abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    openSUSE Leap 16.0 RC
    dnes 04:33 | Nová verze

    Byla vydána RC verze openSUSE Leap 16. S novým instalátorem Agama, Xfce nad Waylandem a SELinuxem.

    Ladislav Hagara | Komentářů: 0
    Google Chrome 139
    dnes 03:44 | Nová verze

    Google Chrome 139 byl prohlášen za stabilní. Nejnovější stabilní verze 139.0.7258.66 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 12 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře. S verzí 139 přestal být podporován Android 8.0 (Oreo) a Android 9.0 (Pie).

    Ladislav Hagara | Komentářů: 0
    JetBrains platinovým sponzorem herního enginu Godot
    včera 19:11 | Komunita

    Společnost JetBrains se stala platinovým sponzorem multiplatformního open source herního enginu Godot. K vývoji her lze používat Rider for Godot. Zdarma pro nekomerční účely.

    Ladislav Hagara | Komentářů: 0
    Proxmox Virtual Environment 9.0
    včera 16:55 | Nová verze

    Byla vydána verze 9.0 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Verze 9.0 je založena na Debianu 13 Trixie. Přehled novinek v poznámkách k vydání a informačním videu.

    Ladislav Hagara | Komentářů: 0
    Omluva O2 za pondělní zhoršenou dostupnost služeb
    včera 13:44 | IT novinky

    Operátor O2 dává všem svým zákazníkům s mobilními službami poukaz v hodnotě 300 Kč na nákup telefonu nebo příslušenství jako omluvu za pondělní zhoršenou dostupnost služeb.

    Ladislav Hagara | Komentářů: 10
    CUDA 13.0
    včera 04:00 | Nová verze

    Společnost NVIDIA vydala verzi 13.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    28. ročník IOCCC
    4.8. 04:22 | IT novinky

    Byly vyhlášeni vítězové a zveřejněny vítězné zdrojové kódy (YouTube, GitHub) již 28. ročníku soutěže International Obfuscated C Code Contest (IOCCC), tj. soutěže o nejnepřehlednější (nejobfuskovanější) zdrojový kód v jazyce C.

    Ladislav Hagara | Komentářů: 9
    Vývoj webového prohlížeče Ladybird (07/2025)
    3.8. 14:22 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za červenec (YouTube).

    Ladislav Hagara | Komentářů: 0
    Virtuální Bastlírna vol. 53: Dá se špaček použít jako RAM?
    3.8. 01:11 | Pozvánky

    Konečně se ochladilo, možná i díky tomu přestaly na chvíli padat rakety jako přezrálé hrušky, díky čemuž se na Virtuální Bastlírně dostane i na jiná, přízemnější témata. Pokud si chcete jako každý měsíc popovídat s dalšími bastlíři, techniky, vědci a profesory u virtuálního pokecu u piva, Virtuální Bastlírna je tu pro Vás.

    Ještě před ochlazením se drát na vedení V411 roztáhl o 17 metrů (přesné číslo není známé, ale drát nepřežil) a způsobil tak… více »
    bkralik | Komentářů: 3
    Týden v GNOME a Týden v KDE Plasma (1. a 2. srpna 2025)
    2.8. 23:44 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (28%)
     (28%)
     (5%)
     (7%)
     (4%)
     (1%)
     (2%)
     (25%)
    Celkem 218 hlasů
     Komentářů: 23, poslední 4.8. 13:01
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Linux fw a nepristupne stranky microsoft.com
    Štítky: AbcLinuxu, C, CDMA, distribuce, DNS, firewally, Gentoo, HTML, Internet, iptables, KDE, kernel, komunikace, Linux, Microsoft, NAT, Opera, Privoxy, programování, prohlížeče, proxy, sítě, tcpdump, TELNET, web, Windows

    Dotaz: Linux fw a nepristupne stranky microsoft.com

    17.5.2007 09:42 Lemmy
    Linux fw a nepristupne stranky microsoft.com
    Přečteno: 892×
    Ahoj,

    mam takovy zvlastni problem.

    Mame kancelar pripojenou do internetu a chranenou linuxovym firewallem.

    Problem je, ze z niceho nic prestaly byt dostupne stranky www.microsoft.com. Vsechny ostatni www stranky funguji jen tahle jedna ne. Kdyz vyzkousim www.microsoft.com z jine lokace, tak jsou normalne dostupne.

    Mame podezreni, ze to zpusobuje linuxovy fw, protoze tu uz jednou takovy problem byl. Bohuzel uz nikdo nevi co ho zpusobilo.

    Na fw nebezi zadny proxy server, ktery by stranky blokoval.

    Byl bych moc vdecny za radu cim by to mohlo byt.

    Diky.
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    17.5.2007 09:56 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Je problém v DNS (nepřevede se www.microsoft.com na IP adresu), nebo je DNS vpořádku, a je problém pouze s navázáním spojení? Jde spojení navázat přímo z firewallu? Při navazování spojení – kam až pakety dorazí a kde se ztratí?
    17.5.2007 10:23 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Dns je v poradku.

    Problem je v navazani spojeni.

    Takhle to vypada v tcpdumpu:

    # tcpdump -i eth1 host 192.168.2.102 and port 80
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth1, link-type EN10MB (Ethernet), capture size 68 bytes
    09:23:12.309417 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: S 14624 op,wscale 2,nop,nop,sackOK>
    09:23:12.499982 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: S 27634 190 mss 1460
    09:23:12.501201 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: . ack 1
    09:23:12.501879 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 1:449
    09:23:12.762989 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: P 1:508
    09:23:12.769578 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 449:9
    09:23:13.311333 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: P 449:9
    09:23:13.505711 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: . ack 9
    09:28:00.913580 IP wwwtk2test2.microsoft.com.http > 192.168.2.102.51664: R 27634
    09:28:00.914127 IP 192.168.2.102.51664 > wwwtk2test2.microsoft.com.http: . ack 5

    10 packets captured
    10 packets received by filter
    0 packets dropped by kernel

     Z fw se na stranku dostanu.
    17.5.2007 10:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    V tom výpisu žádný problém nevidím, pokud to tedy záměrně není celá komunikace. Nejsou ty stránky záměrně nějak zablokované třeba v prohlížeči, třeba kvůli nelegálním Windows a snaze neodesílat údaje na Windows Update? Zkuste se připojit přímo z toho počítače, kde to nefunguje, přes telnet: 
    telnet www.microsoft.com 80
GET / HTTP/1.0<Enter>
Host: www.microsoft.com<Enter>
<Enter>
    17.5.2007 12:25 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Ještě jednou česky – pokud tedy chybějící konec komunikace ve výpise je správně.
    17.5.2007 12:37 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    To prave asi neni.

    Kdyz jdeme na jinou www stranku je komunikace normalni.

    Kdyz jdeme na www.microsoft.com tak zadna dalsi komunikace nez ta ve vypisu neprobehne.
    17.5.2007 13:11 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Aha, to bude to R na konci, produkty MS takhle myslím ukončují TCP/IP spojení. Teď je otázka, proč to spojení ukončí. Zkoušel jste ten telnet? Pokud ten se připojí, je navázání spojení OK a problém je až někde v protokolu HTTP. Pokud nenaváže spojení ani telnet a port 80, je problém v navazování spojení. Ono by to mělo jít poznat i z toho tcpdumpu, ale to bylo dalo práci…
    17.5.2007 13:43 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Podle kolegy, ktery ten telnet zkousel(jsem mimo kancelar), se dlouho nic nedeje a kdyz parkrat bouchne do enteru tak se vrati toto: 

    HTTP/1.1 400 Bad Request
Content-Type: text/html
Date: Thu, 17 May 2007 08:52:46 GMT
Connection: close
Content-Length: 35


    Bad Request (Invalid Verb)
    

Connection to host lost.

    Diky za odpoved
    17.5.2007 14:04 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Server vyžaduje jméno serveru. Zkuste toto: 
    GET http://microsoft.com/ HTTP/1.0
    nebo 
    GET / HTTP/1.1
Host: microsoft.com
    17.5.2007 14:25 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Po navázání spojení je potřeba poslat příkazy protokolu HTTP, vizte komentář o pár pater výš.
    17.5.2007 15:06 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Takze asi tak: 

    HTTP/1.1 302 Found
Connection: keep-alive
Date: Thu, 17 May 2007 13:00:41 GMT
Server: Microsoft-IIS/6.0
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo C
NT COM INT NAV ONL PHY PRE PUR UNI"
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Location: /en/us/default.aspx
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 136

htmlhead title Object moved /title /headbody
h2 Object moved to a href="/en/us/default.aspx" here /a . /h2
/body /html
    Connection to host lost.

    Z html tagu sem odstranil <>
    17.5.2007 15:17 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    A to je pořádku. Tahle odpověď říká, že klient má štěstí zkusit jinde (vizte Location:).
    17.5.2007 15:30 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    No jo, ale co ted s tim dal?

    Stranky microsoftu jsou porad z nasi kancelare nedostupne. :( I kdyz zkusim pouzit location.
    17.5.2007 15:35 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Ok, tak sem zkusil este pres telnet tenhle prikaz:

    GET http://microsoft.com/en/us/default.aspx HTTP/1.0

    Kdyz ho spustim z nasi kancelare, tak se nic nestane akorat cekam nekonecne dlouho.

    Kdyz ho spustim z jine lokace (belgie) tak se dockam spousty kodu, coz predpoladam spravne
    17.5.2007 16:06 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    A dáte po tomhle řádku 2× <enter>? Jinak Takhle je ta adresa špatně, za GET je jenom adresa v rámci serveru, a jméno serveru (bez http) by mělo být v hlavičce Host.
    17.5.2007 16:13 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Ano, dam.

    Tak jak sem zde ten prikaz uvedl, tak mi funguje z belgie. Bez problemu ziska data ze serveru.

    Z nasi kancelare v cechach neziskam nic ani pomoci zadani prikazu, tak jste uvedl vy.

    Diky za odpoved
    17.5.2007 15:34 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    To je v pořádku, jde o přesměrování. Správnou stránku byste měl dostat přes 
    GET /en/us/default.aspx HTTP/1.0
Host: www.microsoft.com
<Enter><Enter>
    Případně to zkuste 2× zopakovat, vysvětlení je níž.

    Podle mne to bude nějaký problém s prohlížečem, ve kterém máte stránku zablokovanou, nebo nemáte povolené přesměrování. O jaký prohlížeč se jedná? Máte tam nějaký adblock nebo něco podobného? A máte povolené obnovování stránek?

    Web MS totiž dělá to, že na první požadavek z nějaké adresy vrátí "obnov stránku za 0,1 sekundy s tou samou adresou" a teprve na druhý požadavek vrátí tu správnou stránku. Zřejmě je to ochrana proti nějakým robotům.
    17.5.2007 15:43 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Kolegové to zkouseli snad ze vsech dostupnych prohlizecu(firefox,opera, ruzne verze IE) a bez uspechu.

    V prohlizeci to zrejmne nebude.

    Neni mozne, ze by to zpusobovaly ip tables?

    Pravidlem ktere by melo osetrovat problem s fragmentaci neprochazi zadne pakety: 

    Chain FORWARD (policy DROP 15 packets, 14934 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 TCPMSS     tcp  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           tcp flags:0x02/0x06 TCPMSS set 1460
       0        0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
   29438  2195541            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
   48062 64247090            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80
    8212  3854921            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1352
    7571  3442926            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:1352
   85852 73710910 LOG_UNUSED  0    --  ppp0   *       0.0.0.0/0            0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       172.16.0.0/12        0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       127.0.0.0/8          0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       192.168.2.0/24       0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       10.8.0.0/24          0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       192.168.3.0/24       0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       192.168.4.0/30       0.0.0.0/0
       0        0 LOG_SPOOF  0    --  ppp0   *       10.0.0.0/8           0.0.0.0/0
   68598  8882744 LOG_SPOOF_GRN  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0
       0        0 LOG_SPOOF_GRN  0    --  eth2   *       0.0.0.0/0            0.0.0.0/0
   85849 73706434 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            192.168.2.0/24
       0        0 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            10.8.0.0/24
       0        0 RED_TO_GRN  0    --  ppp0   *       0.0.0.0/0            192.168.4.0/30
   68566  8881155 GRN_TO_RED  0    --  *      ppp0    192.168.2.0/24       0.0.0.0/0
       0        0 GRN_TO_RED  0    --  *      ppp0    10.8.0.0/24          0.0.0.0/0
       0        0 GRN_TO_RED  0    --  *      ppp0    192.168.4.0/30       0.0.0.0/0
       0        0 RED_TO_DMZ  0    --  ppp0   *       0.0.0.0/0            192.168.3.0/24
       0        0 DMZ_TO_RED  0    --  *      ppp0    192.168.3.0/24       0.0.0.0/0
       0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            192.168.2.0/24
       0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            10.8.0.0/24
       0        0 DMZ_TO_GRN  0    --  eth2   *       0.0.0.0/0            192.168.4.0/30
       0        0 GRN_TO_DMZ  0    --  *      eth2    192.168.2.0/24       0.0.0.0/0
       0        0 GRN_TO_DMZ  0    --  *      eth2    10.8.0.0/24          0.0.0.0/0
       0        0 GRN_TO_DMZ  0    --  *      eth2    192.168.4.0/30       0.0.0.0/0
       6      288 ACCEPT     0    --  eth1   eth1    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun0   eth1    0.0.0.0/0            0.0.0.0/0
      30     1302 ACCEPT     0    --  tun1   eth1    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  eth1   tun0    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun0   tun0    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun1   tun0    0.0.0.0/0            0.0.0.0/0
      25     1174 ACCEPT     0    --  eth1   tun1    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun0   tun1    0.0.0.0/0            0.0.0.0/0
       0        0 ACCEPT     0    --  tun1   tun1    0.0.0.0/0            0.0.0.0/0
       2      226 ULOG       0    --  *      *       0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `FILTER ' queue_threshold 1
       2      226 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0
    17.5.2007 16:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Můžete zkusit ten firewall na chvíli vypnout (povolit veškerý provoz, nebo alespoň veškerý odchozí a navázaná spojení), a vyzkoušet to bez něj? Ale stejně mi není jasné, jak by mohlo zůstat spojení aktivní, ale přitom by se v něm ztrácely některé pakety.
    17.5.2007 17:33 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Na fw uz veskery odchozi provoz povoleny je.

    Nastaveni vypada takhle: 
    Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:113
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:123
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:123
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:2194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:53
ACCEPT     udp  --  xx.xx.xx.xx         xx.xx.xx.xx        udp dpt:161
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED udp
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3690
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp spt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp spt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:5666
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED tcp
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3690
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED tcp
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:123
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp spt:123
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:1194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:2194
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED udp
DROP       0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:67
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:1900
DROP       udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:520
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:135
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `INPUT ' queue_threshold 1

Chain FORWARD (policy DROP)
target     prot opt source               destination
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x02/0x06 TCPMSS set 1400
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1352
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:1352
LOG_UNUSED  0    --  0.0.0.0/0            0.0.0.0/0
LOG_SPOOF  0    --  172.16.0.0/12        0.0.0.0/0
LOG_SPOOF  0    --  127.0.0.0/8          0.0.0.0/0
LOG_SPOOF  0    --  192.168.2.0/24       0.0.0.0/0
LOG_SPOOF  0    --  10.8.0.0/24          0.0.0.0/0
LOG_SPOOF  0    --  192.168.3.0/24       0.0.0.0/0
LOG_SPOOF  0    --  192.168.4.0/30       0.0.0.0/0
LOG_SPOOF  0    --  10.0.0.0/8           0.0.0.0/0
LOG_SPOOF_GRN  0    --  0.0.0.0/0            0.0.0.0/0
LOG_SPOOF_GRN  0    --  0.0.0.0/0            0.0.0.0/0
RED_TO_GRN  0    --  0.0.0.0/0            192.168.2.0/24
RED_TO_GRN  0    --  0.0.0.0/0            10.8.0.0/24
RED_TO_GRN  0    --  0.0.0.0/0            192.168.4.0/30
GRN_TO_RED  0    --  192.168.2.0/24       0.0.0.0/0
GRN_TO_RED  0    --  10.8.0.0/24          0.0.0.0/0
GRN_TO_RED  0    --  192.168.4.0/30       0.0.0.0/0
RED_TO_DMZ  0    --  0.0.0.0/0            192.168.3.0/24
DMZ_TO_RED  0    --  192.168.3.0/24       0.0.0.0/0
DMZ_TO_GRN  0    --  0.0.0.0/0            192.168.2.0/24
DMZ_TO_GRN  0    --  0.0.0.0/0            10.8.0.0/24
DMZ_TO_GRN  0    --  0.0.0.0/0            192.168.4.0/30
GRN_TO_DMZ  0    --  192.168.2.0/24       0.0.0.0/0
GRN_TO_DMZ  0    --  10.8.0.0/24          0.0.0.0/0
GRN_TO_DMZ  0    --  192.168.4.0/30       0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `FILTER ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain DMZ_TO_GRN (3 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `NEW from DMZ:' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain DMZ_TO_RED (1 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain GRN_TO_DMZ (3 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0

Chain GRN_TO_RED (3 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0

Chain LOG_SPOOF (7 references)
target     prot opt source               destination
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_SPOOFED ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain LOG_SPOOF_GRN (2 references)
target     prot opt source               destination
RETURN     0    --  192.168.2.0/24       0.0.0.0/0
RETURN     0    --  10.8.0.0/24          0.0.0.0/0
RETURN     0    --  192.168.3.0/24       0.0.0.0/0
RETURN     0    --  192.168.4.0/30       0.0.0.0/0
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_SPOOFED_GRN ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain LOG_UNUSED (1 references)
target     prot opt source               destination
RETURN     0    --  0.0.0.0/0            192.168.2.0/24
RETURN     0    --  0.0.0.0/0            10.8.0.0/24
RETURN     0    --  0.0.0.0/0            192.168.3.0/24
RETURN     0    --  0.0.0.0/0            192.168.4.0/30
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `LOG_UNUSED ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain RED_TO_DMZ (1 references)
target     prot opt source               destination
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3389
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `RED->DMZ: ' queue_threshold 1
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Chain RED_TO_GRN (3 references)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0           !192.168.2.145       tcp dpt:25
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:11150
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1352
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1533
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:1723
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:20830
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8080
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:8081
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:3389
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED tcp dpt:63148
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED udp dpt:53
ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
ULOG       0    --  0.0.0.0/0            0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `RED->GRN: ' queue_threshold 1
    17.5.2007 23:49 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Verze HTTP a Host:
    HTTP 1.0 nezná hlavičku Host:. Pokud je požadavek směrován přímo na server, zasílá se jen cesta, je-li delegován na proxy, zasílá se celé URL včetně hostname. [RFC 1945, sekce 5.2.1]

    HTTP 1.1 zavádí hlavičku Host:, ale také nařizuje, že při požadavku na server se URL musí rozdělit na hostname a cestu mezi Host: a R-URI. Dále požaduje, že požadavek na proxy má jako R-URI mít absolutná URL. [RFC 2616, sekce 5.2.1]
    18.5.2007 08:05 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Verze HTTP a Host:
    Hlavička Host se v HTTP/1.1 objevila poté, co byla masivně používána s protokolem HTTP/1.0. HTTP klient, který hlavičku Host s verzí 1.0 neposílá, je dnes nepoužitelný. Bez hlavičky Host nefungují virtuální servery ani transparentní proxy. Šedivá je teorie, zelený strom života :-)
    17.5.2007 11:58 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Nějaký divný handshake. Druhý paket by mel mít nastavené S+A. Navíc tam nikde nevidím oznámení MSS klienta.

    Nepoužíváte SYN cookies?
    17.5.2007 12:38 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Na to nedovedu odpovedet. Jak to zjistim?
    17.5.2007 13:54 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Beru zpět. To by mělo smysl, pokud byste dělal server. (SYN cookies musí být zakompilováno do jádra a zapnuto přes soubor tcp_syncoockies někde v /proc/sys/net/ipv4/.)

    Ale ten handshake je opravdu divný. Klient by měl poslat SYN, server odpovědět SYN+ACK, pak klient ACK a teprve po té by měl klient poslat data obsahující HTTP požadavek.

    Můžete udělat dump mezi firewallem a internetem (např. na firewallu na vnějším rozhraní)? Liší se pakety v před a za firewallem?
    17.5.2007 14:11 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Vnitrni: 

    tcpdump -i eth1 host 192.168.2.102 and port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 68 bytes
14:05:02.691696 IP 192.168.2.102.52357 > wwwbaytest1.microsoft.com.http: R 2610386022:2610386022(0) ack 2384611936 win 0
14:05:09.233074 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: S 1650431010:1650431010(0) win 8192 mss 1460,nop,wscale 2,nop,nop,sackOK
14:05:09.411799 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: S 3157762690:3157762690(0) ack 1650431011 win 8190 mss 1460
14:05:09.413055 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: . ack 1 win 64240
14:05:09.413865 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: P 1:449(448) ack 1 win 64240
14:05:09.597803 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: P 1:508(507) ack 449 win 65059
14:05:09.606589 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: P 449:915(466) ack 508 win 63733
14:05:09.836669 IP wwwbaytest1.microsoft.com.http > 192.168.2.102.52359: P 37008:37646(638) ack 915 win 64928
14:05:09.837038 IP 192.168.2.102.52359 > wwwbaytest1.microsoft.com.http: . ack 508 win 63733

9 packets captured
9 packets received by filter
0 packets dropped by kernel

    Vnejsi: 

     tcpdump -i ppp0 host 207.46.19.190
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 68 bytes
14:05:02.691811 IP nase.domena.cz.52357 > wwwbaytest1.microsoft.com.http: R 2610386022:2610386022(0) ack 2384611936 win 0
14:05:09.233211 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: S 1650431010:1650431010(0) win 8192 mss 1460,nop,wscale 2,nop,nop,sackOK
14:05:09.411628 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: S 3157762690:3157762690(0) ack 1650431011 win 8190 mss 1460
14:05:09.413117 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: . ack 1 win 64240
14:05:09.413907 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: P 1:449(448) ack 1 win 64240
14:05:09.597756 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: P 1:508(507) ack 449 win 65059
14:05:09.606739 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: P 449:915(466) ack 508 win 63733
14:05:09.836541 IP wwwbaytest1.microsoft.com.http > nase.domena.cz.52359: P 37008:37646(638) ack 915 win 64928
14:05:09.837069 IP nase.domena.cz.52359 > wwwbaytest1.microsoft.com.http: . ack 508 win 63733

9 packets captured
9 packets received by filter
0 packets dropped by kernel
    17.5.2007 15:14 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Teďka to je v pořádku.
    17.5.2007 15:19 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Bohuzel neni. Stranky microsoftu porad nejsou pristupne. :(
    17.5.2007 11:07 Semo | skóre: 45 | blog: Semo
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Hladat v historii. Aj ked hladat "microsoft.com" na abclinuxu by asi uplne kazdeho nenapadlo

    Problem s nekterymi strankami pri prechodu cez NAT
    If you hold a Unix shell up to your ear, you can you hear the C.
    17.5.2007 12:40 Lemmy
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Hladat v historii. Aj ked hladat "microsoft.com" na abclinuxu by asi uplne kazdeho nenapadlo

    Problem s nekterymi strankami pri prechodu cez NAT
    Bohuzel toto taky nepomohlo.

    Pravidlo ve vyse uvede diskuzi sem uz ve fw mel jen bylo v tabulce mangle.

    Zkusil sem ho predelat podle diskuze, ale bez uspechu.
    michich avatar 17.5.2007 23:42 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    V tabulce mangle bylo v pořádku. Jinde by fungovat nemělo. Zkoušel jste i nižší hodnoty --set-mss ?
    17.5.2007 14:05 jirka
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    ERROR The requested URL could not be retrieved

    While trying to retrieve the URL: http://www.microsoft.com/

    The following error was encountered:

    * Connection to 207.46.193.254 Failed

    The system returned:

    (111) Connection refused

    The remote host or network may be down. Please try the request again.

    Your cache administrator is root.
    17.5.2007 18:12 ^_^
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Navrhoval bych to zkusit pres anonymni proxy server, easy-to-use reseni spociva v programu torpack, http://www.torrify.com/software_torpark.html slozitejsi (ale lepsi) reseni je stahnout samostatne tor, privoxy, zkompilovat, nakonfigurovat a v browseru pote nastavit proxy server na IP adresu 127.0.0.1 port 8118 (pro socks5 pak 9050). Pokud to pres proxy pujde, tak by mohl byt problem nekde mezi strojem u M$ a serverem u Vas, iptables by se mohl na par okamziku deaktivovat a ihned zjistite, jestli je problem v nem.
    17.5.2007 18:14 ^_^
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    a malem bych zapomnel, jaky ziskate vystup z /usr/sbin/tracepath microsoft.com ?
    17.5.2007 19:12 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com 
    tracepath www.microsoft.com
 1:  nase.domena.cz (85.207.40.20)                      0.509ms pmtu 1492
 1:  lo0-bras-stra1.bluetone.cz (84.244.127.13)           asymm  2  20.552ms
 2:  po1-6-stra39.bluetone.cz (84.244.127.241)             18.953ms
 3:  prag-b1-link.telia.net (213.248.77.121)               18.743ms
 4:  hbg-bb2-link.telia.net (80.91.250.39)                asymm  5  32.758ms
 5:  ldn-bb2-link.telia.net (80.91.249.14)                asymm  6  45.862ms
 6:  nyk-bb2-pos0-2-0.telia.net (213.248.65.94)           asymm  7 115.470ms
 7:  chi-bb1-pos7-0-0-0.telia.net (213.248.80.73)         140.386ms
 8:  sjo-bb1-link.telia.net (213.248.80.26)               181.780ms
 9:  microsoft-110312-sjo-bb (213.248.86.70)              183.264ms
10:  ge-6-3-0-44.sjc-64cb-1a.ntwk.msn.net (207.46.44.98)  asymm 12 186.185ms
11:  ge-5-0-0-0.bay-64c-1a.ntwk.msn.net (207.46.37.186)   184.231ms
12:  ten3-2.bay-76c-1c.ntwk.msn.net (207.46.40.102)       asymm 11 182.757ms
13:  ten9-4.bay-76c-1a.ntwk.msn.net (64.4.25.45)          188.513ms
14:  po5.bay-6nf-mcs-2a.ntwk.msn.net (64.4.62.66)         186.429ms
15:  no reply
16:  po5.bay-6nf-mcs-2a.ntwk.msn.net (64.4.62.66)         asymm 14 186.078ms !H
     Resume: pmtu 1492
    17.5.2007 22:27 papundekl | skóre: 11
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    To ale vypada, ze je to ten Problem s nekterymi strankami pri prechodu cez NAT Jste si jisty, ze jste to odzkousel ?
    17.5.2007 22:42 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Ano, odzkousel. Taky sem si myslel, ze je to ono.

    Ale pravidlo, ktere tento problem osetruje, bylo aplikovano jeste predtim nez tento problem nastal.

    Kdyz se podivate do vypisu iptables -L vyse tak tam to pravidlo uvidite.

    Problem muze byt v tom ze pravidlu se nezvysuji citace a timpadem se nejspis vubec neaplikuje.
    17.5.2007 23:29 papundekl | skóre: 11
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    No to jste ale misto pouziti daneho threadu jako voditka nabusil ten radek na prvni misto, ktere vam prislo pod ruku :)

    man iptables: It is only valid in the mangle table
    18.5.2007 00:12 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    V mangle table puvodne bylo a stejne nefungovalo.

    Vlozil sem pravidlo zpatky: 

    iptables -L -t mangle
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN/SYN,RST TCPMSS set 1460

    A stranky jsou stale nedostupne.
    18.5.2007 01:18 papundekl | skóre: 11
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Spise by bylo zajimave videt 
    iptables -nvL -t mangle
    (zda tim prochazi ony pakety) a taky pripadne zkusit dale snizit hodnotu mss

    popripade pouzit --clamp-mss-to-pmtu 
    iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    Nebo jeste zkusit dat pryc -o ethN

    BTW nemenili jste modem (adsl, cdma apod)? Tam by take mohla byt souvislost.
    18.5.2007 01:18 Samron
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Vyzera, ze je to problem s MSS. Spravne pravidlo je:

    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

    Co sa vo vypise zobrazi ako:

    tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

    u teba je to SYN/SYN,RST <- tu by som videl ten problem.

    Druha otazka je, aku verziu iptables pouzivas. Ja mam tento problem na iptables 1.3.3 a pre tuto verziu sa dane pravidlo pouziva v tabulke "filter". Pre verziu 1.3.5 je to uz v tabulke "mangle".

    Peter
    18.5.2007 01:45 OgeeN
    Rozbalit Rozbalit vše Re: Linux fw a nepristupne stranky microsoft.com
    Tak presne tohle byl ten problem.

    Resp. problem byl v tom, ze jsem presel z fermu 1.1 na verzi 1.2.

    A ten z konfiguracniho souboru vytvotil pravidlo s uplne jinym ucinkem.

    Pouzivam iptables 1.3.7 na gentoo.

    Diky vsem moc za pomoc.

    Takhle by to melo vypadat pro ferm 1.2: 

    table mangle {
        chain forward outerface $RED_IFS {
                proto tcp tcp-flags (RST SYN) SYN TCPMSS clamp-mss-to-pmtu;
                }
}

    Ted uz vse funguje jak ma.

    Dobrou noc.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.