Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: iptables SNAT --to pool ...


  • Subject: Re: lug-bg: iptables SNAT --to pool ...
  • From: Danail Petrov <oneofus@xxxxxxxxxxxxx>
  • Date: Sat, 18 Sep 2004 19:53:16 +0300

Аз все още немога да разреша този проблем :)

ето още малко инфо (в случай че на някой му е интересно:))

undertown:~# iptables -t nat -I POSTROUTING -p tcp -d 212.5.145.42 --dport 80 -j SNAT --to 212.5.155.101

/правя снат на всичко което излиза към ип 212.5.145.42:80 да излиза със сорс адрес 212.5.155.101/

undertown:~# tcptraceroute 212.5.145.42 80
Selected device eth0, address 212.5.155.100, port 33414 for outgoing packets
Tracing the path to 212.5.145.42 on TCP port 80, 30 hops max
1  * * *
2  * * *
3  * * *
4  * * *
5  * * *
<кръц>
(Тук се случва нещо странно , което ще опша малко по надолу )
</кръц>
30 * * *
Същият tcptrace минава когато твърдо задам ип-то с което искам да излезна

undertown:~# tcptraceroute -s 212.5.155.101 212.5.145.42
Selected device eth0, address 212.5.155.101, port 33519 for outgoing packets
Tracing the path to 212.5.145.42 on TCP port 80, 30 hops max
1  zora.inetg.bg (212.5.155.97)  0.531 ms  0.350 ms  0.321 ms
2 Suny-DS-ether2-to-Zora2.PPPoE-leased (212.116.134.13) 2.188 ms 3.426 ms 1.858 ms 3 rszl-ether-2-RadioLAN.inetg.bg (212.116.134.129) 1.924 ms 1.734 ms 2.643 ms
4  big.inetg.bg (212.5.145.20)  9.340 ms  2.696 ms  3.170 ms
5  crew.inetg.bg (212.5.145.42) [open]  6.045 ms  2.721 ms  6.754 ms

та ... говорих за странните неща който се случват по време на първия tcptraceroute . Ето какво се случва на машината в същия момент ...

undertown:~# tethereal -i eth0 dst host 212.5.145.42 and src host 212.5.155.101
Capturing on eth0
0.000000 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 3.006024 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 6.007149 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 9.007678 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 12.008212 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 15.008759 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 18.009313 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 21.009841 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 24.011898 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 27.012430 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 30.013497 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 33.014027 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 36.014575 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 -------- от тук нататък ., след като бъде изпратен TCP с повдигнат RST бит , машината 212.5.145.42 започва да получава --- 36.017318 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0 39.015101 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 39.018119 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0 42.015636 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 42.018897 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0


Това е output от 212.5.145.42 , и всичката информация започва да се появява след първия TCP-RST bit

0.000000 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 0.003112 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0 3.000455 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 3.003957 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0 6.000934 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 6.003924 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0 9.000905 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 9.003998 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0 12.001539 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 12.004478 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0 15.000999 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > www [SYN] Seq=0 Ack=0 Win=0 Len=0 15.003903 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 Ack=0 Win=0 Len=0

В началото си помислих че най-вероятно става въпрос за нещо свързано със syn-cookie support-a в кърнала , но не е това ...

undertown:~# cat /proc/net/ip_conntrack |egrep 212.5.155.101 |grep dport=80|head tcp 6 92 TIME_WAIT src=192.168.0.23 dst=128.242.237.107 sport=1052 dport=80 src=212.5.155.101 dst=192.168.0.23 sport=8080 dport=1052 [ASSURED] use=1 tcp 6 53 CLOSE_WAIT src=192.168.0.81 dst=62.73.113.248 sport=1353 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1353 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=1956 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1956 [ASSURED] use=1 tcp 6 68 TIME_WAIT src=192.168.0.81 dst=195.149.248.133 sport=2073 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=2073 [ASSURED] use=1 tcp 6 13 TIME_WAIT src=192.168.0.110 dst=213.226.6.10 sport=3524 dport=80 src=212.5.155.101 dst=192.168.0.110 sport=8080 dport=3524 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=1821 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1821 [ASSURED] use=1 tcp 6 431984 ESTABLISHED src=192.168.0.118 dst=80.72.67.8 sport=1147 dport=80 src=212.5.155.101 dst=192.168.0.118 sport=8080 dport=1147 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=1500 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1500 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=1823 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1823 [ASSURED] use=1 tcp 6 53 CLOSE_WAIT src=192.168.0.81 dst=62.73.113.248 sport=1853 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1853 [ASSURED] use=1

undertown:~# cat /proc/net/ip_conntrack |egrep 212.5.155.100 |grep dport=80|head tcp 6 102 TIME_WAIT src=195.34.96.5 dst=212.5.155.100 sport=2769 dport=80 src=212.5.155.100 dst=195.34.96.5 sport=80 dport=2769 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248 sport=32779 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80 dport=32779 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248 sport=34295 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80 dport=34295 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=2271 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080 dport=2271 [ASSURED] use=1 tcp 6 431996 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=2091 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080 dport=2091 [ASSURED] use=1 tcp 6 102 TIME_WAIT src=212.5.155.100 dst=212.5.145.7 sport=34364 dport=80 src=212.5.145.7 dst=212.5.155.100 sport=80 dport=34364 [ASSURED] use=1 tcp 6 431996 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=1999 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080 dport=1999 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248 sport=34095 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80 dport=34095 [ASSURED] use=1 tcp 6 33 TIME_WAIT src=212.5.155.100 dst=213.16.55.67 sport=34328 dport=80 src=213.16.55.67 dst=212.5.155.100 sport=80 dport=34328 [ASSURED] use=1 tcp 6 431998 ESTABLISHED src=212.5.155.100 dst=62.73.113.248 sport=33922 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80 dport=33922 [ASSURED] use=1

Oт тук се вижда че нещата са наред ..... ДА АМА НЕ! , след като видях това "tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=1500 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1500 [ASSURED] use=1" веднага се логнах на машинаата 62.73.113.248 и видях че такъв ESTABLISHED connection просто НЯМА .... всички конекций бяха от ИП 212.5.155.100 ...... (това ме разби ..)

Значи ето малко ино за машината с 2-те ипта /212.5.155.100-101/

undertown:~# uname -a
Linux undertown 2.6.7-1-386 #1 Thu Jul 8 05:08:04 EDT 2004 i686 GNU/Linux
Дебиан 3.1
net.ipv4.conf.eth1.arp_filter = 0
net.ipv4.conf.eth1.rp_filter = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.tcp_syncookies = 0



До преди 2 дена когато нещата работиха със същите конфигураций машината беше същата ,
но кернел-а беше 2.4.22 .и дистрибуцията беше Слак 9.х

Незнам дали да не пробвам и тук да сложа 2.4. ..... вече се ошашавих ..... и нищо не ми идва на ум ....

Та .... някой да има някаква представа защо се случва това нещо? :):)


Поздрави,
Данаил Петров
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.