Portál AbcLinuxu, 6. května 2025 23:06

Dotaz: Linux fw a nepristupne stranky microsoft.com

17.5.2007 09:42 Lemmy
Linux fw a nepristupne stranky microsoft.com
Přečteno: 888×
Odpovědět | Admin
Ahoj,

mam takovy zvlastni problem.

Mame kancelar pripojenou do internetu a chranenou linuxovym firewallem.

Problem je, ze z niceho nic prestaly byt dostupne stranky www.microsoft.com. Vsechny ostatni www stranky funguji jen tahle jedna ne. Kdyz vyzkousim www.microsoft.com z jine lokace, tak jsou normalne dostupne.

Mame podezreni, ze to zpusobuje linuxovy fw, protoze tu uz jednou takovy problem byl. Bohuzel uz nikdo nevi co ho zpusobilo.

Na fw nebezi zadny proxy server, ktery by stranky blokoval.

Byl bych moc vdecny za radu cim by to mohlo byt.

Diky.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

17.5.2007 09:56 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Odpovědět | | Sbalit | Link | Blokovat | Admin
Je problém v DNS (nepřevede se www.microsoft.com na IP adresu), nebo je DNS vpořádku, a je problém pouze s navázáním spojení? Jde spojení navázat přímo z firewallu? Při navazování spojení – kam až pakety dorazí a kde se ztratí?
17.5.2007 10:23 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Dns je v poradku.

Problem je v navazani spojeni.

Takhle to vypada v tcpdumpu:

# tcpdump -i eth1 host 192.168.2.102 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 68 bytes
09:23:12.309417 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: S 14624 op,wscale 2,nop,nop,sackOK>
09:23:12.499982 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: S 27634 190 mss 1460
09:23:12.501201 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: . ack 1
09:23:12.501879 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 1:449
09:23:12.762989 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: P 1:508
09:23:12.769578 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 449:9
09:23:13.311333 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 449:9
09:23:13.505711 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: . ack 9
09:28:00.913580 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: R 27634
09:28:00.914127 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: . ack 5

10 packets captured
10 packets received by filter
0 packets dropped by kernel

 Z fw se na stranku dostanu.
17.5.2007 10:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
V tom výpisu žádný problém nevidím, pokud to tedy záměrně není celá komunikace. Nejsou ty stránky záměrně nějak zablokované třeba v prohlížeči, třeba kvůli nelegálním Windows a snaze neodesílat údaje na Windows Update? Zkuste se připojit přímo z toho počítače, kde to nefunguje, přes telnet: 
telnet www.microsoft.com 80
GET / HTTP/1.0<Enter>
Host: www.microsoft.com<Enter>
<Enter>
17.5.2007 12:25 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Ještě jednou česky – pokud tedy chybějící konec komunikace ve výpise je správně.
17.5.2007 12:37 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
To prave asi neni.

Kdyz jdeme na jinou www stranku je komunikace normalni.

Kdyz jdeme na www.microsoft.com tak zadna dalsi komunikace nez ta ve vypisu neprobehne.
17.5.2007 13:11 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Aha, to bude to R na konci, produkty MS takhle myslím ukončují TCP/IP spojení. Teď je otázka, proč to spojení ukončí. Zkoušel jste ten telnet? Pokud ten se připojí, je navázání spojení OK a problém je až někde v protokolu HTTP. Pokud nenaváže spojení ani telnet a port 80, je problém v navazování spojení. Ono by to mělo jít poznat i z toho tcpdumpu, ale to bylo dalo práci…
17.5.2007 13:43 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Podle kolegy, ktery ten telnet zkousel(jsem mimo kancelar), se dlouho nic nedeje a kdyz parkrat bouchne do enteru tak se vrati toto: 

HTTP/1.1 400 Bad Request
Content-Type: text/html
Date: Thu, 17 May 2007 08:52:46 GMT
Connection: close
Content-Length: 35


Bad Request (Invalid Verb)


Connection to host lost.

Diky za odpoved
17.5.2007 14:04 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Server vyžaduje jméno serveru. Zkuste toto: 
GET http://microsoft.com/ HTTP/1.0
nebo 
GET / HTTP/1.1
Host: microsoft.com
17.5.2007 14:25 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Po navázání spojení je potřeba poslat příkazy protokolu HTTP, vizte komentář o pár pater výš.
17.5.2007 15:06 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Takze asi tak: 

HTTP/1.1 302 Found
Connection: keep-alive
Date: Thu, 17 May 2007 13:00:41 GMT
Server: Microsoft-IIS/6.0
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo C
NT COM INT NAV ONL PHY PRE PUR UNI"
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Location: /en/us/default.aspx
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 136

htmlhead title Object moved /title /headbody
h2 Object moved to a href="/en/us/default.aspx" here /a . /h2
/body /html
Connection to host lost.

Z html tagu sem odstranil <>
17.5.2007 15:17 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
A to je pořádku. Tahle odpověď říká, že klient má štěstí zkusit jinde (vizte Location:).
17.5.2007 15:30 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
No jo, ale co ted s tim dal?

Stranky microsoftu jsou porad z nasi kancelare nedostupne. :( I kdyz zkusim pouzit location.
17.5.2007 15:35 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Ok, tak sem zkusil este pres telnet tenhle prikaz:

GET http://microsoft.com/en/us/default.aspx HTTP/1.0

Kdyz ho spustim z nasi kancelare, tak se nic nestane akorat cekam nekonecne dlouho.

Kdyz ho spustim z jine lokace (belgie) tak se dockam spousty kodu, coz predpoladam spravne
17.5.2007 16:06 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
A dáte po tomhle řádku 2× <enter>? Jinak Takhle je ta adresa špatně, za GET je jenom adresa v rámci serveru, a jméno serveru (bez http) by mělo být v hlavičce Host.
17.5.2007 16:13 OgeeN
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Ano, dam.

Tak jak sem zde ten prikaz uvedl, tak mi funguje z belgie. Bez problemu ziska data ze serveru.

Z nasi kancelare v cechach neziskam nic ani pomoci zadani prikazu, tak jste uvedl vy.

Diky za odpoved
17.5.2007 15:34 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
To je v pořádku, jde o přesměrování. Správnou stránku byste měl dostat přes 
GET /en/us/default.aspx HTTP/1.0
Host: www.microsoft.com
<Enter><Enter>
Případně to zkuste 2× zopakovat, vysvětlení je níž.

Podle mne to bude nějaký problém s prohlížečem, ve kterém máte stránku zablokovanou, nebo nemáte povolené přesměrování. O jaký prohlížeč se jedná? Máte tam nějaký adblock nebo něco podobného? A máte povolené obnovování stránek?

Web MS totiž dělá to, že na první požadavek z nějaké adresy vrátí "obnov stránku za 0,1 sekundy s tou samou adresou" a teprve na druhý požadavek vrátí tu správnou stránku. Zřejmě je to ochrana proti nějakým robotům.
17.5.2007 15:43 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Kolegové to zkouseli snad ze vsech dostupnych prohlizecu(firefox,opera, ruzne verze IE) a bez uspechu.

V prohlizeci to zrejmne nebude.

Neni mozne, ze by to zpusobovaly ip tables?

Pravidlem ktere by melo osetrovat problem s fragmentaci neprochazi zadne pakety: 

Chain FORWARD (policy DROP 15 packets, 14934 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 TCPMSS     tcp  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           tcp flags:0x02/0x06 TCPMSS set 1460
       0        0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
   29438  2195541            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
   48062 64247090            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80
    8212  3854921            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1352
    7571  3442926            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:1352
   85852 73710910 LOG_UNUSED  0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       172.16.0.0/12        0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       127.0.0.0/8          0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       192.168.2.0/24       0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       10.8.0.0/24          0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       192.168.3.0/24       0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       192.168.4.0/30       0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       10.0.0.0/8           0.0.0.0/0
   68598  8882744 LOG_SPOOF_GRN  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
       0        0 LOG_SPOOF_GRN  0    --  eth2   *       0.0.0.0/0            0.0.0.0/0
   85849 73706434 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            192.168.2.0/24
       0        0 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            10.8.0.0/24
       0        0 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            192.168.4.0/30
   68566  8881155 GRN_TO_RED  0    --  *      ppp0    192.168.2.0/24       0.0.0.0/0
       0        0 GRN_TO_RED  0    --  *      ppp0    10.8.0.0/24          0.0.0.0/0
       0        0 GRN_TO_RED  0    --  *      ppp0    192.168.4.0/30       0.0.0.0/0
       0        0 RED_TO_DMZ  0    --  ppp0   *       0.0.0.0/0            192.168.3.0/24
       0        0 DMZ_TO_RED  0    --  *      ppp0    192.168.3.0/24       0.0.0.0/0
       0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            192.168.2.0/24
       0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            10.8.0.0/24
       0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            192.168.4.0/30
       0        0 GRN_TO_DMZ  0    --  *      eth2    192.168.2.0/24       0.0.0.0/0
       0        0 GRN_TO_DMZ  0    --  *      eth2    10.8.0.0/24          0.0.0.0/0
       0        0 GRN_TO_DMZ  0    --  *      eth2    192.168.4.0/30       0.0.0.0/0
       6      288 ACCEPT     0    --  eth1   eth1    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun0   eth1    0.0.0.0/0            0.0.0.0/0
      30     1302 ACCEPT     0    --  tun1   eth1    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  eth1   tun0    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun0   tun0    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun1   tun0    0.0.0.0/0            0.0.0.0/0
      25     1174 ACCEPT     0    --  eth1   tun1    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun0   tun1    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun1   tun1    0.0.0.0/0            0.0.0.0/0
       2      226 ULOG       0    --  *      *       0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `FILTER ' queue_threshold 1
       2      226 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0
17.5.2007 16:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Můžete zkusit ten firewall na chvíli vypnout (povolit veškerý provoz, nebo alespoň veškerý odchozí a navázaná spojení), a vyzkoušet to bez něj? Ale stejně mi není jasné, jak by mohlo zůstat spojení aktivní, ale přitom by se v něm ztrácely některé pakety.
17.5.2007 17:33 OgeeN
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Na fw uz veskery odchozi provoz povoleny je.

Nastaveni vypada takhle: 
Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:113
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:123
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:123
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:2194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
ACCEPT     udp  --  xx.xx.xx.xx         xx.xx.xx.xx        udp dpt:161
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED udp
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3690
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp spt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp spt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:5666
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED tcp
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3690
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED tcp
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:123
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp spt:123
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:1194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:2194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED udp
DROP       0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:67
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1900
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:520
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:135
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `INPUT ' queue_threshold 1

Chain FORWARD (policy DROP)
target     prot opt source               destination
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x02/0x06 TCPMSS set 1400
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1352
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:1352
LOG_UNUSED  0    --  0.0.0.0/0            0.0.0.0/0
LOG_SPOOF  0    --  172.16.0.0/12        0.0.0.0/0
LOG_SPOOF  0    --  127.0.0.0/8          0.0.0.0/0
LOG_SPOOF  0    --  192.168.2.0/24       0.0.0.0/0
LOG_SPOOF  0    --  10.8.0.0/24          0.0.0.0/0
LOG_SPOOF  0    --  192.168.3.0/24       0.0.0.0/0
LOG_SPOOF  0    --  192.168.4.0/30       0.0.0.0/0
LOG_SPOOF  0    --  10.0.0.0/8           0.0.0.0/0
LOG_SPOOF_GRN  0    --  0.0.0.0/0            0.0.0.0/0
LOG_SPOOF_GRN  0    --  0.0.0.0/0            0.0.0.0/0
RED_TO_GRN  0    --  0.0.0.0/0            192.168.2.0/24
RED_TO_GRN  0    --  0.0.0.0/0            10.8.0.0/24
RED_TO_GRN  0    --  0.0.0.0/0            192.168.4.0/30
GRN_TO_RED  0    --  192.168.2.0/24       0.0.0.0/0
GRN_TO_RED  0    --  10.8.0.0/24          0.0.0.0/0
GRN_TO_RED  0    --  192.168.4.0/30       0.0.0.0/0
RED_TO_DMZ  0    --  0.0.0.0/0            192.168.3.0/24
DMZ_TO_RED  0    --  192.168.3.0/24       0.0.0.0/0
DMZ_TO_GRN  0    --  0.0.0.0/0            192.168.2.0/24
DMZ_TO_GRN  0    --  0.0.0.0/0            10.8.0.0/24
DMZ_TO_GRN  0    --  0.0.0.0/0            192.168.4.0/30
GRN_TO_DMZ  0    --  192.168.2.0/24       0.0.0.0/0
GRN_TO_DMZ  0    --  10.8.0.0/24          0.0.0.0/0
GRN_TO_DMZ  0    --  192.168.4.0/30       0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `FILTER ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain DMZ_TO_GRN (3 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `NEW from DMZ:' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain DMZ_TO_RED (1 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain GRN_TO_DMZ (3 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0

Chain GRN_TO_RED (3 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0

Chain LOG_SPOOF (7 references)
target     prot opt source               destination
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_SPOOFED ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain LOG_SPOOF_GRN (2 references)
target     prot opt source               destination
RETURN     0    --  192.168.2.0/24       0.0.0.0/0
RETURN     0    --  10.8.0.0/24          0.0.0.0/0
RETURN     0    --  192.168.3.0/24       0.0.0.0/0
RETURN     0    --  192.168.4.0/30       0.0.0.0/0
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_SPOOFED_GRN ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain LOG_UNUSED (1 references)
target     prot opt source               destination
RETURN     0    --  0.0.0.0/0            192.168.2.0/24
RETURN     0    --  0.0.0.0/0            10.8.0.0/24
RETURN     0    --  0.0.0.0/0            192.168.3.0/24
RETURN     0    --  0.0.0.0/0            192.168.4.0/30
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_UNUSED ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain RED_TO_DMZ (1 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3389
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `RED->DMZ: ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain RED_TO_GRN (3 references)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0           !192.168.2.145       tcp dpt:25
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:11150
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1352
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1533
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1723
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:20830
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8081
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3389
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:63148
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:53
ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `RED->GRN: ' queue_threshold 1
17.5.2007 23:49 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Verze HTTP a Host:
HTTP 1.0 nezná hlavičku Host:. Pokud je požadavek směrován přímo na server, zasílá se jen cesta, je-li delegován na proxy, zasílá se celé URL včetně hostname. [RFC 1945, sekce 5.2.1]

HTTP 1.1 zavádí hlavičku Host:, ale také nařizuje, že při požadavku na server se URL musí rozdělit na hostname a cestu mezi Host: a R-URI. Dále požaduje, že požadavek na proxy má jako R-URI mít absolutná URL. [RFC 2616, sekce 5.2.1]
18.5.2007 08:05 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Verze HTTP a Host:
Hlavička Host se v HTTP/1.1 objevila poté, co byla masivně používána s protokolem HTTP/1.0. HTTP klient, který hlavičku Host s verzí 1.0 neposílá, je dnes nepoužitelný. Bez hlavičky Host nefungují virtuální servery ani transparentní proxy. Šedivá je teorie, zelený strom života :-)
17.5.2007 11:58 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Nějaký divný handshake. Druhý paket by mel mít nastavené S+A. Navíc tam nikde nevidím oznámení MSS klienta.

Nepoužíváte SYN cookies?
17.5.2007 12:38 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Na to nedovedu odpovedet. Jak to zjistim?
17.5.2007 13:54 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Beru zpět. To by mělo smysl, pokud byste dělal server. (SYN cookies musí být zakompilováno do jádra a zapnuto přes soubor tcp_syncoockies někde v /proc/sys/net/ipv4/.)

Ale ten handshake je opravdu divný. Klient by měl poslat SYN, server odpovědět SYN+ACK, pak klient ACK a teprve po té by měl klient poslat data obsahující HTTP požadavek.

Můžete udělat dump mezi firewallem a internetem (např. na firewallu na vnějším rozhraní)? Liší se pakety v před a za firewallem?
17.5.2007 14:11 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Vnitrni: 

tcpdump -i eth1 host 192.168.2.102 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 68 bytes
14:05:02.691696 IP 192.168.2.102.52357 > wwwbaytest1.microsoft.com.http: R 2610386022:2610386022(0) ack 2384611936 win 0
14:05:09.233074 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: S 1650431010:1650431010(0) win 8192 mss 1460,nop,wscale 2,nop,nop,sackOK
14:05:09.411799 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: S 3157762690:3157762690(0) ack 1650431011 win 8190 mss 1460
14:05:09.413055 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: . ack 1 win 64240
14:05:09.413865 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: P 1:449(448) ack 1 win 64240
14:05:09.597803 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: P 1:508(507) ack 449 win 65059
14:05:09.606589 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: P 449:915(466) ack 508 win 63733
14:05:09.836669 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: P 37008:37646(638) ack 915 win 64928
14:05:09.837038 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: . ack 508 win 63733

9 packets captured
9 packets received by filter
0 packets dropped by kernel

Vnejsi: 

 tcpdump -i ppp0 host 207.46.19.190
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 68 bytes
14:05:02.691811 IP nase.domena.cz.52357 > wwwbaytest1.microsoft.com.http: R 2610386022:2610386022(0) ack 2384611936 win 0
14:05:09.233211 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: S 1650431010:1650431010(0) win 8192 mss 1460,nop,wscale 2,nop,nop,sackOK
14:05:09.411628 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: S 3157762690:3157762690(0) ack 1650431011 win 8190 mss 1460
14:05:09.413117 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: . ack 1 win 64240
14:05:09.413907 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: P 1:449(448) ack 1 win 64240
14:05:09.597756 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: P 1:508(507) ack 449 win 65059
14:05:09.606739 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: P 449:915(466) ack 508 win 63733
14:05:09.836541 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: P 37008:37646(638) ack 915 win 64928
14:05:09.837069 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: . ack 508 win 63733

9 packets captured
9 packets received by filter
0 packets dropped by kernel
17.5.2007 15:14 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Teďka to je v pořádku.
17.5.2007 15:19 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Bohuzel neni. Stranky microsoftu porad nejsou pristupne. :(
17.5.2007 11:07 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Odpovědět | | Sbalit | Link | Blokovat | Admin
Hladat v historii. Aj ked hladat "microsoft.com" na abclinuxu by asi uplne kazdeho nenapadlo

Problem s nekterymi strankami pri prechodu cez NAT
If you hold a Unix shell up to your ear, you can you hear the C.
17.5.2007 12:40 Lemmy
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Hladat v historii. Aj ked hladat "microsoft.com" na abclinuxu by asi uplne kazdeho nenapadlo

Problem s nekterymi strankami pri prechodu cez NAT
Bohuzel toto taky nepomohlo.

Pravidlo ve vyse uvede diskuzi sem uz ve fw mel jen bylo v tabulce mangle.

Zkusil sem ho predelat podle diskuze, ale bez uspechu.
michich avatar 17.5.2007 23:42 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
V tabulce mangle bylo v pořádku. Jinde by fungovat nemělo. Zkoušel jste i nižší hodnoty --set-mss ?
17.5.2007 14:05 jirka
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Odpovědět | | Sbalit | Link | Blokovat | Admin
ERROR The requested URL could not be retrieved

While trying to retrieve the URL: http://www.microsoft.com/

The following error was encountered:

* Connection to 207.46.193.254 Failed

The system returned:

(111) Connection refused

The remote host or network may be down. Please try the request again.

Your cache administrator is root.
17.5.2007 18:12 ^_^
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Navrhoval bych to zkusit pres anonymni proxy server, easy-to-use reseni spociva v programu torpack, http://www.torrify.com/software_torpark.html slozitejsi (ale lepsi) reseni je stahnout samostatne tor, privoxy, zkompilovat, nakonfigurovat a v browseru pote nastavit proxy server na IP adresu 127.0.0.1 port 8118 (pro socks5 pak 9050). Pokud to pres proxy pujde, tak by mohl byt problem nekde mezi strojem u M$ a serverem u Vas, iptables by se mohl na par okamziku deaktivovat a ihned zjistite, jestli je problem v nem.
17.5.2007 18:14 ^_^
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
a malem bych zapomnel, jaky ziskate vystup z /usr/sbin/tracepath microsoft.com ?
17.5.2007 19:12 OgeeN
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com 
tracepath www.microsoft.com
 1:  nase.domena.cz (85.207.40.20)                      0.509ms pmtu 1492
 1:  lo0-bras-stra1.bluetone.cz (84.244.127.13)           asymm  2  20.552ms
 2:  po1-6-stra39.bluetone.cz (84.244.127.241)             18.953ms
 3:  prag-b1-link.telia.net (213.248.77.121)               18.743ms
 4:  hbg-bb2-link.telia.net (80.91.250.39)                asymm  5  32.758ms
 5:  ldn-bb2-link.telia.net (80.91.249.14)                asymm  6  45.862ms
 6:  nyk-bb2-pos0-2-0.telia.net (213.248.65.94)           asymm  7 115.470ms
 7:  chi-bb1-pos7-0-0-0.telia.net (213.248.80.73)         140.386ms
 8:  sjo-bb1-link.telia.net (213.248.80.26)               181.780ms
 9:  microsoft-110312-sjo-bb (213.248.86.70)              183.264ms
10:  ge-6-3-0-44.sjc-64cb-1a.ntwk.msn.net (207.46.44.98)  asymm 12 186.185ms
11:  ge-5-0-0-0.bay-64c-1a.ntwk.msn.net (207.46.37.186)   184.231ms
12:  ten3-2.bay-76c-1c.ntwk.msn.net (207.46.40.102)       asymm 11 182.757ms
13:  ten9-4.bay-76c-1a.ntwk.msn.net (64.4.25.45)          188.513ms
14:  po5.bay-6nf-mcs-2a.ntwk.msn.net (64.4.62.66)         186.429ms
15:  no reply
16:  po5.bay-6nf-mcs-2a.ntwk.msn.net (64.4.62.66)         asymm 14 186.078ms !H
     Resume: pmtu 1492
17.5.2007 22:27 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
To ale vypada, ze je to ten Problem s nekterymi strankami pri prechodu cez NAT Jste si jisty, ze jste to odzkousel ?
17.5.2007 22:42 OgeeN
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Ano, odzkousel. Taky sem si myslel, ze je to ono.

Ale pravidlo, ktere tento problem osetruje, bylo aplikovano jeste predtim nez tento problem nastal.

Kdyz se podivate do vypisu iptables -L vyse tak tam to pravidlo uvidite.

Problem muze byt v tom ze pravidlu se nezvysuji citace a timpadem se nejspis vubec neaplikuje.
17.5.2007 23:29 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
No to jste ale misto pouziti daneho threadu jako voditka nabusil ten radek na prvni misto, ktere vam prislo pod ruku :)

man iptables: It is only valid in the mangle table
18.5.2007 00:12 OgeeN
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
V mangle table puvodne bylo a stejne nefungovalo.

Vlozil sem pravidlo zpatky: 

iptables -L -t mangle
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN/SYN,RST TCPMSS set 1460

A stranky jsou stale nedostupne.
18.5.2007 01:18 papundekl | skóre: 11
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Spise by bylo zajimave videt 
iptables -nvL -t mangle
(zda tim prochazi ony pakety) a taky pripadne zkusit dale snizit hodnotu mss

popripade pouzit --clamp-mss-to-pmtu 
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Nebo jeste zkusit dat pryc -o ethN

BTW nemenili jste modem (adsl, cdma apod)? Tam by take mohla byt souvislost.
18.5.2007 01:18 Samron
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Vyzera, ze je to problem s MSS. Spravne pravidlo je:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Co sa vo vypise zobrazi ako:

tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

u teba je to SYN/SYN,RST <- tu by som videl ten problem.

Druha otazka je, aku verziu iptables pouzivas. Ja mam tento problem na iptables 1.3.3 a pre tuto verziu sa dane pravidlo pouziva v tabulke "filter". Pre verziu 1.3.5 je to uz v tabulke "mangle".

Peter
18.5.2007 01:45 OgeeN
Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
Tak presne tohle byl ten problem.

Resp. problem byl v tom, ze jsem presel z fermu 1.1 na verzi 1.2.

A ten z konfiguracniho souboru vytvotil pravidlo s uplne jinym ucinkem.

Pouzivam iptables 1.3.7 na gentoo.

Diky vsem moc za pomoc.

Takhle by to melo vypadat pro ferm 1.2: 

table mangle {
        chain forward outerface $RED_IFS {
                proto tcp tcp-flags (RST SYN) SYN TCPMSS clamp-mss-to-pmtu;
                }
}

Ted uz vse funguje jak ma.

Dobrou noc.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.