Перейти к содержанию

Как правильно использовать netfilter в opkg

Le ecureuil
 Поделиться

Рекомендуемые сообщения

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано (изменено)

Итак, начиная с версии прошивки 2.08.A.11.0-3 мы полностью исключили использование skb->mark в ndm, поэтому вы можете его спокойно использовать (iptables match mark и target MARK).

Для полной совместимости с ядром и системой NDMS необходимо использовать следующие патчи для iptables: 920-xt_ndmmark.patch930-xt_conndmmark.patch940-xt_connskip.patch950-xt_PPE.patch960-xt_tls.patch (в этом случае iptables-save и iptables-restore не будут ругаться). У вас будут показываться ndmmark/conndmmark/connskip/tls match и NDMMARK/CONNDMMARK/PPE target, но трогать их не стоит - они активно используются системой.

Однако, следует понимать, что в ядре NDMS присутствуют различные ускорители, которые так или иначе меняют логику работы netfilter.

Поэтому если у вас что-то не работает в netfilter, tc, policy routing и подобных вещах, то сперва проверьте, сделали ли вы нижеследующее:

- отключить FastNAT:

> system set net.ipv4.netfilter.ip_conntrack_fastnat 0 (NDMS 2.x)

> system set net.netfilter.nf_conntrack_fastnat 0 (NDMS 3.x)

(обратно включить можно через 

> system set net.ipv4.netfilter.ip_conntrack_fastnat 1 (NDMS 2.x)

> system set net.netfilter.nf_conntrack_fastnat 1 (NDMS 3.x)

- отключить ppe software:

> no ppe software

- отключить ppe hardware:

> no ppe hardware

И проверить результат работы. Если поведение ядра вас устраивает, можете сохранить настройки:

> system configuration save

 

Начиная с 2.11 стоит учитывать, что таблица raw монопольно захватывается компонентом netflow и не загружается автоматически.

Если она вам нужна - удалите компонент netflow, и загружайте руками iptable_raw.ko.

 

Важно: скрипты в netfilter.d могут вызываться очень часто и с произвольным интервалом, потому обязательно проверьте свои скрипты на работу в таких условиях + на то, что вы проверяете и версию протокола (IPv4 или IPv6), как указано здесь: https://github.com/ndmsystems/packages/wiki/Opkg-Component#ndmnetfilterd

 

Важный момент: скорость без всех ускорителей будет так себе, но вы должны понимать на что идете: или полноценная функциональность, или скорость.

Если после всего описанного все равно остаются вопросы, лучше их задать в этой теме. Новая важная информация будет заноситься в шапку.

 

Изменено пользователем Le ecureuil
обновлено
  • Спасибо 6
r13 Старожил

r13

Опубликовано
Опубликовано

Ура, Правильно я понимаю что теперь можно организовать полноценный MultiWan и при этом использовать IPSec из прошивки?

если использовать iptables без патча только для добавления своих записей и не пользоваться save/restore то ничего не поломается я полагаю?

Александр Рыжов Старожил

Александр Рыжов

Опубликовано
Опубликовано

@r13, IPSec был и раньше. Теперь заработали fwmarks и стал возможен условный роутинг по этим меткам, у примеру, теперь можно использовать VPN для выбранного перечня ресурсов.

gvan Поставщик контента

gvan

Опубликовано
Опубликовано

А чем определяется частое передергивание правил?

Использую collectd c плагином iptbales, который напрямую общается c netfilter для получения значений счетчиков. Для отрисовки трафика определенных клиентов через iptables создаю и маркирую правила. Соответственно, в свой скрипт /opt/etc/ndm/netfilter.d/filter.sh добавил код (правила). Например: 

[ "$table" != "filter" ] && exit 0   # check the table name                                                                                                   
/opt/sbin/iptables -I OUTPUT -p ICMP -s 192.168.1.0/24 -m comment --comment "ICMP" -j ACCEPT                                                                   
/opt/bin/logger -t "iptables" "Rule for collectd added"

Но по syslog вижу, что этот код часто выполняется. Скорее всего, это происходит, когда подключаются/отключаются клиенты wi-fi, порты роутера. При этом и обнуляются счетчики на данном правиле. Это не очень положительно сказывается на точности учета трафика (если, особенно период опроса счетчиков большой).

Можно ли этого как-то избежать?

Le ecureuil NetFriend

Le ecureuil

Опубликовано
  • Автор
Опубликовано
  В 30.11.2016 в 10:20, r13 сказал:

Ура, Правильно я понимаю что теперь можно организовать полноценный MultiWan и при этом использовать IPSec из прошивки?

если использовать iptables без патча только для добавления своих записей и не пользоваться save/restore то ничего не поломается я полагаю?

Показать  

Да, все так.

Le ecureuil NetFriend

Le ecureuil

Опубликовано
  • Автор
Опубликовано
  В 30.11.2016 в 10:26, Александр Рыжов сказал:

@r13, IPSec был и раньше. Теперь заработали fwmarks и стал возможен условный роутинг по этим меткам, у примеру, теперь можно использовать VPN для выбранного перечня ресурсов.

Показать  

Не совсем, IPsec ставил/снимал марки на своих пакетах, потому fwmarks конфликтовал с ним.

  • Спасибо 1
Le ecureuil NetFriend

Le ecureuil

Опубликовано
  • Автор
Опубликовано
  В 30.11.2016 в 11:46, gvan сказал:

А чем определяется частое передергивание правил?

Использую collectd c плагином iptbales, который напрямую общается c netfilter для получения значений счетчиков. Для отрисовки трафика определенных клиентов через iptables создаю и маркирую правила. Соответственно, в свой скрипт /opt/etc/ndm/netfilter.d/filter.sh добавил код (правила). Например: 

[ "$table" != "filter" ] && exit 0   # check the table name                                                                                                   
/opt/sbin/iptables -I OUTPUT -p ICMP -s 192.168.1.0/24 -m comment --comment "ICMP" -j ACCEPT                                                                   
/opt/bin/logger -t "iptables" "Rule for collectd added"

Но по syslog вижу, что этот код часто выполняется. Скорее всего, это происходит, когда подключаются/отключаются клиенты wi-fi, порты роутера. При этом и обнуляются счетчики на данном правиле. Это не очень положительно сказывается на точности учета трафика (если, особенно период опроса счетчиков большой).

Можно ли этого как-то избежать?

Показать  

Нет, пока прошивка сделана именно так, и переделывать ее не запланировано.

gvan Поставщик контента

gvan

Опубликовано
Опубликовано
  В 30.11.2016 в 13:10, Le ecureuil сказал:

Нет, пока прошивка сделана именно так, и переделывать ее не запланировано.

Показать  

Т.е. при возникновении таких сетевых событий делается flush всех правил и цепочек без исключений? Или же какие-то служебные все-таки остаются?

Если есть возможность хака в виде создания некой своей кастомной цепочки (например, с именем, начинающимся с определенных символов), то можно в ней уже учитывать трафик. Ну естественно при этом эта цепочка не должна чиститься.

Le ecureuil NetFriend

Le ecureuil

Опубликовано
  • Автор
Опубликовано
  В 30.11.2016 в 16:35, gvan сказал:

Т.е. при возникновении таких сетевых событий делается flush всех правил и цепочек без исключений? Или же какие-то служебные все-таки остаются?

Если есть возможность хака в виде создания некой своей кастомной цепочки (например, с именем, начинающимся с определенных символов), то можно в ней уже учитывать трафик. Ну естественно при этом эта цепочка не должна чиститься.

Показать  

Нет, перезаписывается весь netfilter целиком по каждой нужде. Пока это невозможно "быстро" исправить.

gvan Поставщик контента

gvan

Опубликовано
Опубликовано
  В 30.11.2016 в 16:42, Le ecureuil сказал:

Нет, перезаписывается весь netfilter целиком по каждой нужде. Пока это невозможно "быстро" исправить.

Показать  

Ясно :(

А "каждая нужда" какими примерно событиями определяется (чтобы для себя понимать насколько часто это может происходить и от чего это зависит)?

  • 2 недели спустя...
zyxmon Старожил

zyxmon

Опубликовано
Опубликовано
  В 30.11.2016 в 09:05, Le ecureuil сказал:

Для полной совместимости с ядром и системой NDMS необходимо использовать следующий патч для iptables: 920-xt_ndmmark.patch (в этом случае iptables-save и iptables-restore не будут ругаться). У вас будут показываться ndmmark match и NDMMARK target, но трогать их не стоит - они активно используются системой.

Показать  

Это несколько нарушает универсальность репозиториев Entware-3x. Но пока можно обойтись без отдельного фида для кинетика.

felcons Пользователь

felcons

Опубликовано
Опубликовано

у меня проблема с работой всех правил по пробросу и ремапингу портов. в разделе безопасность пишу правила и ни одно из них просто не работает. ни по прозрачному перенаправлению портов на отдельный компьютер, ни по ремапингу.

роутер zeexel keenetic белый. вроди б в правилах все верно, но может что и пропустил, так как незрячий полностю и пользую скринридер. может кто списаться со мной на скайп, чтоб помочь сделать ремапинг портов? или через timeviewer,  или через то что я буду транслировать экран по скайпу. просто в подключениях, там где broadband интерфейс есть несколько галок, которые никак не читаются. может и там что не то? хотя я там ничего не трогал, просто выбрал ип вручную и там его прописал. entware  поставился без проблем, а вот перенаправление портов не работает. незнаю как дать мой скайп, чтоб не давать открыто, и чтоб меня и тут опять не забанили, как в forums.zyxmon.org.

gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано

А в скриптах /opt/etc/ndm/netfilter.d/ при использовании "встроенного" iptables он выпадает в Segmentation fault

Хотя просто из шелла работает.

Надо обязательно ставить iptables из пакетов?

Версия release: v2.08(AAUW.0)C1

Le ecureuil NetFriend

Le ecureuil

Опубликовано
  • Автор
Опубликовано
  В 09.03.2017 в 19:56, gaaronk сказал:

А в скриптах /opt/etc/ndm/netfilter.d/ при использовании "встроенного" iptables он выпадает в Segmentation fault

Хотя просто из шелла работает.

Надо обязательно ставить iptables из пакетов?

Версия release: v2.08(AAUW.0)C1

Показать  

Встроенный iptables не предназначен для использования чем-либо, кроме прошивки.

Да, обязательно ставить из пакетов.

winniepooh Новичок

winniepooh

Опубликовано
Опубликовано

Поднял Openvpn сервер на Keenetic Ultra II v2.08(AAUX.0)C1. Установил Entware-3, openvpn, и все вроде работает... но постоянно в логе:

I] Mar 15 12:55:21 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
[C] Mar 15 12:56:12 ndm: Netfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.
[C] Mar 15 12:58:22 ndm: Core::Syslog: last message repeated 2 times.
Mar 15 12:59:02 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
Mar 15 13:03:54 ndm: Core::Syslog: last message repeated 3 times.
[C] Mar 15 13:05:24 ndm: Netfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.
Mar 15 13:06:55 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
[C] Mar 15 13:07:15 ndm: Netfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.
Mar 15 13:20:49 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
Mar 15 13:20:59 ndm: Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
[C] Mar 15 13:21:09 ndm: Netfilter::Table: IPT_SO_SET_REPLACE failed: resource temporarily unavailable.

клиентов подключенных порядка 3-5
в логе постоянно валятся сообщения от iptables: Resource temporarily unavailable., но вроде как работе это не мешает (я так понимаю, это от запуска iptables в момент, когда еще старый не отработал. Судя по логам скрипт постоянно запускается (каждые 10 секунд на одного абонента) и иногда они накладываются друг на друга.
 

с этим что-то можно сделать?

через некоторое время (1-2 дня), сервис openvpn сам останавливается... при перезапуске его руками все опять работает 1-2 дня и отваливается снова...

winniepooh Новичок

winniepooh

Опубликовано
Опубликовано

отвалился:

Mar 17 09:08:50ndm Opkg::Manager: /opt/etc/ndm/netfilter.d/052-openvpn-filter.sh: iptables: Resource temporarily unavailable.
Mar 17 09:08:50ndm Core::Syslog: last message repeated 20 times.
Mar 17 09:09:09ipsec12[KNL] interface tun0 deactivated
Mar 17 09:09:09ipsec13[KNL] 10.23.100.1 disappeared from tun0
Mar 17 09:09:09ipsec15[KNL] interface tun0 deleted
  • 3 месяца спустя...
naileddeath Пользователь

naileddeath

Опубликовано
Опубликовано (изменено)
  Показать контент

Не подскажите новичку как накатить патчик?

Изменено пользователем naileddeath
  • TheBB сделал популярным тема
  • 4 недели спустя...
r13 Старожил

r13

Опубликовано
Опубликовано

@Le ecureuil А можно узнать что влияет на наиболее частое дерганье iptables, чтобы можно было подумать надо оно мне или можно выключить, а то как то уж совсем часто:

  Показать контент

И в таком ритме постоянно.

  • 2 недели спустя...
Le ecureuil NetFriend

Le ecureuil

Опубликовано
  • Автор
Опубликовано
  В 30.12.2018 в 23:04, r13 сказал:

@Le ecureuil А можно узнать что влияет на наиболее частое дерганье iptables, чтобы можно было подумать надо оно мне или можно выключить, а то как то уж совсем часто:

  Показать контент

И в таком ритме постоянно.

Показать  

У вас много настроек с политиками, скорее всего из-за этого.

Постфактум узнать невозможно.

r13 Старожил

r13

Опубликовано
Опубликовано
  В 10.01.2019 в 08:11, Le ecureuil сказал:

У вас много настроек с политиками, скорее всего из-за этого.

Постфактум узнать невозможно.

Показать  

Грохнул все политики, не помогает :)

  Показать контент

 

  • 1 месяц спустя...
  • 2 месяца спустя...
qmxocynjca Пользователь

qmxocynjca

Опубликовано
Опубликовано (изменено)

Столкнулся примерно с той же проблемой, что и r13. В моём случае правила рефрешатся стабильно каждые 30 секунд, т.е. по сути каждые 30 секунд имею потерю пакетов из-за слетающих правил.

Начал копать, включил self-test и по нему увидел, что каждые 30 секунд происходит какая-то история с IPv6. Выглядит это так: 

[I] May  6 19:32:52 ndm: Network::NeighbourTable: -> IPv6 (1): [fe80::cdd:967f:4ac4:32c7] - expired (LastSeen: 3).
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 16, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 8, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 9, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 11, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 19, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Network::NeighbourTable: neighbour event: ID: 12, address: ipv6, action: new.
[I] May  6 19:32:52 ndm: Netfilter::Util::Conntrack: flushed 3 unreplied IPv4 connections.
[I] May  6 19:32:52 root: Updating mark step 1 result: 0
...
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 16, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 8, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 9, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 11, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 19, address: ipv6, action: new.
[I] May  6 19:33:22 ndm: Network::NeighbourTable: neighbour event: ID: 12, address: ipv6, action: new.
[I] May  6 19:33:23 ndm: Netfilter::Util::Conntrack: flushed 4 unreplied IPv4 connections.
[I] May  6 19:33:23 ipsec: 13[CFG] statistics was written 
[I] May  6 19:33:23 root: Updating mark step 1 result: 0

Последняя строка - лог из моего скрипта, лежащего в netfilter.d.

Отключил IPv6 на уровне компонентов (провайдер всё-равно пока не поддерживает), всё стало тихо и спокойно.

Товарищи разработчики, исправьте, пожалуйста, это поведение. Хочется иметь включённый IPv6 без постоянного 30 секундного сброса правил в iptables.

Изменено пользователем dippnsk
  • Лайк 2
TheBB Старожил

TheBB

Опубликовано
Опубликовано (изменено)

iptables с "набором патчей" из шапки темы.

для DSL, DSL (KN-2010), DUO (KN-2110), LTE, VOX: iptables_1.4.21-3_mips-3.4_kn.ipk

для остальных: iptables_1.4.21-3_mipsel-3.4_kn.ipk

upd

в "репах"

Изменено пользователем TheBB
upd
  • 1 год спустя...
vitalik6243 Продвинутый пользователь

vitalik6243

Опубликовано
Опубликовано

Возможно ли реализовать аналог или подобие этой команды прямо на Keenetic? без использования OPKG? Или возможно данная команда уже есть? Т.к. ip nat ISP-Vlan не работает должный образом.

Дело в том что мне нужно принять трафик с wan интерфейса через внешний ip, и так же само передать в wan интерфейс только уже на серый IP внутри сети провайдера, и единственный выход который есть на данный момент это использование OPKG 

iptables -t nat -A POSTROUTING -o eth3.100 -j MASQUERADE

 

vitaliy_364 Новичок

vitaliy_364

Опубликовано
Опубликовано

@Le ecureuil подскажите насколько сильно влияет отключение nf_conntrack_fastnat?

Канал 1Gbs (без аутентфикации)

net.netfilter.nf_conntrack_fastnat 1 

    Latency:     1.88 ms   (0.05 ms jitter)
   Download:   655.90 Mbps (data used: 658.0 MB)                               
     Upload:   860.37 Mbps (data used: 420.5 MB)

net.netfilter.nf_conntrack_fastnat 0 

    Latency:     1.11 ms   (0.17 ms jitter)
   Download:   419.77 Mbps (data used: 451.7 MB)                               
     Upload:   439.31 Mbps (data used: 268.5 MB)

Такое падение, это нормально? Тест speedtest-cli

  • 2 месяца спустя...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю