|
Problem z ip_tables
|
| fdolas |
Dodano 03-05-2007 10:03
|
User
Posty: 11
Dołączył: 28/04/2007 20:26
|
Witam
Mam pytanie czy ktoś miał problem z działaniem skryptów do podziału pasma. Dokładnie chodzi mi o to czy działają poprawnie na najnowszym firmware tomato 1.06. U mnie jest problem, stworzyłem skrypt do podziału pasma i umieściłem go w inicie, żeby uruchamiał się przy starcie routera. Niestety podział pasma nie działa. Zalogował się poprzez telnet i odpaliłem skrypt z "palca" i otrzymałem następujący komunikat :
modprobe: module ip_tables not found
modprobe: failed to load module ip_tables
i tak kilkakrotnie. Sprawdzałem linia po lini działanie skryptu i komunikat w/w pojawia się w lini dotyczącej znakowaniatj. z MARK markset może to kogoś naprowadzi.
Wiem, że to oznacza, że nie ma jakiegoś modułu. Co zrobić, żeby podział pasma działał prawidłowo.Poniżej skrypt, którego użyłem do podziału pasma.
modprobe ipt_TTL
iptables -t mangle -I FORWARD -j TTL --ttl-set 128
modprobe ipt_layer7
TCA="tc class add dev br0"
TFA="tc filter add dev br0"
TQA="tc qdisc add dev br0"
SFQ="sfq perturb 10"
tc qdisc del dev br0 root
tc qdisc add dev br0 root handle 1: htb
tc class add dev br0 parent 1: classid 1:1 htb rate 1000kbit
$TCA parent 1:1 classid 1:10 htb rate 10kbit ceil 128kbit prio 0
$TCA parent 1:1 classid 1:11 htb rate 234kbit ceil 512kbit prio 2
$TCA parent 1:1 classid 1:12 htb rate 234kbit ceil 512kbit prio 2
$TCA parent 1:1 classid 1:13 htb rate 234kbit ceil 512kbit prio 2
$TCA parent 1:1 classid 1:14 htb rate 234kbit ceil 512kbit prio 2
$TQA parent 1:10 handle 10: $SFQ
$TQA parent 1:11 handle 11: $SFQ
$TQA parent 1:12 handle 12: $SFQ
$TQA parent 1:13 handle 13: $SFQ
$TQA parent 1:14 handle 14: $SFQ
$TFA parent 1:0 prio 0 protocol ip handle 10 fw flowid 1:10
$TFA parent 1:0 prio 2 protocol ip handle 11 fw flowid 1:11
$TFA parent 1:0 prio 2 protocol ip handle 12 fw flowid 1:12
$TFA parent 1:0 prio 2 protocol ip handle 13 fw flowid 1:13
$TFA parent 1:0 prio 2 protocol ip handle 14 fw flowid 1:14
iptables -t mangle -A POSTROUTING -m layer7 --l7proto dns -j MARK --set-mark 10
iptables -t mangle -A POSTROUTING -d 10.y.0.a -j MARK --set-mark 11
iptables -t mangle -A POSTROUTING -d 10.y.0.b -j MARK --set-mark 12
iptables -t mangle -A POSTROUTING -d 10.y.0.c -j MARK --set-mark 13
iptables -t mangle -A POSTROUTING -d 10.y.0.d -j MARK --set-mark 14
tc qdisc add dev br0 ingress
$TFA parent ffff: protocol ip handle 50 fw police rate 12kbit mtu 12k burst 10k drop
$TFA parent ffff: protocol ip u32 match ip src 10.y.0.a flowid :1 police rate 58kbit mtu 12k burst 10k drop
$TFA parent ffff: protocol ip u32 match ip src 10.y.0.b flowid :1 police rate 58kbit mtu 12k burst 10k drop
$TFA parent ffff: protocol ip u32 match ip src 10.y.0.c flowid :1 police rate 58kbit mtu 12k burst 10k drop
$TFA parent ffff: protocol ip u32 match ip src 10.y.0.d flowid :1 police rate 58kbit mtu 12k burst 10k drop
iptables -I FORWARD -p tcp -m layer7 --l7proto dns -m connlimit --connlimit-above 300 -j DROP
iptables -I FORWARD -s 10.y.0.a -p tcp -m connlimit --connlimit-above 500 -j DROP
iptables -I FORWARD -s 10.y.0.b -p tcp -m connlimit --connlimit-above 500 -j DROP
iptables -I FORWARD -s 10.y.0.c -p tcp -m connlimit --connlimit-above 500 -j DROP
iptables -I FORWARD -s 10.y.0.d -p tcp -m connlimit --connlimit-above 500 -j
Oczywiście literki y,ab,c,d,e są podane wiecie po co !!! |
| |
|
|
| fdolas |
Dodano 03-05-2007 10:39
|
User
Posty: 11
Dołączył: 28/04/2007 20:26
|
polecenie lsmod wyrzuciło:
Module Size Used by
ip_nat_rtsp 6480 0 (unused)
ip_conntrack_rtsp 5720 1
ip_nat_h323 3032 0 (unused)
ip_conntrack_h323 2664 1
ip_nat_pptp 2668 0 (unused)
ip_conntrack_pptp 3452 1
ip_nat_proto_gre 1888 0 (unused)
ip_conntrack_proto_gre 2776 0 [ip_nat_pptp ip_conntrack_pptp]
tomato_ct 1136 0 (unused)
wl 423640 0 (unused)
et 28088 0 (unused)
dostępne moduły netfilter
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_conntrack_h323.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_conntrack_pptp.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_conntrack_proto_gre.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_conntrack_rtsp.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_nat_h323.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_nat_pptp.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_nat_proto_gre.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ip_nat_rtsp.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_CLASSIFY.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_DSCP.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_IMQ.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_REDIRECT.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_TOS.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_TTL.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_condition.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_geoip.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_ipp2p.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_layer7.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_length.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_multiport.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_time.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_tos.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_u32.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/ipt_web.o
/lib/modules/2.4.20/kernel/net/ipv4/netfilter/tomato_ct.o
Edytowany przez fdolas dnia 03-05-2007 10:42
|
| |
|
|
| Administrator |
Dodano 03-05-2007 11:20
|
User
Posty: 66
Dołączył: 18/02/2007 09:43
|
a czemu dałeś skrypt w INIT a nie w FIREWALL ?? 
Edytowany przez Administrator dnia 03-05-2007 11:21
|
| |
|
|
| fdolas |
Dodano 03-05-2007 13:24
|
User
Posty: 11
Dołączył: 28/04/2007 20:26
|
A jaka to różnica przecież to skrypt powłoki to powinień wykonać się poprawnie. Tak samo jakbym go wpisał z konsoli ! |
| |
|
|
| tabor |
Dodano 03-05-2007 13:41
|
User
Posty: 68
Dołączył: 20/11/2006 11:22
|
Cytat Why doesn't my startup script work? *I know* it should work!?
The startup script actually runs ahead of some services. Things that involve networking, for example, are not going to be up yet when the startup script begins. To work around this, use "sleep 5" or a similar command to wait until what you need is up and running. Better yet, consider putting the script in other areas like the firewall script where you're assured that the network is ready.
To cytat z FAQ Tomato, podobny problem miałem z odpalaniem czegokolwiek z JFFS przy starcie - poprostu nie da rady w Init, trzeba w WanUp lub Firewall, to tak do tego jaka to różnica, co do tego dlaczego nie działa - nie wiem 
Pozdrwaiam
Michał
Nothing is out of reach if you have long arms.
|
| |
|
|
| fdolas |
Dodano 03-05-2007 14:34
|
User
Posty: 11
Dołączył: 28/04/2007 20:26
|
Reczywiście miałeś racje tabor. Wynika z tego, że skrypty z initu uruchamiane są wcześniej, przed zakończeniem ładowania systemu.
Wielkie dzięki :):):)
Edytowany przez fdolas dnia 03-05-2007 19:00
|
| |
|
|
| robsonn |
Dodano 04-05-2007 09:41
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
fdolas z mojej strony mogę dodać również cytat z FAQu Tomato.
Cała sprawa rozbija się o to, że iptables zostaje uruchomione i dokładnie po tym fakcie jest wykonywany skrypt firewalla także masz pewność, że wszystko się gładko uruchomi ;)
Edytowany przez robsonn dnia 04-05-2007 09:42
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| fdolas |
Dodano 04-05-2007 10:43
|
User
Posty: 11
Dołączył: 28/04/2007 20:26
|
Tak dla informacji po uruchomieniu skryptu dalej otrzymuje komunikat:
module ip_tables not found ,
ale wszystko działa. Być może w kernelu brakuje jakiegoś modułu do iptables.
PS.
Robson dzięki za script generatora dzięki temu nie musiałem ręcznie wpisywać regułek podziału pasma  |
| |
|
|
| robsonn |
Dodano 04-05-2007 16:14
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
fdolas no problemo 
Btw. Może po prostu, któryś z modułów może byćjuż uruchomiony i wykonując skrypt stara się odpalić go jeszcze raz.
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
' target='_blank'>Link
