Re: lug-bg: iptables SNAT --to pool ...
- Subject: Re: lug-bg: iptables SNAT --to pool ...
- From: Danail Petrov <oneofus@xxxxxxxxxxxxx>
- Date: Sat, 18 Sep 2004 19:53:16 +0300
Аз все още немога да разреша този проблем :)
ето още малко инфо (в случай че на някой му е интересно:))
undertown:~# iptables -t nat -I POSTROUTING -p tcp -d 212.5.145.42
--dport 80 -j SNAT --to 212.5.155.101
/правя снат на всичко което излиза към ип 212.5.145.42:80 да излиза със
сорс адрес 212.5.155.101/
undertown:~# tcptraceroute 212.5.145.42 80
Selected device eth0, address 212.5.155.100, port 33414 for outgoing packets
Tracing the path to 212.5.145.42 on TCP port 80, 30 hops max
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
<кръц>
(Тук се случва нещо странно , което ще опша малко по надолу )
</кръц>
30 * * *
Същият tcptrace минава когато твърдо задам ип-то с което искам да излезна
undertown:~# tcptraceroute -s 212.5.155.101 212.5.145.42
Selected device eth0, address 212.5.155.101, port 33519 for outgoing packets
Tracing the path to 212.5.145.42 on TCP port 80, 30 hops max
1 zora.inetg.bg (212.5.155.97) 0.531 ms 0.350 ms 0.321 ms
2 Suny-DS-ether2-to-Zora2.PPPoE-leased (212.116.134.13) 2.188 ms
3.426 ms 1.858 ms
3 rszl-ether-2-RadioLAN.inetg.bg (212.116.134.129) 1.924 ms 1.734
ms 2.643 ms
4 big.inetg.bg (212.5.145.20) 9.340 ms 2.696 ms 3.170 ms
5 crew.inetg.bg (212.5.145.42) [open] 6.045 ms 2.721 ms 6.754 ms
та ... говорих за странните неща който се случват по време на първия
tcptraceroute . Ето какво се случва на машината в същия момент ...
undertown:~# tethereal -i eth0 dst host 212.5.145.42 and src host
212.5.155.101
Capturing on eth0
0.000000 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
3.006024 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
6.007149 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
9.007678 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
12.008212 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
15.008759 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
18.009313 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
21.009841 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
24.011898 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
27.012430 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
30.013497 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
33.014027 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
36.014575 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
-------- от тук нататък ., след като бъде изпратен TCP с повдигнат RST
бит , машината 212.5.145.42 започва да получава ---
36.017318 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
39.015101 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
39.018119 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
42.015636 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
42.018897 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
Това е output от 212.5.145.42 , и всичката информация започва да се
появява след първия TCP-RST bit
0.000000 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
0.003112 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
3.000455 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
3.003957 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
6.000934 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
6.003924 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
9.000905 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
9.003998 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
12.001539 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
12.004478 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
15.000999 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 >
www [SYN] Seq=0 Ack=0 Win=0 Len=0
15.003903 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1
Ack=0 Win=0 Len=0
В началото си помислих че най-вероятно става въпрос за нещо свързано със
syn-cookie support-a в кърнала , но не е това ...
undertown:~# cat /proc/net/ip_conntrack |egrep 212.5.155.101 |grep
dport=80|head
tcp 6 92 TIME_WAIT src=192.168.0.23 dst=128.242.237.107 sport=1052
dport=80 src=212.5.155.101 dst=192.168.0.23 sport=8080 dport=1052
[ASSURED] use=1
tcp 6 53 CLOSE_WAIT src=192.168.0.81 dst=62.73.113.248 sport=1353
dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1353
[ASSURED] use=1
tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248
sport=1956 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080
dport=1956 [ASSURED] use=1
tcp 6 68 TIME_WAIT src=192.168.0.81 dst=195.149.248.133 sport=2073
dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=2073
[ASSURED] use=1
tcp 6 13 TIME_WAIT src=192.168.0.110 dst=213.226.6.10 sport=3524
dport=80 src=212.5.155.101 dst=192.168.0.110 sport=8080 dport=3524
[ASSURED] use=1
tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248
sport=1821 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080
dport=1821 [ASSURED] use=1
tcp 6 431984 ESTABLISHED src=192.168.0.118 dst=80.72.67.8
sport=1147 dport=80 src=212.5.155.101 dst=192.168.0.118 sport=8080
dport=1147 [ASSURED] use=1
tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248
sport=1500 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080
dport=1500 [ASSURED] use=1
tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248
sport=1823 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080
dport=1823 [ASSURED] use=1
tcp 6 53 CLOSE_WAIT src=192.168.0.81 dst=62.73.113.248 sport=1853
dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1853
[ASSURED] use=1
undertown:~# cat /proc/net/ip_conntrack |egrep 212.5.155.100 |grep
dport=80|head
tcp 6 102 TIME_WAIT src=195.34.96.5 dst=212.5.155.100 sport=2769
dport=80 src=212.5.155.100 dst=195.34.96.5 sport=80 dport=2769 [ASSURED]
use=1
tcp 6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248
sport=32779 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80
dport=32779 [ASSURED] use=1
tcp 6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248
sport=34295 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80
dport=34295 [ASSURED] use=1
tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248
sport=2271 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080
dport=2271 [ASSURED] use=1
tcp 6 431996 ESTABLISHED src=192.168.0.81 dst=62.73.113.248
sport=2091 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080
dport=2091 [ASSURED] use=1
tcp 6 102 TIME_WAIT src=212.5.155.100 dst=212.5.145.7 sport=34364
dport=80 src=212.5.145.7 dst=212.5.155.100 sport=80 dport=34364
[ASSURED] use=1
tcp 6 431996 ESTABLISHED src=192.168.0.81 dst=62.73.113.248
sport=1999 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080
dport=1999 [ASSURED] use=1
tcp 6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248
sport=34095 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80
dport=34095 [ASSURED] use=1
tcp 6 33 TIME_WAIT src=212.5.155.100 dst=213.16.55.67 sport=34328
dport=80 src=213.16.55.67 dst=212.5.155.100 sport=80 dport=34328
[ASSURED] use=1
tcp 6 431998 ESTABLISHED src=212.5.155.100 dst=62.73.113.248
sport=33922 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80
dport=33922 [ASSURED] use=1
Oт тук се вижда че нещата са наред ..... ДА АМА НЕ! , след като видях
това "tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248
sport=1500 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080
dport=1500 [ASSURED] use=1" веднага се логнах на машинаата 62.73.113.248
и видях че такъв ESTABLISHED connection просто НЯМА .... всички конекций
бяха от ИП 212.5.155.100 ...... (това ме разби ..)
Значи ето малко ино за машината с 2-те ипта /212.5.155.100-101/
undertown:~# uname -a
Linux undertown 2.6.7-1-386 #1 Thu Jul 8 05:08:04 EDT 2004 i686 GNU/Linux
Дебиан 3.1
net.ipv4.conf.eth1.arp_filter = 0
net.ipv4.conf.eth1.rp_filter = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.tcp_syncookies = 0
До преди 2 дена когато нещата работиха със същите конфигураций машината
беше същата ,
но кернел-а беше 2.4.22 .и дистрибуцията беше Слак 9.х
Незнам дали да не пробвам и тук да сложа 2.4. ..... вече се ошашавих
..... и нищо не ми идва на ум ....
Та .... някой да има някаква представа защо се случва това нещо? :):)
Поздрави,
Данаил Петров
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|