abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 8
včera 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
včera 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
včera 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
9.12. 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
9.12. 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
9.12. 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
9.12. 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 810 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: maškaráda částečně přestala fungovat

pitat450 avatar 3.10.2006 11:56 pitat450 | skóre: 10
maškaráda částečně přestala fungovat
Přečteno: 300×
ahoj, dnes se mi stalo něco z čehož sem naprosto vedle. Mám nastavenou MASQUARADE
/sbin/ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp

/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -j ACCEPT

echo "1">/proc/sys/net/ipv4/ip_forward
která fungovala dopoavad bezvadně. Na mém druhém počítači notebooku (192.168.0.2) dnes však přestal správně pracovat prohlížeč. Jde otevřít například domovská stránka - google, ale když dám něco vyhledat a kliknu odkaz nic...Je však zvláštní, že některé servery fungují...například
http://www.idos.cz
nebo
http://www.redhat.com/magazine
gaim funguje...nerozumím tomu...můžete poradit? nebo Zkoušel jsem pingovat některé mé kamarády a ping se nevracel.

Odpovědi

3.10.2006 12:19 xalfy
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
já bych zkusil to trošku změnit

/sbin/ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up

tady ještě přidat :

/sbin/route add default gw x.x.x.x

echo "nameserver x.x.x.x" > /etc/resolv.conf

echo "1">/proc/sys/net/ipv4/ip_forward

/sbin/modprobe iptable_nat

/sbin/modprobe ip_conntrack_ftp

/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to x.x.x.x (tvoje verejna ip)

/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

/sbin/iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

Tak a ted bz to melo byt ok :)
pitat450 avatar 3.10.2006 15:52 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
předně děkuju za odpověď. Zkusil sem to jak si mi to napsal, ale nezlepšilo se to, naopak mi ani nešlo spustit ADSL... je mi divn

Nenapadá tě jak to otestovat abych zjistil v čem to vězí?

Myslím, že to přestalo správně fungovatpo tom, co jsem si hrál (zkoušel rozjet) hlds - serverem pro counter strike... je možné že server nějakým způsobem pozměnil nastavení sítě...?
houska avatar 3.10.2006 16:08 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
1) pripojit z toho serveru na internet ti jde? ping neco_co_na_klientovi_nejde.cz
elinks neco_co_na_klientovi_nejde.cz
2) mas dobre nastavene dns servery v /etc/resolf.conf
3) mas to same nastavene na klientech?
4) co ti to vyhodi za hlasku kdyz zkusis z klienta ping/tracert (traceroute)?
pitat450 avatar 3.10.2006 16:17 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
1) pripojit z toho serveru na internet ti jde? ping neco_co_na_klientovi_nejde.cz
elinks neco_co_na_klientovi_nejde.cz
ano pripojeni ze serveru je neomezene a nemam s nim zadny problem, problem je jen s klientem...jak uz sem rekl klient nezobrazuje vetsinu www serveru...
2) mas dobre nastavene dns servery v /etc/resolf.conf
ano mam ... /etc/resolv.conf nameserver1 *.*.*.* nameserver2 *.*.*.*
3) mas to same nastavene na klientech?
ano...mam to tak jak to bylo nastavene drive a jelo to v poradku
4) co ti to vyhodi za hlasku kdyz zkusis z klienta ping/tracert (traceroute)?
to mi bohuzel nejde ...dal sem to do konzole tohle..???
houska avatar 3.10.2006 16:31 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
ad 4) melo to znit zamozrejme napr: "ping www.seznam.cz" nebo "traceroute centrum.cz" oboji na klientovi
pitat450 avatar 3.10.2006 16:43 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
aha...mno...seznam pinguje vporadku

a
traceroute www.seznam.cz

da

1  192.168.0.1 (192.168.0.1)  0.110 ms   0.070 ms   0.092 ms
 2  12.189.broadband3.iol.cz (85.70.189.12)  11.769 ms   12.997 ms   12.372 ms
 3  225.189.broadband3.iol.cz (85.70.189.225)  11.760 ms   17.462 ms   17.392 ms 4  80.188.33.241 (80.188.33.241)  25.408 ms   17.780 ms   17.895 ms
 5  80.188.33.241 (80.188.33.241)  20.855 ms   21.574 ms   24.364 ms
 6  194.228.21.34 (194.228.21.34)  26.409 ms   25.381 ms   29.878 ms
 7  nix.tgnet.cz (194.50.100.75)  30.194 ms   17.809 ms   17.721 ms
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
houska avatar 3.10.2006 18:49 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
tzn ze z klienta to pingnes v poradku, ale web ti tam nefunguje?!
3.10.2006 16:51 OldFrog {Ondra Nemecek} | skóre: 25 | blog: Žabákův notes | Praha
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Po restartu routeru se to zlepsi? Nekdy se preplni conntrack tabulka v jadre. Podival bych se co rekne
dmesg
Kdyztak zvednout limit
cat /proc/sys/net/ipv4/ip_conntrack_max
echo "163760" > /proc/sys/net/ipv4/ip_conntrack_max
-- OldFrog
pitat450 avatar 3.10.2006 17:46 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
router nemám...mam adsl připojení a přes maškarádu se připojuje ještě jeden počítač...

zvětšil sem conntrack ale zatím nic...pokud teda neni potřeba restart :/

dmesg toho říka opravdu hodně :)

nevím jestli to mám tady postovat...která část by mě měla zajímat? abych tady moc nefloodoval
3.10.2006 20:52 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Stale jsem nepochopil co presne ti nefunguje, ten titulek je zavadejici. Takze evidentne routr ci co to mas funguje kdyz trace projde jak ma. Muzes pingnout s PC za routrem ?? a hlavne ..kam az ?? na routr? i za routr? jede ti dns server ? mas jej spravne nastaveny ?? co rika iptables -L ..atd .... takze: co presne ti nefunguje? a ktere prvky ti nefunguji. zacal bych tedy od routru ten jede v poradku ??
jen se učím jak se to naučit .... ...
6.10.2006 02:11 OldFrog {Ondra Nemecek} | skóre: 25 | blog: Žabákův notes | Praha
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Router je ten tvuj pocitac, pokud zprostredkovava pripojeni dalsimu pocitaci (preposila pakety a preklada sitove adresy).

Co mas za ADSL modem? Nektere modemy delaji opravdu podivne veci se sitovou komunikaci na nizssi urovni, takze treba ssh nejede ale ostatni protokoly ano (ADSL D-Link modem, chyba ve zpracovani TOS). Ta chyba se muze klidne projevit jen u nekterych klientu (vliv nastaveni, OS, pouziteho protokolu).

Zkus tedy prohledat internet - hledej typ modemu a pridavej ruzne indiciektere se Te mohou tykat. Premyslej co se mohlo zmenit - firewall na druhem pocitaci? Jiny system? Jina sitova karta? Aktualizace systemu?

Dale muzes byt pripojen pres nejakou proxy, to by to vsak pravdepodobne nefungovalo ani na routeru.

A take kontaktuj poskytovatele pripojeni, mel by umet pomoci nebo aspon overit ze z jeho strany je vse v normalu.
-- OldFrog
3.10.2006 22:24 tomas bryja
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
imho je to jasny problem v dns serverech.. kontaktuj providera, jestli je nemenili, nebo jestli nemaji nejake potize. kdysi jsem mel obdobny problem
4.10.2006 08:11 macrek | skóre: 12
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
alebo vyskusaj si tam dat nejake "spolahlive" dns(ka)
An eye for an eye makes the whole world blind.
4.10.2006 10:30 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Jasny problem ... no koukam ze jste jasnovidec., ale ano treba mate pravdu, .... nemam rad tyto suverenni tvrzeni.
jen se učím jak se to naučit .... ...
5.10.2006 22:42 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Přesně toto se mi tento týden stalo taky. IP filter je vpořádku, správně nastavený FORWARD, firewall vypnutý, DNS správně nastavený jak na servru (routeru), tak na klientu... ping funguje kamkoli, ale některé stránky se nenačítají. Načte se třeba část stránky a některé obrázky nebo CSS styly ne. Ale mění se to. Někdy nejde to a někdy zase to. Nechápu co se děje, nebyl jsem schopný to zjistit ani z logu.
4.10.2006 13:14 xalfy
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
iptables -L -n -t nat

iptables -L -n -t mangle

iptables -L -n

a pošli nám to sem ;-)
4.10.2006 13:43 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
proc iptables -L -n -t mangle ? To by me zajimalo ....
jen se učím jak se to naučit .... ...
pitat450 avatar 10.10.2006 21:19 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
ahoj dnes sem byl nucen přeinstalovat FEDORU a tento problém stále přetrvává...
iptables -L -n -t nat
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/24       0.0.0.0/0
SNAT       all  --  192.168.0.0/24       0.0.0.0/0           to:85.71.153.199

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
a
iptables -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/24       0.0.0.0/0
SNAT       all  --  192.168.0.0/24       0.0.0.0/0           to:85.71.153.199

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@localhost pitat450]# /sbin/iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  83.208.242.117       0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  10.1.4.52            0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  10.162.123.204       0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  213.29.64.24         0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  85.193.50.6          0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  85.193.50.2          0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  213.250.202.61       0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     tcp  --  213.220.221.19       0.0.0.0/0           state NEW tcp dpt:21
ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0           state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:67
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state NEW
TRUSTED    all  --  0.0.0.0/0            0.0.0.0/0           state NEW

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       0.0.0.0/0           state NEW
TRUSTED    all  --  0.0.0.0/0            0.0.0.0/0           state NEW

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            192.168.0.0/24
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           state INVALID

Chain TRUSTED (2 references)
target     prot opt source               destination
ACCEPT     icmp --  0.0.0.0/0            85.71.153.199       icmp type 8
ACCEPT     icmp --  0.0.0.0/0            192.168.0.1         icmp type 8
DROP       icmp --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
děkuju za pomoc...
12.10.2006 01:14 jir.
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Máte tam MASQUERADE + SNAT současně, dal bych tam pouze jedno. V chainu FORWARD povolujete odchozí pakety "state NEW,RELATED,ESTABLISHED", ja to měl taky tak a měl jsem s tím problémy. Pro začátek bych to zrušil a dal u odchozích paketů pouze ACCEPT bez rozlišení.
5.10.2006 23:29 DNA
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
je to v nastaveni DNS
6.10.2006 00:01 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
DNS je správně - sleduju na své LAN stejný problém a DNS jsem prověřil všude. Navíc funguje ping kamkoli, třeba www.centrum.cz. IP adresa ADSL připojení ppp0 zůstává také stejná - tím to nebude.

No a jelikož mi to hrozně vrtá hlavou a štve mě, že mi taky nejde internet na klientském PC, tak jsem se v tom dneska vrtal trochu hlouběji a zjistil jsem z LOGu následující jev: první dva pakety okamžitě dostávají odpověď z internetu a v pořádku se dostanou ke klientovy. Pak ale následují dva pakety od klienta těsně za sebou, na který se z internetu vrátila jen jedna odpověď. Kde se ztratil ten druhý paket? Klientský webbrowser se tváří, že pořád čeká na data - a nedostává je. Ale v chainu POSTROUTING se další paket vůbec neobjevil.

V nat v chainu POSTROUTING je nastavena maškaráda takto: /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

všecko ostatní má policy=ACCEPT,

pingy mi fungují kamkoli si vzpomenu - v LAN i v internetu, číselně i názvy.

Na servru jde všecko bez jediného problému. Na klientu - skoro nic. A pozoruhodné pozorování: seznam adres, které se načítaly, postupně s časem ubývá. Jde toho míň a míň, nepomáhá ani restart systému.

Tak já fakt nevim kde je chyba. Kdo to umí vyřešit? Vypíšeme odměnu? :+)
10.10.2006 23:59 DNA
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
s vytacenym ADSL nemam bohuzel zkusenosti, naposledy jsem ppp pouzival na GPRS...
pitat450 avatar 10.10.2006 22:43 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
ale jaké nastavení? existuje něco jako automatické nastavení DNS?
10.10.2006 23:53 DNA
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
pokud je neprideli DHCP asi ne, spise bych to nastavil pevne v /etc/resolv.conf > nameserver x.x.x.x, bohuzel to asi neplati pro prispevek nad - pokud se postupne snizuje pocet prelozenych adres, tak fakt nevim, nikdy jsem o tom ani neslysel...
pitat450 avatar 11.10.2006 00:29 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
je to v nastavení...ve win to funguje no problem
11.10.2006 22:21 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Tak zatím jsem zkoušel, co se dalo. Maškaráda mi taky přestala správně fungovat a nefunguje stále. Moje aktuální nastavení vypadá tak, že firewall je úplně vypnutý, v iptables se nic neblokuje a je udělaná maškaráda. Je udělaná správně, protože fungovala. Na linuxový router jsou připojené přes síťovou kartu dva další compy s Vyndous. Oba dva se chovají stejně a to tak, že ping jde na kteroukoli adresu v síti internet jak číselně, tak názvem. Překlad z názvů na IP adresy funguje všude a vždy. Potíž nastane, když se pokusím z jakéhokoli webbrowseru na klientském počítači načíst libovolnou webovou stránku. Všiml jsem si, že soubory pod určitou velikost se stáhnou. Soubory nad určitou velikost se nestáhnou. Takže třeba malé obrázky se objeví, krátké HTML se objeví, ale třeba dlouhé CSS soubory se nenačtou nebo velké obrázky se nenačtou, taktéž dlouhé HTML kódy se nenačtou. Proč, to zatím nikdo neví. Prohledal jsem na internetu co se dalo - česky i anglicky. Takže na klientských počítačích mi nejde internet skoro vůbec, zatímco na linuxu, co je nastavena maškaráda, mi jde úplně všecko. Pomocí tcpdump se mi podařilo zjistit, že některé requesty projdou routerem ven (rozhraním ppp0). Mají se pak vrátit zpátky dva pakety za sebou, ale druhý se nevrátí - na ppp0 už další paket vůbec nepřijde. Provider mi nic neblokuje, to jsem si ověřil. Napadají mě následující možnosti: možná se maškarádou v jádře linuxu (mám Reh Hat Fedora, kernel 2.6.9-1.669) nějak poškozují pakety. ??? Nevim. Tak hluboko jsem ještě do Linuxu nepronikl. Nevim jestli není známa nějaká chyba v modulu ip conntrack nebo jestli není někde něco špatně nastavené, jestli se třeba nepřeplnilo nějaké pole... hlavně je divné, že nepomůže ani restart systému, přestože to několik dnů fungovalo bez problémů. Jestli by to pomohlo, tak tohle je část výpisu z tcpdump, kde se klient pokouší načíst stránku http://mail.centrum.cz

23:11:43.181382 IP 88.102.42.160.1041 > 213.29.7.236.80: S 12085437:12085437(0) win 8192 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK> E..@..@.....Xf*........P..h....... .H.............. ............

23:11:43.218289 IP 213.29.7.236.80 > 88.102.42.160.1041: S 855744578:855744578(0) ack 12085438 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7> E..4..@.:.......Xf*..P..3..B..h.....................

23:11:43.219326 IP 88.102.42.160.1041 > 213.29.7.236.80: . ack 1 win 8760 E..(..@.....Xf*........P..h.3..CP."8.p..

23:11:43.223561 IP 88.102.42.160.1041 > 213.29.7.236.80: P 1:442(441) ack 1 win 8760 E.....@.....Xf*........P..h.3..CP."8....GET /log_form.php?url=http://mail.centru

23:11:43.266289 IP 213.29.7.236.80 > 88.102.42.160.1041: . ack 442 win 54

Nic dalšího pak už na ppp0 z internetu nepřišlo a klient jen čeká a čeká na další data a žádná nedostává.
pitat450 avatar 11.10.2006 23:24 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Nevim jestli není známa nějaká chyba v modulu ip conntrack nebo jestli není někde něco špatně nastavené, jestli se třeba nepřeplnilo nějaké pole.
já mám také kernel 2.6 má Fedoru 5 a mám jí teď čerstvě nainstalovanou, to si myslím že vylučuje možnost přehlcení nějaké tabulky...

jinak jak už sem řekl když bootnu (dualboot) vydle tak to jede ok...což znamená DNS sou taky ok...nějaké nastavení, ale jakto že to fungovalo a najednou ne! To by ukazovalo na nějakou změnu DNS serverů, já fakt nevim, každopádně sem fakt zvědavej čím to je...
michich avatar 12.10.2006 07:54 michich | skóre: 50 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Všiml jsem si, že soubory pod určitou velikost se stáhnou. Soubory nad určitou velikost se nestáhnou. Takže třeba malé obrázky se objeví, krátké HTML se objeví, ale třeba dlouhé CSS soubory se nenačtou nebo velké obrázky se nenačtou, taktéž dlouhé HTML kódy se nenačtou.
Hm, rozbité Path MTU Discovery? Howto na LARTC by mohlo pomoci.
12.10.2006 21:02 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Výborně! Jsi génius :+) to je přesně ono. Rozbité Path MTU Discovery. Zabral ten druhý příkaz:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128

Kdybych si byl býval podrobně přečetl celé man iptables, tak bych to tam našel, přesně tento problém tam je popsán.

Odteď to perfektně funguje. Vřelé díky! :)
pitat450 avatar 13.10.2006 17:47 pitat450 | skóre: 10
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
Neeeeee, mě to nefunguje...pomoooc ufoni!

Strako, prosim te jak si to rozchodil...i kdyz mozna ze ja mam zas uplne jinej problem...me se nacitaj jen nektery stranky teda spis skoro zadny...nezalezi na velikosti, ale buhvi na cem! Google vyhledava...prosim poradte
22.10.2006 16:12 Straka
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat

Pokud při prázdném FORWARD s policy ACCEPT a POSTROUTING v tabulce NAT správně nastaveném pro maškarádu ti fungují jen některé URL - to jest že webbrowser na klientu se připojí, pošle request, ale nedostane zpátky data (případně dostane jen na některé requesty), pak by to mohl být stejný problém jako u mne.

Takže když vyzkoušíš to, co radí na http://lartc.org/howto/lartc.cookbook.mtu-mss.html, tak by to mohlo pomoct.

Pomocí tcpdump jsem při porovnání komunikace z routeru na určitou www stránku s komunikací z klienta na tu samou www stránku dohledal, že z klienta přes router všecko prošlo, ale zpátky se vrátila jen část paketů. Nastavením

iptables -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128

se to vyřešilo. Asi by šlo zkusit i jiné hodnoty než 128. Jinak nevim proč mi nezabralo už to --clamp-mss-to-pmtu, jak radí na té stránce, protože to by mělo. Jinak pokud by to nepomohlo, tak leda pomocí logů zkusit analyzovat za jakých podmínek a kde se to ztrácí.
11.2.2007 12:56 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
To rozbité MTU je i toto ?
Feb 10 12:27:28 router pppd[518]: Couldn't increase MTU to 1500
Feb 10 12:47:52 router pppd[519]: Couldn't increase MTU to 1500
Feb 10 12:50:31 router pppd[854]: Couldn't increase MTU to 1500
Feb 10 13:03:13 router pppd[517]: Couldn't increase MTU to 1500
Feb 10 13:03:23 router pppd[853]: Couldn't increase MTU to 1500
Feb 10 19:40:27 router pppd[519]: Couldn't increase MTU to 1500

dík
22.10.2006 17:34 Jan
Rozbalit Rozbalit vše Re: maškaráda částečně přestala fungovat
V man pages pro iptables se o -j TCPMSS uvadi:

This target is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets. The symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets:

Docela by me zajimalo, ktery cesky ISP je "criminally braindead". Mozna je to novy trend jak zabranit sdileni linek.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.