abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 22:00 | Komunita

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil (podcast) detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 64 tisíc vývojářů. Jejich nejmilovanější platformou je linuxový desktop. Ten je také druhou nejpoužívanější platformou vývojářů.

Ladislav Hagara | Komentářů: 0
24.3. 11:55 | Komunita

Vývojový tým OpenSSL ve spolupráci s iniciativou Core Infrastructure konsorcia Linux Foundation spustil proces přelicencování této kryptografické knihovny ze současné licence na licenci Apache Licence v 2.0 (ASLv2). Nová licence usnadní začleňování OpenSSL do dalších svobodných a open source projektů. Všichni dosavadní vývojáři OpenSSL (Authors) obdrží v následujících dnech email s prosbou o souhlas se změnou licence.

Ladislav Hagara | Komentářů: 11
24.3. 01:11 | Komunita

Před třemi týdny Mozilla.cz představila projekt Photon, jehož cílem je návrh a implementace nového vzhledu Firefoxu. Včera zveřejnila první náhled vzhledu Photon. Práce na projektu Photon jsou rozděleny do pěti týmů, které celkem čítají 19 lidí. Zaměřují se na zlepšení prvního spuštění Firefoxu a zaujetí nových uživatelů, celkovou úpravu vzhledu, zlepšení animací, zrychlení odezvy uživatelského rozhraní a také upravení nabídek. Vývoj lze sledovat v Bugzille.

Ladislav Hagara | Komentářů: 38
23.3. 20:00 | Komunita

OneDrive pro firmy je již ve webových prohlížečích na Linuxu stejně rychlý jako na Windows. Microsoft opravil chybu z listopadu loňského roku. OneDrive pro firmy běžel na Linuxu mnohem pomaleji než na Windows. V popisu chyby bylo uvedeno, že stačilo v prohlížeči na Linuxu nastavit v user-agentu Windows a vše se zrychlilo. Odpovědí Microsoftu bylo (Internet Archive: Wayback Machine), že Linux není podporován. Po bouřlivých diskusích na redditu i Hacker News byla chyba nalezena a opravena.

Ladislav Hagara | Komentářů: 6
23.3. 19:00 | Zajímavý projekt

Byla vyhlášena soutěž Hackaday Prize 2017. Soutěž je určena vývojářům open source hardwaru. Pro výherce je připraveno celkově 250 tisíc dolarů. Každý ze 120 finalistů získá tisíc dolarů. Nejlepší pak navíc 50, 30, 20, 15, 10 a 5 tisíc dolarů. Jedná se již o čtvrtý ročník soutěže. V roce 2014 zvítězil projekt globální sítě open source pozemních satelitních stanic SatNOGS. V roce 2015 zvítězil open source systém pro řízení elektrických invalidních vozíků pohybem očí Eyedriveomatic. V roce 2016 zvítězil modulární robot Dtto.

Ladislav Hagara | Komentářů: 0
23.3. 15:00 | Bezpečnostní upozornění

Byla vydána Samba ve verzích 4.6.1, 4.5.7 a 4.4.12. Řešen je bezpečnostní problém CVE-2017-2619. Pomocí symbolických odkazů a souběhu (symlink race) lze "teoreticky" získat přístup k souborům, které nejsou sdíleny. Linuxové distribuce jsou postupně aktualizovány (Debian).

Ladislav Hagara | Komentářů: 0
23.3. 07:43 | Nová verze

Na Steamu se objevil port hry Arma: Cold War Assault (Operation Flashpoint) pro Mac a Linux. … více »

creon | Komentářů: 30
23.3. 05:55 | Nová verze

Po 18 měsících od vydání verze 8.0 byla vydána verze 9.0 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab. Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 0
23.3. 03:33 | Komunita

Platnost posledního patentu souvisejícího s Dolby Digital (AC-3) vypršela. Po MP3 se tak do Fedory oficiálně dostane také kodek AC-3.

Ladislav Hagara | Komentářů: 5
23.3. 00:44 | Komunita

Feral Interactive, společnost zabývající se vydáváním počítačových her pro operační systémy macOS a Linux, nabízí své hry na Steamu vývojářům open source 3D grafické knihovny Mesa zdarma. Podmínkou je minimálně 25 commitů za posledních 5 let. Stejnou nabídku dostali vývojáři knihovny Mesa v roce 2015 od Valve. O rok dříve dostali od Valve tuto nabídku vývojáři Debianu a Ubuntu.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 935 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: Linux fw a nepristupne stranky microsoft.com

    17.5.2007 09:42 Lemmy
    Linux fw a nepristupne stranky microsoft.com
    Přečteno: 771×
    Ahoj,

    mam takovy zvlastni problem.

    Mame kancelar pripojenou do internetu a chranenou linuxovym firewallem.

    Problem je, ze z niceho nic prestaly byt dostupne stranky www.microsoft.com. Vsechny ostatni www stranky funguji jen tahle jedna ne. Kdyz vyzkousim www.microsoft.com z jine lokace, tak jsou normalne dostupne.

    Mame podezreni, ze to zpusobuje linuxovy fw, protoze tu uz jednou takovy problem byl. Bohuzel uz nikdo nevi co ho zpusobilo.

    Na fw nebezi zadny proxy server, ktery by stranky blokoval.

    Byl bych moc vdecny za radu cim by to mohlo byt.

    Diky.

    Odpovědi

    17.5.2007 09:56 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Je problém v DNS (nepřevede se www.microsoft.com na IP adresu), nebo je DNS vpořádku, a je problém pouze s navázáním spojení? Jde spojení navázat přímo z firewallu? Při navazování spojení – kam až pakety dorazí a kde se ztratí?
    17.5.2007 10:23 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Dns je v poradku.

    Problem je v navazani spojeni.

    Takhle to vypada v tcpdumpu:

    # tcpdump -i eth1 host 192.168.2.102 and port 80
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth1, link-type EN10MB (Ethernet), capture size 68 bytes
    09:23:12.309417 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: S 14624 op,wscale 2,nop,nop,sackOK>
    09:23:12.499982 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: S 27634 190 mss 1460
    09:23:12.501201 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: . ack 1
    09:23:12.501879 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 1:449
    09:23:12.762989 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: P 1:508
    09:23:12.769578 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 449:9
    09:23:13.311333 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 449:9
    09:23:13.505711 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: . ack 9
    09:28:00.913580 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: R 27634
    09:28:00.914127 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: . ack 5

    10 packets captured
    10 packets received by filter
    0 packets dropped by kernel

    Z fw se na stranku dostanu.
    17.5.2007 10:43 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    V tom výpisu žádný problém nevidím, pokud to tedy záměrně není celá komunikace. Nejsou ty stránky záměrně nějak zablokované třeba v prohlížeči, třeba kvůli nelegálním Windows a snaze neodesílat údaje na Windows Update? Zkuste se připojit přímo z toho počítače, kde to nefunguje, přes telnet:
    telnet www.microsoft.com 80
    GET / HTTP/1.0<Enter>
    Host: www.microsoft.com<Enter>
    <Enter>
    
    17.5.2007 12:25 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Ještě jednou česky – pokud tedy chybějící konec komunikace ve výpise je správně.
    17.5.2007 12:37 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    To prave asi neni.

    Kdyz jdeme na jinou www stranku je komunikace normalni.

    Kdyz jdeme na www.microsoft.com tak zadna dalsi komunikace nez ta ve vypisu neprobehne.
    17.5.2007 13:11 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Aha, to bude to R na konci, produkty MS takhle myslím ukončují TCP/IP spojení. Teď je otázka, proč to spojení ukončí. Zkoušel jste ten telnet? Pokud ten se připojí, je navázání spojení OK a problém je až někde v protokolu HTTP. Pokud nenaváže spojení ani telnet a port 80, je problém v navazování spojení. Ono by to mělo jít poznat i z toho tcpdumpu, ale to bylo dalo práci…
    17.5.2007 13:43 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Podle kolegy, ktery ten telnet zkousel(jsem mimo kancelar), se dlouho nic nedeje a kdyz parkrat bouchne do enteru tak se vrati toto:

    HTTP/1.1 400 Bad Request
    Content-Type: text/html
    Date: Thu, 17 May 2007 08:52:46 GMT
    Connection: close
    Content-Length: 35
    
    

    Bad Request (Invalid Verb)

    Connection to host lost.

    Diky za odpoved
    17.5.2007 14:04 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Server vyžaduje jméno serveru. Zkuste toto:
    GET http://microsoft.com/ HTTP/1.0
    
    nebo
    GET / HTTP/1.1
    Host: microsoft.com
    
    17.5.2007 14:25 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Po navázání spojení je potřeba poslat příkazy protokolu HTTP, vizte komentář o pár pater výš.
    17.5.2007 15:06 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Takze asi tak:

    HTTP/1.1 302 Found
    Connection: keep-alive
    Date: Thu, 17 May 2007 13:00:41 GMT
    Server: Microsoft-IIS/6.0
    P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo C
    NT COM INT NAV ONL PHY PRE PUR UNI"
    X-Powered-By: ASP.NET
    X-AspNet-Version: 2.0.50727
    Location: /en/us/default.aspx
    Cache-Control: private
    Content-Type: text/html; charset=utf-8
    Content-Length: 136
    
    htmlhead title Object moved /title /headbody
    h2 Object moved to a href="/en/us/default.aspx" here /a . /h2
    /body /html
    
    Connection to host lost.

    Z html tagu sem odstranil <>
    17.5.2007 15:17 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    A to je pořádku. Tahle odpověď říká, že klient má štěstí zkusit jinde (vizte Location:).
    17.5.2007 15:30 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    No jo, ale co ted s tim dal?

    Stranky microsoftu jsou porad z nasi kancelare nedostupne. :( I kdyz zkusim pouzit location.
    17.5.2007 15:35 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Ok, tak sem zkusil este pres telnet tenhle prikaz:

    GET http://microsoft.com/en/us/default.aspx HTTP/1.0

    Kdyz ho spustim z nasi kancelare, tak se nic nestane akorat cekam nekonecne dlouho.

    Kdyz ho spustim z jine lokace (belgie) tak se dockam spousty kodu, coz predpoladam spravne
    17.5.2007 16:06 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    A dáte po tomhle řádku 2× <enter>? Jinak Takhle je ta adresa špatně, za GET je jenom adresa v rámci serveru, a jméno serveru (bez http) by mělo být v hlavičce Host.
    17.5.2007 16:13 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Ano, dam.

    Tak jak sem zde ten prikaz uvedl, tak mi funguje z belgie. Bez problemu ziska data ze serveru.

    Z nasi kancelare v cechach neziskam nic ani pomoci zadani prikazu, tak jste uvedl vy.

    Diky za odpoved
    17.5.2007 15:34 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    To je v pořádku, jde o přesměrování. Správnou stránku byste měl dostat přes
    GET /en/us/default.aspx HTTP/1.0
    Host: www.microsoft.com
    <Enter><Enter>
    
    Případně to zkuste 2× zopakovat, vysvětlení je níž.

    Podle mne to bude nějaký problém s prohlížečem, ve kterém máte stránku zablokovanou, nebo nemáte povolené přesměrování. O jaký prohlížeč se jedná? Máte tam nějaký adblock nebo něco podobného? A máte povolené obnovování stránek?

    Web MS totiž dělá to, že na první požadavek z nějaké adresy vrátí "obnov stránku za 0,1 sekundy s tou samou adresou" a teprve na druhý požadavek vrátí tu správnou stránku. Zřejmě je to ochrana proti nějakým robotům.
    17.5.2007 15:43 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Kolegové to zkouseli snad ze vsech dostupnych prohlizecu(firefox,opera, ruzne verze IE) a bez uspechu.

    V prohlizeci to zrejmne nebude.

    Neni mozne, ze by to zpusobovaly ip tables?

    Pravidlem ktere by melo osetrovat problem s fragmentaci neprochazi zadne pakety:

    Chain FORWARD (policy DROP 15 packets, 14934 bytes)
        pkts      bytes target     prot opt in     out     source               destination
           0        0 TCPMSS     tcp  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           tcp flags:0x02/0x06 TCPMSS set 1460
           0        0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
       29438  2195541            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
       48062 64247090            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80
        8212  3854921            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1352
        7571  3442926            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:1352
       85852 73710910 LOG_UNUSED  0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
           0        0 LOG_SPOOF  0    --  ppp0   *       172.16.0.0/12        0.0.0.0/0
           0        0 LOG_SPOOF  0    --  ppp0   *       127.0.0.0/8          0.0.0.0/0
           0        0 LOG_SPOOF  0    --  ppp0   *       192.168.2.0/24       0.0.0.0/0
           0        0 LOG_SPOOF  0    --  ppp0   *       10.8.0.0/24          0.0.0.0/0
           0        0 LOG_SPOOF  0    --  ppp0   *       192.168.3.0/24       0.0.0.0/0
           0        0 LOG_SPOOF  0    --  ppp0   *       192.168.4.0/30       0.0.0.0/0
           0        0 LOG_SPOOF  0    --  ppp0   *       10.0.0.0/8           0.0.0.0/0
       68598  8882744 LOG_SPOOF_GRN  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
           0        0 LOG_SPOOF_GRN  0    --  eth2   *       0.0.0.0/0            0.0.0.0/0
       85849 73706434 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            192.168.2.0/24
           0        0 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            10.8.0.0/24
           0        0 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            192.168.4.0/30
       68566  8881155 GRN_TO_RED  0    --  *      ppp0    192.168.2.0/24       0.0.0.0/0
           0        0 GRN_TO_RED  0    --  *      ppp0    10.8.0.0/24          0.0.0.0/0
           0        0 GRN_TO_RED  0    --  *      ppp0    192.168.4.0/30       0.0.0.0/0
           0        0 RED_TO_DMZ  0    --  ppp0   *       0.0.0.0/0            192.168.3.0/24
           0        0 DMZ_TO_RED  0    --  *      ppp0    192.168.3.0/24       0.0.0.0/0
           0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            192.168.2.0/24
           0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            10.8.0.0/24
           0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            192.168.4.0/30
           0        0 GRN_TO_DMZ  0    --  *      eth2    192.168.2.0/24       0.0.0.0/0
           0        0 GRN_TO_DMZ  0    --  *      eth2    10.8.0.0/24          0.0.0.0/0
           0        0 GRN_TO_DMZ  0    --  *      eth2    192.168.4.0/30       0.0.0.0/0
           6      288 ACCEPT     0    --  eth1   eth1    0.0.0.0/0            0.0.0.0/0
           0        0 ACCEPT     0    --  tun0   eth1    0.0.0.0/0            0.0.0.0/0
          30     1302 ACCEPT     0    --  tun1   eth1    0.0.0.0/0            0.0.0.0/0
           0        0 ACCEPT     0    --  eth1   tun0    0.0.0.0/0            0.0.0.0/0
           0        0 ACCEPT     0    --  tun0   tun0    0.0.0.0/0            0.0.0.0/0
           0        0 ACCEPT     0    --  tun1   tun0    0.0.0.0/0            0.0.0.0/0
          25     1174 ACCEPT     0    --  eth1   tun1    0.0.0.0/0            0.0.0.0/0
           0        0 ACCEPT     0    --  tun0   tun1    0.0.0.0/0            0.0.0.0/0
           0        0 ACCEPT     0    --  tun1   tun1    0.0.0.0/0            0.0.0.0/0
           2      226 ULOG       0    --  *      *       0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `FILTER ' queue_threshold 1
           2      226 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0
    
    17.5.2007 16:22 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Můžete zkusit ten firewall na chvíli vypnout (povolit veškerý provoz, nebo alespoň veškerý odchozí a navázaná spojení), a vyzkoušet to bez něj? Ale stejně mi není jasné, jak by mohlo zůstat spojení aktivní, ale přitom by se v něm ztrácely některé pakety.
    17.5.2007 17:33 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Na fw uz veskery odchozi provoz povoleny je.

    Nastaveni vypada takhle:
    Chain INPUT (policy DROP)
    target     prot opt source               destination
    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:113
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:123
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:123
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1194
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:2194
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
    ACCEPT     udp  --  xx.xx.xx.xx         xx.xx.xx.xx        udp dpt:161
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED udp
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3690
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:53
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp spt:53
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp spt:25
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:5666
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED tcp
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3690
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:443
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED tcp
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:123
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp spt:123
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:53
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp spt:53
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:1194
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:2194
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED udp
    DROP       0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:67
    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1900
    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:520
    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:135
    ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `INPUT ' queue_threshold 1
    
    Chain FORWARD (policy DROP)
    target     prot opt source               destination
    TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x02/0x06 TCPMSS set 1400
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
               tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
               tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80
               tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1352
               tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:1352
    LOG_UNUSED  0    --  0.0.0.0/0            0.0.0.0/0
    LOG_SPOOF  0    --  172.16.0.0/12        0.0.0.0/0
    LOG_SPOOF  0    --  127.0.0.0/8          0.0.0.0/0
    LOG_SPOOF  0    --  192.168.2.0/24       0.0.0.0/0
    LOG_SPOOF  0    --  10.8.0.0/24          0.0.0.0/0
    LOG_SPOOF  0    --  192.168.3.0/24       0.0.0.0/0
    LOG_SPOOF  0    --  192.168.4.0/30       0.0.0.0/0
    LOG_SPOOF  0    --  10.0.0.0/8           0.0.0.0/0
    LOG_SPOOF_GRN  0    --  0.0.0.0/0            0.0.0.0/0
    LOG_SPOOF_GRN  0    --  0.0.0.0/0            0.0.0.0/0
    RED_TO_GRN  0    --  0.0.0.0/0            192.168.2.0/24
    RED_TO_GRN  0    --  0.0.0.0/0            10.8.0.0/24
    RED_TO_GRN  0    --  0.0.0.0/0            192.168.4.0/30
    GRN_TO_RED  0    --  192.168.2.0/24       0.0.0.0/0
    GRN_TO_RED  0    --  10.8.0.0/24          0.0.0.0/0
    GRN_TO_RED  0    --  192.168.4.0/30       0.0.0.0/0
    RED_TO_DMZ  0    --  0.0.0.0/0            192.168.3.0/24
    DMZ_TO_RED  0    --  192.168.3.0/24       0.0.0.0/0
    DMZ_TO_GRN  0    --  0.0.0.0/0            192.168.2.0/24
    DMZ_TO_GRN  0    --  0.0.0.0/0            10.8.0.0/24
    DMZ_TO_GRN  0    --  0.0.0.0/0            192.168.4.0/30
    GRN_TO_DMZ  0    --  192.168.2.0/24       0.0.0.0/0
    GRN_TO_DMZ  0    --  10.8.0.0/24          0.0.0.0/0
    GRN_TO_DMZ  0    --  192.168.4.0/30       0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `FILTER ' queue_threshold 1
    DROP       0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain DMZ_TO_GRN (3 references)
    target     prot opt source               destination
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `NEW from DMZ:' queue_threshold 1
    DROP       0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain DMZ_TO_RED (1 references)
    target     prot opt source               destination
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    DROP       0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain GRN_TO_DMZ (3 references)
    target     prot opt source               destination
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain GRN_TO_RED (3 references)
    target     prot opt source               destination
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain LOG_SPOOF (7 references)
    target     prot opt source               destination
    ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_SPOOFED ' queue_threshold 1
    DROP       0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain LOG_SPOOF_GRN (2 references)
    target     prot opt source               destination
    RETURN     0    --  192.168.2.0/24       0.0.0.0/0
    RETURN     0    --  10.8.0.0/24          0.0.0.0/0
    RETURN     0    --  192.168.3.0/24       0.0.0.0/0
    RETURN     0    --  192.168.4.0/30       0.0.0.0/0
    ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_SPOOFED_GRN ' queue_threshold 1
    DROP       0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain LOG_UNUSED (1 references)
    target     prot opt source               destination
    RETURN     0    --  0.0.0.0/0            192.168.2.0/24
    RETURN     0    --  0.0.0.0/0            10.8.0.0/24
    RETURN     0    --  0.0.0.0/0            192.168.3.0/24
    RETURN     0    --  0.0.0.0/0            192.168.4.0/30
    ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_UNUSED ' queue_threshold 1
    DROP       0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain RED_TO_DMZ (1 references)
    target     prot opt source               destination
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3389
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
    ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `RED->DMZ: ' queue_threshold 1
    DROP       0    --  0.0.0.0/0            0.0.0.0/0
    
    Chain RED_TO_GRN (3 references)
    target     prot opt source               destination
    DROP       tcp  --  0.0.0.0/0           !192.168.2.145       tcp dpt:25
    ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:443
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:11150
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:143
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1352
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1533
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1723
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:20830
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8081
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3389
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:63148
    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:53
    ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `RED->GRN: ' queue_threshold 1
    
    17.5.2007 23:49 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Verze HTTP a Host:
    HTTP 1.0 nezná hlavičku Host:. Pokud je požadavek směrován přímo na server, zasílá se jen cesta, je-li delegován na proxy, zasílá se celé URL včetně hostname. [RFC 1945, sekce 5.2.1]

    HTTP 1.1 zavádí hlavičku Host:, ale také nařizuje, že při požadavku na server se URL musí rozdělit na hostname a cestu mezi Host: a R-URI. Dále požaduje, že požadavek na proxy má jako R-URI mít absolutná URL. [RFC 2616, sekce 5.2.1]
    18.5.2007 08:05 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Verze HTTP a Host:
    Hlavička Host se v HTTP/1.1 objevila poté, co byla masivně používána s protokolem HTTP/1.0. HTTP klient, který hlavičku Host s verzí 1.0 neposílá, je dnes nepoužitelný. Bez hlavičky Host nefungují virtuální servery ani transparentní proxy. Šedivá je teorie, zelený strom života :-)
    17.5.2007 11:58 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Nějaký divný handshake. Druhý paket by mel mít nastavené S+A. Navíc tam nikde nevidím oznámení MSS klienta.

    Nepoužíváte SYN cookies?
    17.5.2007 12:38 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Na to nedovedu odpovedet. Jak to zjistim?
    17.5.2007 13:54 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Beru zpět. To by mělo smysl, pokud byste dělal server. (SYN cookies musí být zakompilováno do jádra a zapnuto přes soubor tcp_syncoockies někde v /proc/sys/net/ipv4/.)

    Ale ten handshake je opravdu divný. Klient by měl poslat SYN, server odpovědět SYN+ACK, pak klient ACK a teprve po té by měl klient poslat data obsahující HTTP požadavek.

    Můžete udělat dump mezi firewallem a internetem (např. na firewallu na vnějším rozhraní)? Liší se pakety v před a za firewallem?
    17.5.2007 14:11 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Vnitrni:

    tcpdump -i eth1 host 192.168.2.102 and port 80
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth1, link-type EN10MB (Ethernet), capture size 68 bytes
    14:05:02.691696 IP 192.168.2.102.52357 > wwwbaytest1.microsoft.com.http: R 2610386022:2610386022(0) ack 2384611936 win 0
    14:05:09.233074 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: S 1650431010:1650431010(0) win 8192 mss 1460,nop,wscale 2,nop,nop,sackOK
    14:05:09.411799 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: S 3157762690:3157762690(0) ack 1650431011 win 8190 mss 1460
    14:05:09.413055 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: . ack 1 win 64240
    14:05:09.413865 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: P 1:449(448) ack 1 win 64240
    14:05:09.597803 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: P 1:508(507) ack 449 win 65059
    14:05:09.606589 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: P 449:915(466) ack 508 win 63733
    14:05:09.836669 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: P 37008:37646(638) ack 915 win 64928
    14:05:09.837038 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: . ack 508 win 63733
    
    9 packets captured
    9 packets received by filter
    0 packets dropped by kernel

    Vnejsi:

     tcpdump -i ppp0 host 207.46.19.190
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 68 bytes
    14:05:02.691811 IP nase.domena.cz.52357 > wwwbaytest1.microsoft.com.http: R 2610386022:2610386022(0) ack 2384611936 win 0
    14:05:09.233211 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: S 1650431010:1650431010(0) win 8192 mss 1460,nop,wscale 2,nop,nop,sackOK
    14:05:09.411628 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: S 3157762690:3157762690(0) ack 1650431011 win 8190 mss 1460
    14:05:09.413117 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: . ack 1 win 64240
    14:05:09.413907 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: P 1:449(448) ack 1 win 64240
    14:05:09.597756 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: P 1:508(507) ack 449 win 65059
    14:05:09.606739 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: P 449:915(466) ack 508 win 63733
    14:05:09.836541 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: P 37008:37646(638) ack 915 win 64928
    14:05:09.837069 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: . ack 508 win 63733
    
    9 packets captured
    9 packets received by filter
    0 packets dropped by kernel
    17.5.2007 15:14 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Teďka to je v pořádku.
    17.5.2007 15:19 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Bohuzel neni. Stranky microsoftu porad nejsou pristupne. :(
    17.5.2007 11:07 Semo | skóre: 44 | blog: Semo
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Hladat v historii. Aj ked hladat "microsoft.com" na abclinuxu by asi uplne kazdeho nenapadlo

    Problem s nekterymi strankami pri prechodu cez NAT
    If you hold a Unix shell up to your ear, you can you hear the C.
    17.5.2007 12:40 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Hladat v historii. Aj ked hladat "microsoft.com" na abclinuxu by asi uplne kazdeho nenapadlo

    Problem s nekterymi strankami pri prechodu cez NAT
    Bohuzel toto taky nepomohlo.

    Pravidlo ve vyse uvede diskuzi sem uz ve fw mel jen bylo v tabulce mangle.

    Zkusil sem ho predelat podle diskuze, ale bez uspechu.
    michich avatar 17.5.2007 23:42 michich | skóre: 50 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    V tabulce mangle bylo v pořádku. Jinde by fungovat nemělo. Zkoušel jste i nižší hodnoty --set-mss ?
    17.5.2007 14:05 jirka
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    ERROR The requested URL could not be retrieved

    While trying to retrieve the URL: http://www.microsoft.com/

    The following error was encountered:

    * Connection to 207.46.193.254 Failed

    The system returned:

    (111) Connection refused

    The remote host or network may be down. Please try the request again.

    Your cache administrator is root.
    17.5.2007 18:12 ^_^
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Navrhoval bych to zkusit pres anonymni proxy server, easy-to-use reseni spociva v programu torpack, http://www.torrify.com/software_torpark.html slozitejsi (ale lepsi) reseni je stahnout samostatne tor, privoxy, zkompilovat, nakonfigurovat a v browseru pote nastavit proxy server na IP adresu 127.0.0.1 port 8118 (pro socks5 pak 9050). Pokud to pres proxy pujde, tak by mohl byt problem nekde mezi strojem u M$ a serverem u Vas, iptables by se mohl na par okamziku deaktivovat a ihned zjistite, jestli je problem v nem.
    17.5.2007 18:14 ^_^
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    a malem bych zapomnel, jaky ziskate vystup z /usr/sbin/tracepath microsoft.com ?
    17.5.2007 19:12 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    tracepath www.microsoft.com
     1:  nase.domena.cz (85.207.40.20)                      0.509ms pmtu 1492
     1:  lo0-bras-stra1.bluetone.cz (84.244.127.13)           asymm  2  20.552ms
     2:  po1-6-stra39.bluetone.cz (84.244.127.241)             18.953ms
     3:  prag-b1-link.telia.net (213.248.77.121)               18.743ms
     4:  hbg-bb2-link.telia.net (80.91.250.39)                asymm  5  32.758ms
     5:  ldn-bb2-link.telia.net (80.91.249.14)                asymm  6  45.862ms
     6:  nyk-bb2-pos0-2-0.telia.net (213.248.65.94)           asymm  7 115.470ms
     7:  chi-bb1-pos7-0-0-0.telia.net (213.248.80.73)         140.386ms
     8:  sjo-bb1-link.telia.net (213.248.80.26)               181.780ms
     9:  microsoft-110312-sjo-bb (213.248.86.70)              183.264ms
    10:  ge-6-3-0-44.sjc-64cb-1a.ntwk.msn.net (207.46.44.98)  asymm 12 186.185ms
    11:  ge-5-0-0-0.bay-64c-1a.ntwk.msn.net (207.46.37.186)   184.231ms
    12:  ten3-2.bay-76c-1c.ntwk.msn.net (207.46.40.102)       asymm 11 182.757ms
    13:  ten9-4.bay-76c-1a.ntwk.msn.net (64.4.25.45)          188.513ms
    14:  po5.bay-6nf-mcs-2a.ntwk.msn.net (64.4.62.66)         186.429ms
    15:  no reply
    16:  po5.bay-6nf-mcs-2a.ntwk.msn.net (64.4.62.66)         asymm 14 186.078ms !H
         Resume: pmtu 1492
    
    17.5.2007 22:27 papundekl | skóre: 11
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    To ale vypada, ze je to ten Problem s nekterymi strankami pri prechodu cez NAT Jste si jisty, ze jste to odzkousel ?
    17.5.2007 22:42 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Ano, odzkousel. Taky sem si myslel, ze je to ono.

    Ale pravidlo, ktere tento problem osetruje, bylo aplikovano jeste predtim nez tento problem nastal.

    Kdyz se podivate do vypisu iptables -L vyse tak tam to pravidlo uvidite.

    Problem muze byt v tom ze pravidlu se nezvysuji citace a timpadem se nejspis vubec neaplikuje.
    17.5.2007 23:29 papundekl | skóre: 11
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    No to jste ale misto pouziti daneho threadu jako voditka nabusil ten radek na prvni misto, ktere vam prislo pod ruku :)

    man iptables: It is only valid in the mangle table
    18.5.2007 00:12 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    V mangle table puvodne bylo a stejne nefungovalo.

    Vlozil sem pravidlo zpatky:

    iptables -L -t mangle
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN/SYN,RST TCPMSS set 1460

    A stranky jsou stale nedostupne.
    18.5.2007 01:18 papundekl | skóre: 11
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Spise by bylo zajimave videt
    iptables -nvL -t mangle
    (zda tim prochazi ony pakety) a taky pripadne zkusit dale snizit hodnotu mss

    popripade pouzit --clamp-mss-to-pmtu
    iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    Nebo jeste zkusit dat pryc -o ethN

    BTW nemenili jste modem (adsl, cdma apod)? Tam by take mohla byt souvislost.
    18.5.2007 01:18 Samron
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Vyzera, ze je to problem s MSS. Spravne pravidlo je:

    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

    Co sa vo vypise zobrazi ako:

    tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

    u teba je to SYN/SYN,RST <- tu by som videl ten problem.

    Druha otazka je, aku verziu iptables pouzivas. Ja mam tento problem na iptables 1.3.3 a pre tuto verziu sa dane pravidlo pouziva v tabulke "filter". Pre verziu 1.3.5 je to uz v tabulke "mangle".

    Peter
    18.5.2007 01:45 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Tak presne tohle byl ten problem.

    Resp. problem byl v tom, ze jsem presel z fermu 1.1 na verzi 1.2.

    A ten z konfiguracniho souboru vytvotil pravidlo s uplne jinym ucinkem.

    Pouzivam iptables 1.3.7 na gentoo.

    Diky vsem moc za pomoc.

    Takhle by to melo vypadat pro ferm 1.2:

    table mangle {
            chain forward outerface $RED_IFS {
                    proto tcp tcp-flags (RST SYN) SYN TCPMSS clamp-mss-to-pmtu;
                    }
    }

    Ted uz vse funguje jak ma.

    Dobrou noc.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.