Probléma a kimenő TCP csomagokkal

UNIX haladó

Probléma a kimenő TCP csomagokkal

  • 1508 megtekintés

( vik1984 | 2005. 06. 30., cs – 19:26 )

Üdv!

A következő problémára keresnék megoldást:
A gépemen a hálózat teljesen "megbolondult": a kimenő TCP csomagokat leszámítva minden rendesen működik, de nem tudok távoli gépekkel kapcsolatot kezdeményezni, a következő üzenetet kapom (pl. ssh-nál, de mindenhol ez jön elő):

[code:1:ec04342abf]ssh: connect to host mars port 22: Cannot assign requested address[/code:1:ec04342abf]

Minden teljesen normálisnak tűnik, addig a szintig, amíg értem a dolgokat :)

( andrej_ v | 2005. 06. 30., cs – 19:39 )

[quote:b93ca06a7b="vik1984"]Üdv!

A következő problémára keresnék megoldást:
A gépemen a hálózat teljesen "megbolondult": a kimenő TCP csomagokat leszámítva minden rendesen működik, de nem tudok távoli gépekkel kapcsolatot kezdeményezni, a következő üzenetet kapom (pl. ssh-nál, de mindenhol ez jön elő):

[code:1:b93ca06a7b]ssh: connect to host mars port 22: Cannot assign requested address[/code:1:b93ca06a7b]

Minden teljesen normálisnak tűnik, addig a szintig, amíg értem a dolgokat :)

- iptables es portfw-k ellenorzese
- netstat -l (vagy bsd-n -at) -el halozati figyelo dolgok megnezese
- route szabalyok megnezese
- lo0 iface ellenorzese, hogy van-e IP-je es hasonlok
- grsec tiltások/szabályok ha vannak

( vik1984 | 2005. 06. 30., cs – 19:50 )

[quote:b5746a5ea6="andrej_"][quote:b5746a5ea6="vik1984"]Üdv!

A következő problémára keresnék megoldást:
A gépemen a hálózat teljesen "megbolondult": a kimenő TCP csomagokat leszámítva minden rendesen működik, de nem tudok távoli gépekkel kapcsolatot kezdeményezni, a következő üzenetet kapom (pl. ssh-nál, de mindenhol ez jön elő):

[code:1:b5746a5ea6]ssh: connect to host mars port 22: Cannot assign requested address[/code:1:b5746a5ea6]

Minden teljesen normálisnak tűnik, addig a szintig, amíg értem a dolgokat :)

- iptables es portfw-k ellenorzese
- netstat -l (vagy bsd-n -at) -el halozati figyelo dolgok megnezese
- route szabalyok megnezese
- lo0 iface ellenorzese, hogy van-e IP-je es hasonlok
- grsec tiltások/szabályok ha vannak

Köszönöm, de nem segített. A lo-n keresztül sem megy át semmi (nem tudok ssh-zni localhoston).
iptables ok, minden ACCEPTEN
listeneléssel nincs gond
route ugyancsak jó
grsec nem is volt :)

( andrej_ v | 2005. 06. 30., cs – 20:23 )

[quote:c6eef7b6f5="vik1984"][quote:c6eef7b6f5="andrej_"][quote:c6eef7b6f5="vik1984"]Üdv!

A következő problémára keresnék megoldást:
A gépemen a hálózat teljesen "megbolondult": a kimenő TCP csomagokat leszámítva minden rendesen működik, de nem tudok távoli gépekkel kapcsolatot kezdeményezni, a következő üzenetet kapom (pl. ssh-nál, de mindenhol ez jön elő):

[code:1:c6eef7b6f5]ssh: connect to host mars port 22: Cannot assign requested address[/code:1:c6eef7b6f5]

Minden teljesen normálisnak tűnik, addig a szintig, amíg értem a dolgokat :)

- iptables es portfw-k ellenorzese
- netstat -l (vagy bsd-n -at) -el halozati figyelo dolgok megnezese
- route szabalyok megnezese
- lo0 iface ellenorzese, hogy van-e IP-je es hasonlok
- grsec tiltások/szabályok ha vannak

Köszönöm, de nem segített. A lo-n keresztül sem megy át semmi (nem tudok ssh-zni localhoston).
iptables ok, minden ACCEPTEN
listeneléssel nincs gond
route ugyancsak jó
grsec nem is volt :)

Kernelverzio? iptables poliszik? restart?

( vik1984 | 2005. 06. 30., cs – 20:30 )

Kernelverzio? iptables poliszik? restart?

2.6.12.1
restart volt, tobbszor is, de nem segitett.

poliszik?

( andrej_ v | 2005. 06. 30., cs – 20:57 )

[quote:dc6785e685="vik1984"]

Kernelverzio? iptables poliszik? restart?

2.6.12.1
restart volt, tobbszor is, de nem segitett.

poliszik?

iptables -P INPUT ACCEPT

Egy 2.4-essel nezd azt meg mondjuk 2.4.29-el.

( Xanco | 2005. 06. 30., cs – 20:59 )

Mit mondanak a következő utasítások?

[code:1:0636a9566d]ifconfig -a
route -n[/code:1:0636a9566d]

( vik1984 | 2005. 06. 30., cs – 22:29 )

[code:1:74c20b4462][root@grape viktor]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 eth0
[root@grape viktor]# ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:A0:CC:C6:C3:54
inet addr:10.0.0.2 Bcast:10.0.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:215 errors:0 dropped:0 overruns:0 frame:0
TX packets:197 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:18337 (17.9 Kb) TX bytes:27960 (27.3 Kb)
Interrupt:10 Base address:0xd000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)[/code:1:74c20b4462]

iptables nem adott ki semmit.

( Xanco | 2005. 07. 01., p – 08:27 )

[code:1:ffbfe03779]ssh -v[/code:1:ffbfe03779] mit ír?
Milyen IP-re próbálsz csatlakozni? Véletlenül a /etc/ssh/ssh_config vagy a $HOME/.ssh/config fájlokban nincsen BindAddress paraméter? Ha van mi az?
Esetleg megpróbálkozhatnál az egyikbe belerakni
[code:1:ffbfe03779]AddressFamily inet[/code:1:ffbfe03779]
sort.

( 1aca | 2005. 07. 01., p – 10:04 )

esetleg egy tcpdump kimenet mikozben ssh-zol segithet megkapni a problemat...

( vik1984 | 2005. 07. 01., p – 11:04 )

Köszönöm a segítségeket, de a probléma megoldódott: valami gebasz volt a sysctl.conf-fal. Amikor próbaképpen kikommenteltük az egészet, hirtelen visszaállt a rend.
Azért elküldöm a fájlt, aki megtalálja a hibát, az kap egy ötöst Linuxból :-)
[code:1:6836eadb95]#
# Kernel sysctl configuration
#

# Disable packet forwarding
net.ipv4.ip_forward=0

# Disable IP source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

# Enable Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.lo.log_martians = 0
net.ipv4.conf.eth0.log_martians = 0

# Disables the magic-sysrq key
kernel.sysrq = 0

# Decrease the time default value for tcp_fin_timeout connection
net.ipv4.tcp_fin_timeout = 15

# Decrease the time default value for tcp_keepalive_time connection
net.ipv4.tcp_keepalive_time = 1800

# Turn off the tcp_window_scaling
net.ipv4.tcp_window_scaling = 0

# Turn off the tcp_sack
net.ipv4.tcp_sack = 0

# Turn off the tcp_timestamps
net.ipv4.tcp_timestamps = 0

# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syncookies = 1

# Enable ignoring broadcasts request
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Enable bad error message protection
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Log Spoofed Packets, Source Routed Packets, Redirect Packets
net.ipv4.conf.all.log_martians = 1

# Increases the size of the socket queue (effectively, q0).
net.ipv4.tcp_max_syn_backlog = 1024

# Increase the tcp-time-wait buckets pool size
net.ipv4.tcp_max_tw_buckets = 1440000

# Allowed local port range
net.ipv4.ip_local_port_range = 16384 65536[/code:1:6836eadb95]
Mégegyszer kösz a tippeket.

( vik1984 | 2005. 07. 01., p – 11:07 )

Xanco: Nem kifejezetten az ssh volt a gond. Addíg sikerült leszűkíteni a problémát, hogy a connect(2)-nél jön ez elő.
1aca: megvolt, minden rendben, arp, icmp, igmp, udp ment, tcp is félig (a gépemre pl. be lehetett ssh-zni, de én nem tudtam máshoz)