Проблемы с сетью

[sysred]

Вообщем ситуация следующая:

Есть сеть (192.168.0.0/16) состоящая из подсетей, на каждое подразделение выделена своя подсеть + соответственно маршрутизатор и FW. В качестве FW используются FreeBSD и АПКШ Континент разработанный Информзащита (вот он корень зла блин).

Поставил значить я себе Fedora Core 6 и что я наблюдаю - чудо техника отечественного производства АПКШ Континент не пропускает мои пакеты TCP в другие сети. Правилами все открыто. UDP, ICMP проходят нормально. Сетевая использует модуль e1000.

При работе с HTTP можно работать с http://r0.ru, http://google.com и возможно еще какими-нибудь сайтами, но искать как-то и нет времени и бессмыслено. С остальными - резолв происходит по DNS, а HTTP висит и не хочет работать.

Что можно сделать что бы заработало?

[Ineu]

1. Что Вы подразумеваете под FW?

2. Что такое АПКШ Континент и что он делает?

3. Что у Вас было до федоры и работало ли под предыдущей системой?

[sysred]

1. Что Вы подразумеваете под FW?

фильтрация трафика - ipfw

2. Что такое АПКШ Континент и что он делает?

# криптографическая защита данных

# межсетевое экранирование

http://www.infosec.ru/themes/default/content.asp?folder=1923

3. Что у Вас было до федоры и работало ли под предыдущей системой?

До Fedora Core 6 была Fedora Core 5 - все работало...

[Ineu]

SysReD писал(а) Mon, 22 January 2007 13:45

Правилами все открыто. UDP, ICMP проходят нормально. Сетевая использует модуль e1000.

Открыто на роутере? А на Вашей машине никаких правил не установлено? /etc/init.d/iptables stop не помогает?

[sysred]

Нет не помогает...

Тут больше проблема с АПКШ. У него в есть "мягкий" режим (подразумевается работа как обычный роутер) - устанавливаешь его все работает. Но этот режим не преемлем.

Странно, но в 5-ой Fedore все работало... Может что поменялось? (хотелось бы знать в какую сторону капать)

[Master400]

А IP клиента не менялся?

[sysred]

Нет...

IP тот же...

Ради теста скачали FreeBSD и Mandriva 2007...

FreeBSD - работает

Mandriva 2007 тот же результат

Видемо что-то случилось...

[Ineu]

Напомните-ка, господа, в пятой федоре какое ядро?

[sysred]

2.6.16

[sysred]

В 6-ой: 2.6.18

В Mandriva: 2.6.17

[Ineu]

Похоже на вот это: http://www.nabble.com/Problem-mounting-NFS-from-a-Fedora-Cor e-6-machine-t2689908.html

Попробуйте отключить source route verification, возможно, глюк в ядре.

echo 0 > /proc/sys/net/ipv4/conf/ваш_интерфейс/rp_filter

[sysred]

не помогло

-------------

вот tcpdump ftp-соединения:

18:52:38.874079 arp who-has 192.168.111.1 tell 192.168.111.22

18:52:44.519288 IP 192.168.111.22.35769 > ftp.server.ftp: S 1618532643:1618532643(0) win 5840 <mss 1460,sackOK,timestamp 4294954492 0,nop,wscale 7>

18:52:44.520437 IP ftp.server.ftp > 192.168.111.22.35769: S 872785969:872785969(0) ack 1618532644 win 57344 <mss 1460,nop,wscale 0,nop,nop,timestamp 1187234408 4294954492>

18:52:44.520462 IP 192.168.111.22.35769 > ftp.server.ftp: . ack 1 win 46 <nop,nop,timestamp 4294954493 1187234408>

18:52:44.523434 IP ftp.server.cardax > 192.168.111.22.auth: S 3631407826:3631407826(0) win 57344 <mss 1460,nop,wscale 0,nop,nop,timestamp 1187234408 0>

18:52:44.523449 IP 192.168.111.22 > ftp.server: ICMP host 192.168.111.22 unreachable - admin prohibited, length 68

18:52:44.531429 IP ftp.server.ftp > 192.168.111.22.35769: P 1:40(39) ack 1 win 57920 <nop,nop,timestamp 1187234409 4294954493>

18:52:44.531469 IP 192.168.111.22.35769 > ftp.server.ftp: . ack 40 win 46 <nop,nop,timestamp 4294954495 1187234409>

18:52:44.531814 IP 192.168.111.22.35769 > ftp.server.ftp: P 1:14(13) ack 40 win 46 <nop,nop,timestamp 4294954495 1187234409>

18:52:44.532431 IP ftp.server.ftp > 192.168.111.22.35769: P 40:65(25) ack 14 win 57920 <nop,nop,timestamp 1187234409 4294954495>

18:52:44.532556 IP 192.168.111.22.35769 > ftp.server.ftp: P 14:32(18) ack 65 win 46 <nop,nop,timestamp 4294954496 1187234409>

18:52:44.533428 IP ftp.server.ftp > 192.168.111.22.35769: P 65:90(25) ack 32 win 57920 <nop,nop,timestamp 1187234409 4294954496>

18:52:44.572290 IP 192.168.111.22.35769 > ftp.server.ftp: . ack 90 win 46 <nop,nop,timestamp 4294954506 1187234409>

18:52:48.740517 IP 192.168.111.22.35769 > ftp.server.ftp: P 32:48(16) ack 90 win 46 <nop,nop,timestamp 4294955548 1187234409>

18:52:48.944633 IP 192.168.111.22.35769 > ftp.server.ftp: P 32:48(16) ack 90 win 46 <nop,nop,timestamp 4294955599 1187234409>

18:52:48.947418 IP ftp.server.ftp > 192.168.111.22.35769: . ack 48 win 57920 <nop,nop,timestamp 1187234851 4294955599>

---------

меня смущают выделенные строки

[Ineu]

Что-то Вы все намеками говорите Чем смущают?

[sysred]

Две одинаковые строки

------------------

последовательность с 32 по 47 байт - повторяются 2 раза

[Ineu]

У меня то же:

Цитата:

16:49:03.523768 IP 204.152.191.37.21 > 192.168.11.245.1947: P 1:33(32) ack 1 win 46 <nop,nop,timestamp 2979698398 47332594> 16:49:03.523768 IP 204.152.191.37.21 > 192.168.11.245.1947: P 1:33(32) ack 1 win 46 <nop,nop,timestamp 2979698398 47332594>

Но работает все без сучка, без задоринки.

Покажите Ваш /etc/sysctl.conf

[sysred]

В том то и дело что на этом висит сессия ftp...

--------

файлик приложил

[Ineu]

echo 0 > /proc/sys/net/ipv4/tcp_syncookies

[sysred]

Не помогло все это...

Немного посмотрев краем глаза в свободное время - увидел следующее:

Подобный глюк возникает при версии ядра 2.6.17 и выше. В 5-ой Fedora Core было ядро 2.6.15 и соответственно не возникало проблем. Осталось подыскать что изменилось в ядре, ибо менять структуру сети из-за этого весьма и весьма проблематично...

Ну что ж в переди выходные и куча времени...

P.S. У кого есть информация об изменениях между 2.6.16 и 2.6.17 - может помочь мне оставить больше времени на потребление пива...

[cppmm]

Цитата:

P.S. У кого есть информация об изменениях между 2.6.16 и 2.6.17 - может помочь мне оставить больше времени на потребление пива..

kernel.org ?

[sysred]

cppmm писал(а) Fri, 26 January 2007 15:16

kernel.org ?

Ну да - где-то в сторону ChangeLog'a

[anthony2005]

Столкнулся с точно такой же проблемой. Кто-нибудь нашёл решение?