne/6
rereply
7. Rayslavawerehuman /3 23.04.2012 18:14 AHHE

Хм. Ну я загнал сверху на шкаф на кухне и мне норм :)

#oentne/7
rereply
8. werehumanmva /5 23.04.2012 18:15 Psi+

wl500gp v2

#oentne/8
rereply
9. mvawerehuman /6 23.04.2012 18:15 N900

если они NAT через MASQUERADE, то ничего удивительного, а так — похуй

#oentne/9
rereply
10. werehumanmva /9 23.04.2012 18:15 Psi+

да, masquerade

#oentne/10
rereply
11. mvawerehuman /8 23.04.2012 18:16 N900

а, ну у v2 и проц и память ещё более кастрированные, чем у моего не-v2. Алсо, мой 100мбит с мироновской прошивкой вытягивает только в путь.

#oentne/11
rereply
12. werehumanwerehuman /10 23.04.2012 18:16 Psi+

я от snat когда-то отказался, он неправильно подставлял адреса

#oentne/12
rereply
13. mvawerehuman /10 23.04.2012 18:16 N900

ну тогда ссзб, чо :)

#oentne/13
rereply
14. werehumanmva /13 23.04.2012 18:16 Psi+

попробую snat штоле

#oentne/14
rereply
15. mvawerehuman /12 23.04.2012 18:16 N900

ну а у меня, вот, всё работает

#oentne/15
rereply
16. werehumanmva /15 23.04.2012 18:18 Psi+

поставил snat в обе стороны, посмотрим что да как

#oentne/16
rereply
17. mvawerehuman /16 23.04.2012 18:19 N900

чо? в какие обе стороны?

#oentne/17
rereply
18. mvamva /17 23.04.2012 18:19 N900

точнее, даже не так: нахуя может быть нужен снат в обе стороны на одном соединении?

#oentne/18
rereply
19. werehumanmva /17 23.04.2012 18:20 Psi+

для wan и для lan

#oentne/19
rereply
20. werehumanmva /18 23.04.2012 18:23 Psi+

не, от snat толку нет

#oentne/20
rereply
21. mvawerehuman /20 23.04.2012 18:23 N900

вот, смотри:

# Generated by iptables-save v1.4.3.2 on Tue Apr 24 01:22:38 2012
*nat
:PREROUTING ACCEPT [7936977:726052684]
:POSTROUTING ACCEPT [1237691:114307080]
:OUTPUT ACCEPT [608391:72470240]
:UPNP — [0:0]
:VSERVER — [0:0]
-A PREROUTING -d 109.171.17.91/32 -j VSERVER
-A POSTROUTING ! -s 109.171.17.91/32 -o vlan1 -j SNAT --to-source 109.171.17.91
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j SNAT --to-source 192.168.1.1
-A UPNP -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.3:6881
-A UPNP -p udp -m udp --dport 7881 -j DNAT --to-destination 192.168.1.3:7881
-A VSERVER -j UPNP
-A VSERVER -p tcp -m tcp --dport 25600:25616 -j DNAT --to-destination 192.168.1.2
-A VSERVER -p udp -m udp --dport 25600:25616 -j DNAT --to-destination 192.168.1.2
-A VSERVER -p udp -m udp --dport 5000:5100 -j DNAT --to-destination 192.168.1.3
-A VSERVER -p udp -m udp --dport 3478:3479 -j DNAT --to-destination 192.168.1.3
-A VSERVER -p tcp -m tcp --dport 1720 -j DNAT --to-destination 192.168.1.3
COMMIT
# Completed on Tue Apr 24 01:22:38 2012
# Generated by iptables-save v1.4.3.2 on Tue Apr 24 01:22:38 2012
*mangle
:PREROUTING ACCEPT [80968710:55193699680]
:INPUT ACCEPT [19163828:5355769799]
:FORWARD ACCEPT [59257962:49609870089]
:OUTPUT ACCEPT [8645953:1839183702]
:POSTROUTING ACCEPT [67907077:51446759719]
COMMIT
# Completed on Tue Apr 24 01:22:38 2012
# Generated by iptables-save v1.4.3.2 on Tue Apr 24 01:22:38 2012
*filter
:INPUT ACCEPT [11557108:1205108822]
:FORWARD ACCEPT [3870943:262890229]
:OUTPUT ACCEPT [8614687:1836434015]
:BRUTE — [0:0]
:MACS — [0:0]
:SECURITY — [0:0]
:UPNP — [0:0]
:logaccept — [0:0]
:logdrop — [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -d 224.0.0.0/4 -p udp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p udp -m udp --dport 16002:16255 -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -p ipv6 -j RETURN
-A SECURITY -j DROP
-A UPNP -d 192.168.1.3/32 -p tcp -m tcp --dport 6881 -j ACCEPT
-A UPNP -d 192.168.1.3/32 -p udp -m udp --dport 7881 -j ACCEPT
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Tue Apr 24 01:22:38 2012
#####################
# Generated by ip6tables-save v1.4.3.2 on Tue Apr 24 01:22:38 2012
*mangle
:PREROUTING ACCEPT [12369779:4903238308]
:INPUT ACCEPT [186572:14865493]
:FORWARD ACCEPT [12067372:4876859890]
:OUTPUT ACCEPT [276258:24332360]
:POSTROUTING ACCEPT [12351365:4902120266]
-A POSTROUTING -o sixtun -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1280
COMMIT
# Completed on Tue Apr 24 01:22:38 2012
# Generated by ip6tables-save v1.4.3.2 on Tue Apr 24 01:22:38 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [1455399:97229836]
:OUTPUT ACCEPT [276210:24328728]
:SECURITY — [0:0]
:logaccept — [0:0]
:logdrop — [0:0]
-A INPUT -m rt --rt-type 0 -j DROP
-A INPUT -p ipv6-icmp -m icmp6 ! --icmpv6-type 128 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -s ff00::/8 -j ACCEPT
-A FORWARD -m rt --rt-type 0 -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -s ff00::/8 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT
-A FORWARD ! -i br0 -o six0 -j DROP
-A FORWARD ! -i br0 -o vlan1 -j DROP
-A OUTPUT -m rt --rt-type 0 -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP
COMMIT
# Completed on Tue Apr 24 01:22:38 2012

#oentne/21
rereply
22. mvamva /21 23.04.2012 18:24 N900

это всё, что у меня на роутере в таблицах. Больше там ничего нет. И спокойно вытягивает 100 мбит.

#oentne/22
rereply
23. werehumanmva /21 23.04.2012 18:24 Psi+

ты мне предлагаешь налепить твой многострочный конфиг? Или ты меряешься, у кого длиннее? У меня длиннее, инфа 100%.

#oentne/23
rereply
24. mvamva /22 23.04.2012 18:25 N900

и да, ############ разделяет iptables-save от ip6tables-save

#oentne/24
rereply
25. mvawerehuman /23 23.04.2012 18:25 N900

я намекаю на "подглядеть" и сделать по образцу. без лишних цепочек жрущих процессор, например

#oentne/25
rereply
26. werehumanmva /25 23.04.2012 18:26 Psi+

ты бы мне ещё весь свой dmesg кинул и предложил поглядеть, всё ли сходится

#oentne/26
rereply
27. werehumanmva /21 23.04.2012 18:26 Psi+

# Generated by iptables-save v1.4.6 on Sun Feb 5 04:00:36 2012
*nat
:PREROUTING ACCEPT [36478:2288418]
:POSTROUTING ACCEPT [10:1398]
:OUTPUT ACCEPT [875:62731]
:MINIUPNPD — [0:0]
:postrouting_rule — [0:0]
:prerouting_rule — [0:0]
-A PREROUTING -d 178.49.21.200/32 -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -d 178.49.21.200/32 -p tcp -m tcp --dport 7000:7100 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -d 178.49.21.200/32 -p udp -m udp --dport 7000:7100 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -d 178.49.21.200/32 -p tcp -m tcp --dport 3000:3001 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -d 178.49.21.200/32 -p udp -m udp --dport 3000:3001 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -d 178.49.21.200/32 -i eth0.1 -j MINIUPNPD
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.3/32 -p tcp -m tcp --dport 20:21 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.3/32 -p tcp -m tcp --dport 7000:7100 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.3/32 -p udp -m udp --dport 7000:7100 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.2/32 -p tcp -m tcp --dport 3000:3001 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.2/32 -p udp -m udp --dport 3000:3001 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -o eth0.1 -j SNAT --to-source 178.49.21.200
-A POSTROUTING -s 10.8.0.0/24 -o br-lan -j SNAT --to-source 192.168.0.1
-A OUTPUT -d 178.49.21.200/32 -p tcp -m tcp --dport 20:21 -j DNAT --to-destination 192.168.0.3
-A OUTPUT -d 178.49.21.200/32 -p tcp -m tcp --dport 7000:7100 -j DNAT --to-destination 192.168.0.3
-A OUTPUT -d 178.49.21.200/32 -p udp -m udp --dport 7000:7100 -j DNAT --to-destination 192.168.0.3
-A OUTPUT -d 178.49.21.200/32 -p tcp -m tcp --dport 3000:3001 -j DNAT --to-destination 192.168.0.2
-A OUTPUT -d 178.49.21.200/32 -p udp -m udp --dport 3000:3001 -j DNAT --to-destination 192.168.0.2
COMMIT
# Completed on Sun Feb 5 04:00:45 2012
# Generated by iptables-save v1.4.6 on Sun Feb 5 04:00:45 2012
*raw
:PREROUTING ACCEPT [3791024:2718783721]
:OUTPUT ACCEPT [7002:906583]
COMMIT
# Completed on Sun Feb 5 04:00:46 2012
# Generated by iptables-save v1.4.6 on Sun Feb 5 04:00:53 2012
*mangle
:PREROUTING ACCEPT [2267723:1666295760]
:INPUT ACCEPT [24342:1525572]
:FORWARD ACCEPT [2243364:1664769110]
:OUTPUT ACCEPT [1647:217999]
:POSTROUTING ACCEPT [2245011:1664987109]
:qos_Default — [0:0]
:qos_Default_ct — [0:0]
-A qos_Default -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A qos_Default -m mark --mark 0x0 -j qos_Default_ct
-A qos_Default -m mark --mark 0x1 -m length --length 400:65535 -j MARK --set-xmark 0x0/0xffffffff
-A qos_Default -m mark --mark 0x2 -m length --length 800:65535 -j MARK --set-xmark 0x0/0xffffffff
-A qos_Default -p udp -m mark --mark 0x0 -m length --length 0:500 -j MARK --set-xmark 0x2/0xffffffff
-A qos_Default -p icmp -j MARK --set-xmark 0x1/0xffffffff
-A qos_Default -p tcp -m mark --mark 0x0 -m tcp --sport 1024:65535 --dport 1024:65535 -j MARK --set-xmark 0x4/0xffffffff
-A qos_Default -p udp -m mark --mark 0x0 -m udp --sport 1024:65535 --dport 1024:65535 -j MARK --set-xmark 0x4/0xffffffff
-A qos_Default -p tcp -m length --length 0:128 -m mark ! --mark 0x4 -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG SYN -j MARK --set-xmark 0x1/0xffffffff
-A qos_Default -p tcp -m length --length 0:128 -m mark ! --mark 0x4 -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG ACK -j MARK --set-xmark 0x1/0xffffffff
-A qos_Default_ct -p tcp -m mark --mark 0x0 -m tcp -m multiport --ports 2222,53 -j MARK --set-xmark 0x1/0xffffffff
-A qos_Default_ct -p udp -m mark --mark 0x0 -m udp -m multiport --ports 2222,53 -j MARK --set-xmark 0x1/0xffffffff
-A qos_Default_ct -p tcp -m mark --mark 0x0 -m tcp -m multiport --ports 20,21,25,80,110,443,993,995,5222,5223,7040 -j MARK --set-xmark 0x3/0xffffffff
-A qos_Default_ct -p tcp -m mark --mark 0x0 -m tcp -m multiport --ports 5190 -j MARK --set-xmark 0x2/0xffffffff
-A qos_Default_ct -p udp -m mark --mark 0x0 -m udp -m multiport --ports 5190 -j MARK --set-xmark 0x2/0xffffffff
-A qos_Default_ct -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
COMMIT
# Completed on Sun Feb 5 04:01:02 2012
# Generated by iptables-save v1.4.6 on Sun Feb 5 04:01:07 2012
*filter
:INPUT DROP [24539:1435353]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1395:238956]
:forward — [0:0]
:forwarding_rule — [0:0]
:input — [0:0]
:input_lan — [0:0]
:input_rule — [0:0]
:input_wan — [0:0]
:output — [0:0]
:output_rule — [0:0]
:reject — [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i br-lan -j input_lan
-A INPUT -i eth0.1 -j input_wan
-A INPUT -p icmp -f -j DROP
-A INPUT -i eth0.1 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -f -j ACCEPT
-A FORWARD -i eth0.1 -o br-lan -j ACCEPT
-A FORWARD -i br-lan -j ACCEPT
-A FORWARD -i tun0 -o eth0.1 -j ACCEPT
-A FORWARD -i eth0.1 -o tun0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p icmp -f -j DROP
-A OUTPUT -o eth0.1 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth0.1 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A OUTPUT -o eth0.1 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0.1 -p tcp -m tcp --dport 53 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 23 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 53 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 80 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 137:139 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 443 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 445 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 2222 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 5000 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 7777 -j ACCEPT
-A input_lan -p tcp -m tcp --dport 9100 -j ACCEPT
-A input_lan -p udp -m udp --dport 53 -j ACCEPT
-A input_lan -p udp -m udp --dport 67 -j ACCEPT
-A input_lan -p udp -m udp --dport 137:139 -j ACCEPT
-A input_lan -p udp -m udp --dport 1025 -j ACCEPT
-A input_lan -p udp -m udp --dport 1194 -j ACCEPT
-A input_lan -p udp -m udp --dport 1900 -j ACCEPT
-A input_lan -p udp -m udp --dport 34954 -j ACCEPT
-A input_lan -p icmp -j ACCEPT
-A input_wan -i eth0.1 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A input_wan -i eth0.1 -p udp -m udp --sport 53 -j ACCEPT
-A input_wan -i eth0.1 -p tcp -m tcp --sport 53 -j ACCEPT
-A input_wan -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A input_wan -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A input_wan -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT
-A input_wan -p tcp -m state --state NEW -m tcp --dport 2222 -j ACCEPT
-A input_wan -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
-A input_wan -p tcp -m tcp --sport 123 -j ACCEPT
-A input_wan -p udp -m udp --sport 123 -j ACCEPT
-A input_wan -d 239.0.0.0/16 -p udp -m udp --dport 1234 -j ACCEPT
-A input_wan -p igmp -j ACCEPT
-A input_wan -d 115.146.120.142/32 -j DROP
-A input_wan -d 188.40.94.66/32 -j DROP
-A input_wan -d 178.63.47.205/32 -j DROP
-A input_wan -d 74.63.190.156/32 -j DROP
-A input_wan -d 92.53.113.10/32 -j DROP
-A input_wan -d 193.111.9.98/32 -j DROP
-A input_wan -d 76.73.47.43/32 -j DROP
-A input_wan -d 88.80.10.1/32 -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sun Feb 5 04:01:15 2012

#oentne/27
rereply
28. mvawerehuman /27 23.04.2012 18:31 N900

алсо, последние два правила при атаках дадут о себе знать. Хотя с такими роутеропроблемами как сейчас — похуй

#oentne/28
rereply
29. werehumanmva /28 23.04.2012 18:31 Psi+

в смысле?

#oentne/29
rereply
30. werehumanmva /28 23.04.2012 18:32 Psi+

предлагаешь просто дропать пакеты? Можно, но это тоже становится заметно.

#oentne/30
rereply
Do you really want to delete ?