Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Dlaczego Niceshaper ubija pakiety idące przez proxy Dansguardiana ?

MES Mariusz 22 Sty 2015 10:00 831 9
  • #1 22 Sty 2015 10:00
    MES Mariusz
    Poziom 36  

    Witam.

    Niceshaper postawiony na routerze Ubuntu Server prawidłowo kontroluje transfery na hostach w sieci.

    Na tym samym routerze postawiony jest również Dansguardian, jeśli na jakiejś maszynie w sieci (zarejestrowanej w class.conf i z poprawnie przyciętym transferem) skonfigurujemy przeglądarkę internetową by łączyła się przez proxy na routerze (192.168.1.1:8080) niceschaper zaczyna ruch na tej maszynie ubijać (po wyłączeniu niceshapera proxy Dansguardiana zaczyna działać poprawnie).

    Ruch www bezpośrednio działa z odpowiednio przyciętą prędkością.
    Ruch przez proxy (przez router 192.168.1.1:8080) jest ubijany.

    Prośba o podpowiedź, jak powinienem skonfigurować niceshapera (class.conf) by poprawnie kontrolować transfer na maszynie łączącej się przez proxy.

    Z góry dziękuję za pomoc.

    0 9
  • #2 22 Sty 2015 12:20
    bresio
    Poziom 19  

    Na którym interfejsie oznaczasz pakiety?

    0
  • #3 22 Sty 2015 12:50
    MES Mariusz
    Poziom 36  

    bresio napisał:
    Na którym interfejsie oznaczasz pakiety?


    Nie wiem jakie to ma znaczenie w kontekście tego, co napisałem wyżej, czyli, że (na maszynie wpiętej do lan1 = eth1) ruch bezpośrednio do internetu działa (kontrolowany przez niceshaper), ubijany jest tylko ruch przez proxy.

    Router:

    - interfejs eth0 to wan (188.xx.xx.xx)
    - interfejs eth1 to lan1 (192.168.1.1)
    - interfejs wlan0 to lan2 (192.168.2.1)

    - Maszyna z której idę do internetu bezpośrednio lub przez proxy to 192.168.1.201

    - Proxy (Dansguardian) to 192.168.1.1:8080

    Uwaga: Ruch przez proxy działa pod warunkiem, że niceshaper jest wyłączony.

    Opis klasy komputera 192.168.1.201 w /etc/niceshaper/class.conf:

    Code:
    class dl eth1 Komputer_201
    
        match dstip 192.168.1.201
        ceil 4Mb/s
    class ul eth0 Komputer_201
        match srcip 192.168.1.201
        ceil 2Mb/s



    Konfig główny:

    Code:
    <global>
    
        run dl ul
        mark-on-ifaces eth0
        stats unit kB/s file no
        log syslog yes terminal yes file no
    #    log syslog yes terminal yes file /var/log/niceshaper/niceshaper.log

    <dl>
        match dstip 192.168.0.0/24
        match dstip 192.168.1.0/24
        match dstip 192.168.2.0/24
        section speed 13MB/s
        section shape 12MB/s
        mode download
        reload 2s
        low 1MB/s
        ceil 12MB/s

    <ul>
        match srcip 192.168.0.0/22
        section speed 13MB/s shape 12MB/s
        mode upload
        reload 2s
        low 1MB/s
        ceil 12MB/s

    0
  • #4 22 Sty 2015 12:58
    bresio
    Poziom 19  

    Cytat:
    match srcip 192.168.0.0/22

    Dlaczego maska 22?

    Po przekierowaniu ruchu na Proxy, ruch przychodzi z Proxy a nie z hosta 201.

    Przeglądarka woła o stronę do Proxy, Proxy woła serwer, serwer odpowiada do proxy, proxy odpowiada przeglądarce.

    Popatrz wiresharkiem, jak wygląda komunikacja z włączonym i bez włączonego proxy

    0
  • #5 22 Sty 2015 13:03
    MES Mariusz
    Poziom 36  

    bresio napisał:
    Cytat:
    match srcip 192.168.0.0/22


    Dlaczego maska 22?


    Bo są dwie sieci LAN (LAN1 i LAN2).

    DHCP przydziela

    - adresy 192.168.1.X -> dla eth1
    - adresy 192.168.2.X -> dla wlan0

    Domyślna maska nie pokrywała adresacji 192.168.2.X więc ruch w LAN1 działał a w LAN2 był ubijany. Problem został rozwiązany przez zmianę maski na 22.


    Więcej: -> https://www.elektroda.pl/rtvforum/viewtopic.php?p=13865078#13865078

    0
  • #6 22 Sty 2015 13:10
    bresio
    Poziom 19  

    Po przekierowaniu ruchu na Proxy, ruch przychodzi z Proxy a nie z hosta 201.

    Przeglądarka woła o stronę do Proxy, Proxy woła serwer, serwer odpowiada do proxy, proxy odpowiada przeglądarce.

    Popatrz wiresharkiem, jak wygląda komunikacja z włączonym i bez włączonego proxy

    Dodatkowo, sprawdź jaki source address ma pakiet, który jest wysyłany przez proxy do serwera docelowego.

    0
  • #7 22 Sty 2015 13:23
    MES Mariusz
    Poziom 36  

    bresio napisał:
    Popatrz wiresharkiem, jak wygląda komunikacja z włączonym i bez włączonego proxy

    Nie jestem pewien czy coś pooglądam, jeśli proxy nie zwraca pakietów przeglądarce.


    Hmm. Możliwości są takie:

    - niceshaper blokuje ruch na linii host_201 -> proxy=router
    - niceshaper blokuje ruch na linii proxy=router -> internet
    - niceshaper blokuje ruch na linii internet -> proxy=router
    - niceshaper blokuje ruch na linii proxy=router -> host_201


    Może wypingowanie coś mi podpowie:

    1. Z routera(proxy) na host_201
    2. Z hosta_201 na router(proxy)
    3. Z routera(proxy) do WWW
    4. Z hosta_201 do WWW

    Tylko pingowanie jest trochę bez sensu. Jak z hosta_201 zapinguję do www to ping poleci bezpośrednio a nie przez serwer proxy, a ubijany jest tylko ruch przez serwer proxy...

    0
  • #8 22 Sty 2015 13:32
    bresio
    Poziom 19  

    Dlatego lepiej obejrzeć Wiresharkiem.

    Popatrz na komunikację z hosta 201. Powinieneś widzieć pakiet, który w src ma IP hosta 201, w dst proxy.
    Popatrz, czy masz odpowiedź od proxy, jeżeli jest, to jaka?

    Ne wiem, czy masz możliwość instalacji wireshark na routerze z Ubuntu Server.
    Jeżeli tak, to popatrz tam na ruch z hosta 201 do proxy i ustal co się z nim dzieje dalej.

    Podejrzewam, że Proxy może nasłuchiwać na adresie 192.168.0.1, ale samo wysyłać ruch w świat z IP interfejsu eth0.
    Do czasu przyjrzenia się komunikacji, trudno stwierdzić, gdzie ruch się blokuje.

    0
  • #9 22 Sty 2015 13:41
    MES Mariusz
    Poziom 36  

    bresio napisał:
    Podejrzewam, że Proxy może nasłuchiwać na adresie 192.168.0.1, ale samo wysyłać ruch w świat z IP interfejsu eth0.


    Adresacja 192.168.0.X nie jest wykorzystywana.

    Router interface WAN - 188.xx.xx.xx
    Router interface LAN1 - 192.168.1.1
    Router interface LAN2 - 192.168.2.1


    Instalacja Wireshark bezpośrednio na hoście_201 ma sens?
    Wydaje mi się, że jeśli pakiety nie będę wracały, to i tak nie będzie wiadomo dlaczego. Popraw mnie jeśli się mylę.

    0
  • #10 23 Sty 2015 11:51
    MES Mariusz
    Poziom 36  

    bresio napisał:
    Dlatego lepiej obejrzeć Wiresharkiem.


    Witam.

    Na hoście 201 zainstalowałem Wireshark-a.
    Wyniki testów z jego użyciem są następujące.



    1. Cały ruch WWW hosta 201 przekierowany na Dansguardiana

    Na routerze (192.168.1.1) ustawione przekierowanie całego ruchu WWW na proxy Dansguardiana (192.168.1.1:8080)

    Code:
    iptables -t nat -A PREROUTING -s 192.168.1.201 -p tcp --dport 80 -j REDIRECT --to-ports 8080




    Rejestruję pakiety od hosta 201 do strony www.ptr-dojlidy.pl.. Z hosta 201 wchodzę na stronę, strona się kotłuje kilkadziesiąt sekund. W końcu się załadowała.

    Dlaczego Niceshaper ubija pakiety idące przez proxy Dansguardiana ?



    2. Ruch WWW z hosta 201 do internetu bezpośredni

    Wyłączam na routerze (192.168.1.1) przekierowanie. Od tej chwili ruch WWW z hosta 201 odbywa się bezpośrednio do internetu. Na hoście 201 ponownie uruchamiam rejestrowanie pakietów. Wchodzę na stronę www.ptr-dojlidy.pl.. Strona ładuje się błyskawicznie.

    Wycinek zarejestrowanej transmisji:

    Dlaczego Niceshaper ubija pakiety idące przez proxy Dansguardiana ?



    3. Sytuacja jak w pkt. 2 ale ustawiam przeglądarkę chrome na korzystanie z proxy (192.168.1.1:8080)

    Strona znowu kotłuje się kilkadziesiąt sekund, tym razem jednak wireshark nie zarejestrował żadnego ruchu:

    Dlaczego Niceshaper ubija pakiety idące przez proxy Dansguardiana ?


    Ponieważ brak zarejestrowanych pakietów przy ustawieniu przeglądarki na proxy przy wchodzeniu na dojlidy, sprawdziłem ruch do routera:

    Dlaczego Niceshaper ubija pakiety idące przez proxy Dansguardiana ?


    Po wyłączeniu Niceshapera prędkość wyświetlania stron jest błyskawiczna w każdym przypadku, niezależnie od tego, czy ruch do WWW idzie bezpośrednio czy też przez proxy Dansguardiana (dansguardian działa, nie wpuszcza na strony zawierające frazę gta).

    Dalej nie wiem dlaczego Niceshaper ubija ruch idący przez proxy (prawie do zera), a bezpośredni przycina prawidłowo do 4 Mbit.

    0
TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo