Buba router Linux

[burebista]

Io's clei la Linux. Am un calculator pe post de router intre reteaua mea interna si reteaua CNAS (are CentOS pe el daca ajuta la ceva) si a fost configurat la Bucuresti.
Ieri am plecat voios acasa si azi dimineata e haos cu minunatia de aplicatie SIUI.
Pe ecranul routerului din cind in cind defileaza voios un mesaj care incepe cu
Badness in local_bh_enable at kernel softirq.c:141
urmat de citeva linii care incep cu cifre si urmate de un fel de descriere. Ceva de genul
[<c0129b05>] local_bh_enable+034/0x51
[<d8515b3f>] destroy_conntrack+0x93/0xc1 [ip_conntrack]
N-am apucat sa le scriu pe toate ca apare alta serie care le impinge pe astea in afara ecranului.
Rezultatul acelui mesaj de pe ecran se traduce in pierderea conexiunii cu routerul pentru o secunda-doua sau in cel mai fericit caz un ping cu timp de raspuns de 3000ms. Ceva de genul pozei din atasament (primele 2 de sus sunt serverele din reteaua CNAS si care sunt dupa router, pe al doilea rind e routerul si celelalte 3 sunt calculatoare din reteaua mea care intra in router).
Ping-ul in calculatoarele din reteaua mea este impecabil, no packet loss si average response time 0ms. Problema apare cind se trece prin router spre aplicatia CNAS.

So, vreo minte luminata care haleste Linux pe piine imi poate spune despre ce este vorba? Ca in aceste conditii nu se poate lucra la ghisee sau in birouri si primul care e luat la suturi sunt eu.
E posibil sa se fi busit placa de retea in care intra reteaua mea?
Am dat reset la router, am dat reset la switch-uri, toate beculetele sunt verzi si clipocesc fericite la switch-uri, la router si pe magaoaia de Alpha server, deci ochiometric nu sesizez nicio anomalie.

Multam' in avans.

LE: In caz ca vreti sa vedeti cum arata magaoaia de Alpha server e in a doua poza.

[Jaffar]

Treaba cu ip_conntrack apare de obicei in timpul unui DDoS. Vezi ce trafic ai pe interfata externa, si vezi cat iti intoarce cat /proc/sys/net/ipv4/ip_conntrack_max (65535 ar trebui sa fie default). Daca nu faci NAT prin routerul ala, poti dezactiva modulul de ip_conntrack, dar cred ca faci (NAT).
L.E. Poti mari tabela de ip_conntrack (echo 128000 > /proc/sys/net/ipv4/ip_conntrack_max) daca te tine hardware-ul.

[maxu]

Cica (a zis cineva de la mine) cineva face trafic salbatic/synflood (vreun worm/ceva statie virusata). N-ai niciun IDS inaintea dansului sa te uiti?

[burebista]

Interesanta aia cu virusii. Am Microsoft Forefront aproape la zi pe mai toate calculatoarele. Am cascat ochii cu Wireshark sa vad ce trece prin switch-ul meu macar da' nu mi-a sarit in ochi nimic trafic ciudat/mult.

Jaffar chestiile alea boldite le scriu direct in consola logat ca root?
Le-am scris a iesit 24056.

LE: Hmm, vorbisem cu un prieten doxa de Linux sa treaca pe la 3 pe aici si am dat sfoara sa iasa toata lumea din lucrare. De vreo 10 minute nu mai am niciun pachet pierdut.

[Jaffar]

Exact.
L.E. echo "128000" > /proc/sys/net/ipv4/ip_conntrack_max

[burebista]

Am scris mai sus 24056 a iesit.

LE: M-am bucurat degeaba iar am pachete pierdute si timp mare de raspuns.

LE2: Straniu ce-mi arata Wireshark in timpul caderii conexiunii cu routerul. N-am vazut asa ceva pina azi.
In a doua poza e cam cum arata o captura cind totul e OK.

[Quark]

N-o fi venit f'un destept cu laptopu' virusat de acasa sa se dea pe net la job?

PS: Nu inteleg de ce te chinui asa cand poti sa bagi un router adevarat si ai scapat de belele.

[Jaffar]

Ai putea sa scoti efectiv cablul dinspre reteaua ta (evident, dupa ce ai anuntat userii ca e forced maintenance ), astfel determini exact cauza, adica e o statie in LAN cu probleme, sau e dinspre afara. Eu inclin sa cred ca e dispre exterior.
Quark, crezi ca daca ai un router "adevarat" nu mai ai probleme de DoS & Co.? Mie mi se pare destul de adevarat si un router software, daca e configurat cum trebuie, satisface o gama larga de servicii
L.E. Ai putea sa repornesti firewall-ul de pe server din... sa zicem 15 in 15 minute, astfel ai goli tabela ip_conntrack in mod regulat, macar o perioada, pana se linistesc apele

[wirespot]

Vezi că-s două comenzi cu bold, una cu "echo" şi una cu "cat". Tu o tot dai pe aia cu cat dar dă-o şi pe aia cu echo. E o setare acolo şi comanda cu "cat" îţi zice cît e, iar cea cu "echo" o face mai mare.

În fine, asta-i problema cu routerele de mică capacitate, au tabele de rutare/firewall limitate şi la un moment dat dau pe afară.

[puterfixer]

De ce te chinui cu CentOS pe post de router, mai face şi altceva decât routare? În locul tău aş pune o distribuţie dedicată de routare, gen SmoothWall sau ClarkConnect, care deja are implementat şi intrusion detection şi alte chestii. L-ai putea rula ca LiveCD, fără instalare, doar ca să vezi cum merge. Atenţie, dacă îl instalezi, îţi formatează complet toate discurile din sistem!!

Varianta #2 ar fi să instalezi aşa ceva ca o maşină virtuală, şi cu asta nici nu-ţi mai ocupă integral un PC.

[burebista]

Thanks guys, asa a fost directiva de sus sa ne faca ei un calculator pe post de router.
Am uitat sa spun ca pingul de pe router in calculatoarele de pe Alpha server merge perfect, buba era doar ping-ul din reteaua mea in ruter.
Zic ca era pentru ca tocma' am schimbat placa de retea in care intra reteaua mea si se pare ca a disparut si mesajul cu pricina (cel putin de fo' ora juma' incoace).
Din pacate nu pot fi sigur de rezolvare ca nu mai e nimeni in retea in afara de mine dar acum ping-ul merge fara probleme.

Multumesc mult de implicare si daca apare buba o sa ma intorc si eu pe thread.

[jarod]

De curiozitate, ai idee care-i faza cu traficul ăla LLC? MAC-urile alea-s dubioase, n-am reusit să identific un vendor, nimic...

[burebista]

Crede-ma ca azi e prima oara cind vad asa ceva in Wireshark. Si-l folosesc regulat de citiva ani ca sa mai vad ce misca in jurul meu prin retea.

[Marius '95]

Am cascat ochii cu Wireshark sa vad ce trece prin switch-ul meu [..].

Cu switch-ul nu vezi decat broadcast-uri si ce iti este adresat. Daca vrei sa vezi tot ce misca, pune un hub.

[burebista]

Stiu, dar din cind in cind mai fac un MITM cu EttercapNG.
In principiu daca scapa f'un calculator virusat prin retea ajunge si prin partea mea traficul ciudat.

[AdrianB1]

Marius, nu spune asta că poate te crede Orice switch modern cu management știe să trimită (copieze) tot traficul pe un port ales de admin.

[burebista]

Heh, nu m-am implicat chiar asa de tare in switch-urile alea cu management.
Ma multumesc sa arunc cite un ochi din cind in cind si pina acu' n-am fost tradat.
Doar Linuxu' asta m-a calcat pe bataturi si doar azi.

[jarod]

Zici că problema n-a mai apărut după ce ai schimbat placa de reţea? Ce placă era înainte şi ce ai pus în loc?

[burebista]

Inainte o trompeta cu chipset Realtek 80xx si acu' o trompeta Qubs (cred ca asta e) cu chipset Realtek 8139. A fost luata la repezeala ca sa am pe ce pune mina.
Daca ma mai tine fo' 3 ani ca aia dinainte e OK.
Mesajul n-a mai aparut, pingul e OK acum, dar inca astept ziua de miine cu toata lumea calare pe router ca pe la 5 cind am terminat eram doar eu care bintuiam prin retea.

[miahi]

Seria 80xx de la Realtek inseamna cam 8029, care e de 10Mbit, cam strange pentru un router actual (majoritatea 8029 aveau si BNC).

[burebista]

Ai dreptate, m-am holbat azi pe placa scoasa si habar n-am ce era ca nu scrie nimic cunoscut pe chip-ul ala (BC001 si dedesubt 0225AH62M1). O fi fost f'un Surecom ceva, naiba s-o ia.

Feedback dupa 8 ore de monitorizare continua. Ping OK (ala din mijloc e nu's ce gateway HP), Wireshark arata normal, useri happy iar mesajul ala de pe router a disparut cu desavirsire.
Transferul zilnic al bazei de date de pe Alpha server s-a facut decent (a plecat de la 7MB/s si a terminat cu 9MB/s), alte anomalii nu am sesizat prin retea iar telefoanele n-au mai sunat din cauza exploatarii lucrarii.

Se pare ca am scapat. Pina cind o crapa si placa asta noua.

Doar o intrebare mai am, o sugestie de placa de retea mai acatarii sau nu merita sa-mi bat capul daca un naspet de asta ma tine 2-3 ani de utilizare intensiva?

Multumiri inca o data pentru ajutor.

[war4peace]

Eu am ceva placă de reţea care în Windows apare ca "SysKonnect SK-9521 V2.0 10/100/1000Base-T Adapter, PCI, Copper RJ-45". Recunoscută automat de Vista / Windows 7 (şi parcă nici la XP x64 n-am avut nevoie de drivers), manufacturer-ul e Marvell, am dat 10 lei pe ea (e smulsă dintr-un P3/600 MHz). Excelentă.

[jarod]

o sugestie de placa de retea mai acatarii

Ceva Intel sau 3com SH.

[puterfixer]

Mai bine Intel decât 3com. De regulă se bulesc optocuploarele - ieftiniturile se ard prin supraîncălzire de la trafic intens.

[burebista]

De curiozitate am cascat un ochi la traficul prin placile de retea din router. Facind abstractie de cei 2.2GB transfer ai bazei de date traficul in 8 ore de munca arata cam 800MB TX si 300MB RX. Mie mi se pare mic. Sau nu?

BTW azi pentru prima oara am facut transferul bazei de date cu 11.3MB/s sustinut din prima clipa pina la final.
Ce dop o fi iesit de prin retea?

[war4peace]

Nice, Oracle DB. Mulţumim

[miahi]

N-ai pentru ce, că de obicei nu se cumpără suport în continuare .

[burebista]

Imi traduce cineva ce s-a spus in astea doua posturi de mai sus?

[war4peace]

Se cumpără suficient, de un fel sau altul. Mascat, în multe cazuri. Mă rog, depinde de circumstanţe, etc.
Dar noah, scurtcircuităm thread-ul omului...

[miahi]

Imi traduce cineva ce s-a spus in astea doua posturi de mai sus?

war se bucură că mai are de lucru .

[burebista]

Dar noah, scurtcircuităm thread-ul omului...

Gata, liber la offtopic ca momentan toate arata roz la mine.

war se bucură că mai are de lucru .

Aaa, war are legaturi intrinseci si irefutabile cu Oracle. E de bine atunci.

Oricum eu sunt simplu depozitar de magaoaia aia de server iar instalatul de soft si Oracle a fost executat cu gratie de oamenii de la HP. Eu doar ma rog sa nu mi se mai blocheze baza de data Oracle ca alaltaieri (asta a fost bonus pe linga placa aia de retea care a luat-o razna) si sa fiu nevoit sa stau juma' de ora in telefon cu un baiet bun de la HP care-mi dicta comenzi Linux ca la timpiti.

[puterfixer]

Io tot o ţin pe-a mea şi ţ-aş sugera doar de probă să încerci să pui un LiveCD cu un Linux specializat pentru router.

[burebista]

Te cred omu' da' cine dreq sa stea sa-l configureze?
Si cu ce-ar fi mai bun decit distributia asta tunata special ca router pentru case? Intreb si io ca proasta ca-s tufa la *nix-uri.

[Jaffar]

Ba nu e tunata deloc Depinde de ce trafic ai, pentru un trafic foarte mare, ai putea incerca OpenBSD sau FreeBSD, iar pentru ceva mai mic, lasa-l asa

[miahi]

Păi ai văzut, 800 de mega pe zi, nimic interesant .

[hulubei]

E putin chiar si pentru un ISA2004

[puterfixer]

La o adică, îi plimbi cu CD-ul

[hulubei]

Sau "nu se poate".