Полная версия этой страницы: traffpro+ centos
skif
Добрый день
установил на Centos 7, traffpro 1.4.7
интернет не раздается пинги во вне не идут, сам шлюз пингуется доступ к админке есть
вывод iptables -nL
[/code]
iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:21
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:443
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22 recent: UPDATE seconds: 15 name: SSHT side: source mask: 255.255.255.255
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22 recent: SET name: SSHT side: source mask: 255.255.255.255
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 4
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22 recent: UPDATE seconds: 15 name: SSHT side: source mask: 255.255.255.255
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22 recent: SET name: SSHT side: source mask: 255.255.255.255
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22 recent: UPDATE seconds: 15 name: SSHT side: source mask: 255.255.255.255
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22 recent: SET name: SSHT side: source mask: 255.255.255.255

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            mark match 0xfffd
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            mark match 0xfffe
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            mark match 0xffff
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:22


traffpro.cfg

daemon_restart=true
to_install_dir=/opt/traffpro
daemon=true
time_in=30
time_out=360
db_url=localhost
db_usr=root
db_passwd=K33dErs1
db_name=traffpro
ports_detail=true
url_detail=true
url_block=true
not_udptcp_control=true
not_udptcp_block=true
ss_enabled=false
eth_out=enp1s0
out_ip=109.124.100.37
ip_queue_maxlen=2048000
nat_data_in_db=true
log_route=true
secret_files=false
shaper_type_linear=true
url_agregate=true
url_no_port=false
url_port_squid=0-79,81-65535
terminal_srv=false
control_eth_addr=false
auth_only_mac=false
redirect_server_auth_on=true
ip_to_redirect_auth=172.16.30.245
port_to_redirect_auth=80
port_to_redirect_access_denied=80
port_to_redirect_no_money=80
radius_auth_on=false
radius_auth_addr_listen=0
radius_auth_port_listen=1812
radius_auth_key=secret_key
radius_auth_microtic_enable=false
radius_acc_on=false
radius_auth_addr_listen=0
radius_auth_port_listen=1812
radius_auth_key=secret_key
radius_auth_microtic_enable=false
radius_acc_on=false
radius_acc_addr_listen=0
radius_acc_port_listen=1813
radius_acc_key=secret_key
shaper_thread_count=3
control_thread_count=3
squid_log_file=
squid_connect=false
not_resolv_dn=true
enable_netflow_type=
net_number=0
shaper_time_out=0
queue_thread_diff=false
control_all_or_inout=true
local_networks=Incol.local
database_crash_control=true
algo=0
equalize_channel=true
traffic_counter=on
antiflood_type=
antiflood=600
antiflood_tcp=
antiflood_udp=
antiflood_other=
paket_copy_enable=true
shaper_enable=true

помогите разобраться, спасибо)
Sly
Дайте вывод iptables-save -c
skif

iptables-save -c
# Generated by iptables-save v1.4.21 on Tue May 24 10:30:08 2016
*nat
:PREROUTING ACCEPT [10562:821798]
:INPUT ACCEPT [5770:440382]
:OUTPUT ACCEPT [2113:170359]
:POSTROUTING ACCEPT [2482:189742]
[0:0] -A PREROUTING -p tcp -m mark --mark 0xfffd -j REDIRECT --to-ports 80
[0:0] -A PREROUTING -p tcp -m mark --mark 0xfffe -j REDIRECT --to-ports 80
[0:0] -A PREROUTING -p tcp -m mark --mark 0xffff -j REDIRECT --to-ports 80
COMMIT
# Completed on Tue May 24 10:30:08 2016
# Generated by iptables-save v1.4.21 on Tue May 24 10:30:08 2016
*filter
:INPUT ACCEPT [9982:801802]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [4593:1957870]
[20915:14136530] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[92:7522] -A INPUT -p icmp -j ACCEPT
[1095:83141] -A INPUT -i lo -j ACCEPT
[178:9716] -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
[2:80] -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -p udp -m state --state NEW -m udp --dport 21 -j ACCEPT
[377:20172] -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
[10:416] -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --update --seconds 15 --name SSHT --mask 255.255.255.255 --rsource -j DROP
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSHT --mask 255.255.255.255 --rsource -j ACCEPT
[0:0] -A INPUT -i enp1s0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --update --seconds 15 --name SSHT --mask 255.255.255.255 --rsource -j DROP
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSHT --mask 255.255.255.255 --rsource -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --update --seconds 15 --name SSHT --mask 255.255.255.255 --rsource -j DROP
[0:0] -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSHT --mask 255.255.255.255 --rsource -j ACCEPT
[0:0] -A FORWARD -p tcp -m mark --mark 0xfffd -j DROP
[0:0] -A FORWARD -p tcp -m mark --mark 0xfffe -j DROP
[0:0] -A FORWARD -p tcp -m mark --mark 0xffff -j DROP
[1092:57002] -A FORWARD -j ACCEPT
[4016:506993] -A OUTPUT -o lo -j ACCEPT
[3910:855955] -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Tue May 24 10:30:08 2016
# Generated by iptables-save v1.4.21 on Tue May 24 10:30:08 2016
*mangle
:PREROUTING ACCEPT [18150:1926620]
:INPUT ACCEPT [17352:2317466]
:FORWARD ACCEPT [1092:57002]
:OUTPUT ACCEPT [6988:2267955]
:POSTROUTING ACCEPT [3822:278014]
[1702:197353] -A PREROUTING -i lo -j ACCEPT
[3015:612528] -A PREROUTING -d 172.16.30.245/32 -j ACCEPT
[0:0] -A PREROUTING -i lo -j ACCEPT
[1702:197353] -A POSTROUTING -o lo -j ACCEPT
[2556:1849590] -A POSTROUTING -s 172.16.30.245/32 -j ACCEPT
[0:0] -A POSTROUTING -o lo -j ACCEPT
COMMIT

Sly
У вас скорее всего не настроен в админке внешний интерфейс и шлюз, но при этом включёны:
nat_data_in_db
и
log_route
Sly
Включён параметр:
control_all_or_inout=true
local_networks=Incol.local

Тоже отключить.

Во втором параметре доменное имя, должна стоять сеть, а не домен.
Sly
shaper_type_linear=true
Отключить.
skif
Sly, т.е. отключить эти параметры%3F

\" Включение получения данных (о маршрутах и NAT) не из параметров eth_out и ip_out, а из настроек внешних интерфейсов и шлюзов (в web административной консоли)

Включение логирования нагрузки на канале на внешних интерфейсах, а так же учёт трафика по внешним интерфейсам\"

а если мне хотелось бы видеть нагрузку на канале и подсчет трафика на всех интерфейсах%3F%3F:))

control_all_or_inout%3Dtrue а если надо раделять%3F то просто указать подсеть%3F

local_networks%3DIncol.local в данном параметре можно указать 172.16.30.0/16 %3F надо несколько подсетей...

\"У вас скорее всего не настроен в админке внешний интерфейс и шлюз\"
интерфейс указан, а вот где указать шлюз не очень понял...
Sly
Для начала отключите указанные параметры, в том числе и ещё один параметр
redirect_server_auth_on=true

Перезагрузите сервер, убедитесь, что у вас появился интернет у тестовых клиентов.

Затем откройте документ "Руководство администратора" в котором описана настройка данных параметров, и начинайте настраивать их по очереди, что бы было понятно где вы ошиблись.
skif
Sly,
вобщемто так и делал, по логике описания данных параметров, влиять на раздачу интернета не должно , как например последний , странно учета входящего и исходящего трафика влияет на раздачу) как и redirect_server_auth_on%3Dtrue, да и шейпер...((( вы не ответили про шлюз ...
кстати \"%3F\" данный набор символов это вопорсительный знак который форум переводит в данный вид.... рекомендации выполню отпишусь , спасибо
Sly
skif,
Шлюз(ы) настраиваются в меню система -> внешние интерфейсы -> шлюзы

Разделение потока данных на исходящий и входящий - не относится к учёту, это разделение потоков, что бы система обрабатывала их раздельно в раздельных потоках. Повышает производительность системы. Но для этого необходимо правильно настроить подсети и внешние интерфейсы со шлюзами, так же это относится и к редиректу. Собственно говоря пока не будут правильно настроены внешние интерфейсы и шлюзы эти параметры корректно работать не будут.

Тип шейпера линейный лучше поставить в false если у вас клиентов довольно много в сети.
skif
Sly,
да все заработало спасибо!
подскажите в какой файл правильно добавлять Iptable правила%3F
Sly
Правильно добавлять в traffpro_rule.cfg
но внимательно очень добавляйте, что бы вы своими правилами не конфликтовали с теми которые ставит traffpro.
skif
Sly,
при добавлении шлюза говорит что такой интерфейс уже существует..
Sly
Покажите на скриншоте ваши настройки:
1 - таблицу со шлюзами.
2 - настройки шлюза при добавлении.
3 - скриншот ошибки.
skif
Sly,

вы написали : \"У вас скорее всего не настроен в админке внешний интерфейс и шлюз\"
я пытаюсь его настроить...

1 - таблицу со шлюзами. ---их нет, пытаюсь добавить, далее чтобы включить , \"учет и Защита\" , захожу система-внешние интерфейсы-внешние интерфейсы (учет и Защита)
2 - настройки шлюза при добавлении. --указываю логин, пароль, ip, MAc

3 - скриншот ошибк ----на этот форум нельзя ничего вставить, выдает ошибку! , текст ошибки гласит : ВНЕШНИЙ ИНТЕРФЕЙС С ТАКИМ ИМЕНЕМ УЖЕ СУЩЕСТВУЕТ! ), если дадите email то вышлю...
Sly
У вас есть 2 меню для этих настроек:
1 - система -> внешние интерфейсы -> внешние интерфейсы
2 - система -> внешние интерфейсы -> управление шлюзами

в первом пункте необходимо внести внешний интерфейс.
во втором пункте к этому интерфесу добавить шлюз по умолчанию
потом зайти в уже настроенный внешний интерфейс и просто пересохранить нажав кнопку OK

Если у вас не даёт сохранить внешний интерфейс под каким то именем значит скорее всего такое название есть в клиентах, проверьте. а не завели ли вы внешний интерфейс как клиент?
skif
Sly,
интерфейс добавился но мониторинг не показывает данных... в реальном времени, как и статистики по шлюзу нет...( статистика по пользователям прекрасно работает
Sly
Если вы добавили внешний интерфейс и шлюз, и пересохранили внешний интерфейс то вам осталось включить параметры:
nat_data_in_db=true
и
log_route=true
И перезагрузить сервер.
Параметры включают:
1 - Взятие данных о NAT, маршрутах, портах проброса и прочем не из конфиг файла, а из базы.
2 - Вести логирование по нагрузке на канал.
skif
Sly,
к сожалению интернет пропадает ....( картинки в форум уже можно выкладывать%3F
Sly
Выкладывайте скриншоты. Картинки загружаются.
И ещё сразу выложите вывод команд:
ifconfig
и
ip route
skif
Sly,
[attachment=971]
skif
даже незнаю вставилось или нет)
Sly
Выложите картинку на сторонний ресурс типа радикала. а в форум просто ссылки, пока мы форум не починим.
skif
Sly,
http://s019.radikal.ru/i620/1606/8a/f53171238839.jpg
http://s019.radikal.ru/i639/1606/fd/a0494f2aab48.jpg
http://s020.radikal.ru/i706/1606/10/a8096d5f1015.jpg
http://s018.radikal.ru/i527/1606/be/06da2b150a80.jpg
Sly
Сразу вопрос:
Почему во внешних интерфейсах у вас ip равен 0.0.0.0?
skif
[quote%3DSly]http://s018.radikal.ru/i527/1606/be/06da2b150a80.jpg

а его нельзя изменить
Sly
В смысле нельзя изменить?
skif
Sly,
посмотрите на скриншоте он затенен, править нельзя его, а на другом скриншоте указаны полностью его настройки
Sly
У вас стоит галка "Маскарад", по этому у вас он затенён, у вас должен быть статический ip для интерфейса, что бы иметь возможность управления через админ консоль, если ip статический снимите галку маскарад, и внесите ip в требуемое поле.
skif
Sly,
изменил но в интернет не пускает
Sly
Теперь опять вопрос: Подсеть NAT (в настройках шлюза) у вас указанна в виде одного ip адреса 172.16.30.0
подсеть необходимо указывать с маской, например 172.16.30.0/24

И сразу вопрос номер 2:
Что за интерфейс tun, это клиент? Или это просто независимое соединение, которое можно не брать в расчёт?
skif
Sly,
а зачем тогда поле метрика %3F
tun все верно независимое соединение , в расчет не берите)
Sly
Метрика к подсетям хоть так хоть так отношения не имеет.
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.