[7.250] Gateway Policy Route stop to work [NOTABUG]

I guess this is related to the daily (nightly?) SDSL reconnect. Can you confirm by triggering a reconnect manually (power-cycle SDSL router) please?

Thanks!

Both of my lines dont have a daily disconnect/reconnect.

After manualy disconnect/reconnect ADSL all policy routes stop to work.
After reboot (eg install 7.260) all my policy routes stop to work. 
I have to disable and renable all to got it working again.

regards 

Gregor Kemter

OK, so this affects all policy routes, not only the one which does FTP?

A reboot affects all Policy routes.
After night only ftp route stop to work. 
Maybe the firewall make some cleanups/restarts of services after 24:00 ?

Can you verify there is no reconnect entry in /etc/crontab ?

You can verify the policy rules with these commands:

# ip rule

0: from all lookup local 
1: from all fwmark 0x1 lookup 1 
32766: from all lookup main 
32767: from all lookup default 

# ip show table 1

default dev eth0  scope link 

# iptables -L -v -n -t mangle

Chain POLICY_ROUTING_OUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match !0x0 
    0     0 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spts:1:65535 dpt:445 MARK match 0x0 MARK set 0x1 
    0     0 MARK       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:1:65535 dpt:445 MARK match 0x0 MARK set 0x1 

Chain POLICY_ROUTING_PRE (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match !0x0 
    0     0 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spts:1:65535 dpt:445 MARK match 0x0 MARK set 0x1 
    0     0 MARK       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:1:65535 dpt:445 MARK match 0x0 MARK set 0x1

Here we go:

after manual disconnect/reconnect adsl line, my http policy routes stop to work, here the output:

borgqueen:/ # ip rule

0:      from all lookup local 

1:      from all fwmark 0x1 lookup 1 

32765:  from 192.168.254.0/24 to 192.168.11.0/24 lookup 42 

32765:  from 192.168.254.0/24 to 10.133.168.128/25 lookup 42 

32765:  from 192.168.254.0/24 to 192.168.15.0/24 lookup 42 

32765:  from all iif lo lookup 42 

32766:  from all lookup main 

32767:  from all lookup default 



....



borgqueen:/ # ip show table 1

Object "show" is unknown, try "ip help".



....



borgqueen:/ # iptables -L -v -n -t mangle

Chain PREROUTING (policy ACCEPT 531K packets, 305M bytes)

 pkts bytes target     prot opt in     out     source               destination         

 534K  305M POLICY_ROUTING_PRE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           



Chain INPUT (policy ACCEPT 62390 packets, 18M bytes)

 pkts bytes target     prot opt in     out     source               destination         

   84 12734 MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK set 0x0 

   84 12734 AFC_DETECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           



Chain FORWARD (policy ACCEPT 460K packets, 284M bytes)

 pkts bytes target     prot opt in     out     source               destination         



Chain OUTPUT (policy ACCEPT 78995 packets, 29M bytes)

 pkts bytes target     prot opt in     out     source               destination         

78395   28M POLICY_ROUTING_OUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           



Chain POSTROUTING (policy ACCEPT 471K packets, 294M bytes)

 pkts bytes target     prot opt in     out     source               destination         

  604  306K MARK       all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK set 0x0 

  604  306K AFC_DETECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           



Chain AFC_DETECT (2 references)

 pkts bytes target     prot opt in     out     source               destination         

  106 19156 RETURN     all  --  *      *       127.0.0.0/8          127.0.0.0/8         

    2   117 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:4444 dpts:1:65535 ADDRTYPE match src-type LOCAL 

    2   200 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:22 dpts:1:65535 ADDRTYPE match src-type LOCAL 

    1    40 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spts:1:65535 dpt:4444 ADDRTYPE match dst-type LOCAL 

    3   224 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spts:1:65535 dpt:22 ADDRTYPE match dst-type LOCAL 

    7   553 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           CONNMARK match 0x10000/0x10000 

  132 30993 NFQUEUE    all  --  *      *       192.168.254.0/24     0.0.0.0/0           NFQUEUE num 1 bypass 

   97 57475 NFQUEUE    all  --  *      *       0.0.0.0/0            192.168.254.0/24    NFQUEUE num 1 bypass 

    5  1759 NFQUEUE    all  --  *      *       0.0.0.0/0            0.0.0.0/0           ADDRTYPE match dst-type LOCAL NFQUEUE num 1 bypass 

    6   352 NFQUEUE    all  --  *      *       0.0.0.0/0            0.0.0.0/0           ADDRTYPE match src-type LOCAL NFQUEUE num 1 bypass 

  325  206K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           



Chain POLICY_ROUTING_OUT (1 references)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match !0x0 

    0     0 MARK       all  --  eth3   *       192.168.177.0/24     0.0.0.0/0           MARK match 0x0 MARK set 0x1 

    0     0 MARK       tcp  --  *      *       213.148.150.210      0.0.0.0/0           tcp spts:1:65535 dpt:80 MARK match 0x0 MARK set 0x1 

    0     0 MARK       tcp  --  *      *       213.148.150.210      0.0.0.0/0           tcp spts:1:65535 dpt:443 MARK match 0x0 MARK set 0x1 



Chain POLICY_ROUTING_PRE (1 references)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           MARK match !0x0 

  117  4680 MARK       all  --  eth3   *       192.168.177.0/24     0.0.0.0/0           MARK match 0x0 MARK set 0x1 

    0     0 MARK       tcp  --  *      *       213.148.150.210      0.0.0.0/0           tcp spts:1:65535 dpt:80 MARK match 0x0 MARK set 0x1 

    0     0 MARK       tcp  --  *      *       213.148.150.210      0.0.0.0/0           tcp spts:1:65535 dpt:443 MARK match 0x0 MARK set 0x1 



Chain SANITYCHECK_FORWARD (0 references)

 pkts bytes target     prot opt in     out     source               destination         



Chain SANITYCHECK_IN (0 references)

 pkts bytes target     prot opt in     out     source               destination         

Gregor Kemter

Sorry, typo in command.
Right one is "ip route show table 1"


As you can see in POLICY_ROUTING_PRE, there a three policy routes
  117  4680 MARK       all  --  eth3   *       192.168.177.0/24     0.0.0.0/0           MARK match 0x0 MARK set 0x1 
    0     0 MARK       tcp  --  *      *       213.148.150.210      0.0.0.0/0           tcp spts:1:65535 dpt:80 MARK match 0x0 MARK set 0x1 
    0     0 MARK       tcp  --  *      *       213.148.150.210      0.0.0.0/0           tcp spts:1:65535 dpt:443 MARK match 0x0 MARK set 0x1 

One for network 192.168.177.0/24, one for HTTP and one for HTTPS.

So the FTP rule is missing ?

The policy route for FTP is disabled because it stops to work, i am to lazy to disable/enable it every morning, i will recheck it on monday.  [:)]

But after reconnect dsl the 3 routes in POLICY_ROUTING_PRE also dont work.


Gregor Kemter

Is the source IP 213.148.150.210 of the rule correct ?

I route http traffic from proxy , so the ip is correct .