iptables && egyes oldalak nem jelennek meg

Linux-haladó

iptables && egyes oldalak nem jelennek meg

  • 830 megtekintés

( e704112 | 2005. 09. 19., h – 21:39 )

Sziasztok!

Van egy újonnan feltelepített debianom egyelőre még gyári kernellel, s ez így osztja a netet kb. tegnap óta (szerver). Van egy kliens gép, amire úgy tűnik, hogy nem jönnek meg a kívánt adatok, pontosabban megérkeznek, de nem jelennek meg. A Kliens gépen a szerver újratelepítése előtt minden rendben volt, azóta nem változott ott semmi, több böngészővel, sőt, még xp- vel is ki lett próbálva, de ugyanaz. Az adatok egy része megjelenik, a többi nem. Pl. a ttc.hu- nál a háttér jelenik meg, freemailnék a böngészősávban lévő adat már "átíródik", de ha megnézem a lejött adatokat, mindegyiknek a végén ott van a </html>. Lynx- szel is hasonló a helyzet.

A szerveren, mint írtam, még gyári kernel van, a szabályok így néznek ki:

echo 1 > /proc/sys/net/ipv4/ip_forward;
echo 1 > /proc/sys/net/ipv4/ip_dynaddr;

iptables -P INPUT ACCEPT && echo -n . &&
iptables -F INPUT && echo -n . &&
iptables -P OUTPUT ACCEPT && echo -n . &&
iptables -F OUTPUT && echo -n . &&
iptables -P FORWARD DROP && echo -n . &&
iptables -F FORWARD && echo -n . &&
iptables -t nat -F && echo -n .;

iptables -P FORWARD ACCEPT;
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE;

A kliensen lévő cachet ürítettem, a szerver kapott egy rebootot.

Valakinek van valami ötlete, hogy mi lehet a hiba? Minden ötletet szívesen fogadok.

Köszi.

( e704112 | 2005. 09. 19., h – 21:42 )

u. i.: ethereal- lal néztem, hogy minket kap a kliens az interfacen. Kap adatokat, úgy néz ki, de 3000 csomag jött folyamatosan, és még mindig nem jött le a freemail.hu (~15sec), a szerverem pedig 200 csomagból lejön úgy, hogy közben fut más interfacehasználó progi is.

( e704112 | 2005. 09. 19., h – 22:01 )

Hm, átírtam eth2- re, s működik, legalábbis freemail egyből lejött, viszont most nem tudok onnan kifelé pingelni. szerveren ethereal szerint a kliens küldött icmp csomagokat a pingelt állomásnak, de onnan egy sem jött vissza. (szerverről persze tudom pingelni az állomást, szóval él).

Igazából nem is gondoltam volna, hogy a szabályokkal lehet gond, mert ezzel így vagy 2 évig ment a netmegosztás minden gond nélkül.

( e704112 | 2005. 09. 19., h – 22:19 )

Sajnos mégsem megy, csak nem vettem észre, hogy ssh- ból már kiléptem, s a szerverről indítottam a mozillát. Ha átírom eth[0-2]- re, akkor még egy külső szerver pingelése sem működik. Van esetleg valakinek még ötlete?

( kaltsi | 2005. 09. 19., h – 23:01 )

Nekem egy dolog ragadta mega figyelmemet:

Az adatok egy része megjelenik, a többi nem.

Mivel ha jól látom ADSL-ed van, vagy valami, ami pppoe-t használ, így a csomag méretének maximuma csökken, a plusz keretezés miatt.
A serverek "terhelés" esetén növelik a csomag méretét, de ezt nem tudja a pppoe követni, ezért dobódnak a csomagok.
Egészítsed ki ezzel a sorral a szabályrendszert.

[code:1:a62618bb0e]iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400: -j TCPMSS --clamp-mss-to-pmtu[/code:1:a62618bb0e]

Írd meg mi lett...

( foci v | 2005. 09. 19., h – 23:13 )

milyen netet oszt adsl, egyeb dhcp-s kabelnet?
probald megnezne hogy mux a maszkolas
altalaban igy szoktam:
telnet ip.cim.amiben.biztos.vagyok 80
GET /

ha valaszol a webszerver akkor van maszkolasod
dns??
nslookup
index.hu
hup.hu
???

esetleg adsl mtu problem???
lassuk csak mi lehet meg..
esetleg iptables -L
iptables -t nat -L kimenetek a biztonsag kedveert
nincs e valami auto tuzfalad..

( e704112 | 2005. 09. 19., h – 23:36 )

[quote:4720f349c0="kaltsi"]Nekem egy dolog ragadta mega figyelmemet:

Az adatok egy része megjelenik, a többi nem.

Mivel ha jól látom ADSL-ed van, vagy valami, ami pppoe-t használ, így a csomag méretének maximuma csökken, a plusz keretezés miatt.
A serverek "terhelés" esetén növelik a csomag méretét, de ezt nem tudja a pppoe követni, ezért dobódnak a csomagok.
Egészítsed ki ezzel a sorral a szabályrendszert.

[code:1:4720f349c0]iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400: -j TCPMSS --clamp-mss-to-pmtu[/code:1:4720f349c0]

Írd meg mi lett...

Igazából nem teljesen világos ez a sor, de megoldotta a problémát. Elmagyaráznád, hogy mit csinál ez pontosan, mert nekem úgy tűnt, hogy csak a csomagméretet növelte, vagy pont ez a lényege?

Na most ha tényleg emiatt a keretezés miatt volt a gond, akkor azt elárulná valaki, hogy mi változott a 2.6.8 és a 2.4.24 között, ami miatt erre szükség van (szóval 2.4.24- gyel rendesen ment több évig).

( e704112 | 2005. 09. 19., h – 23:45 )

[quote:2b696ede28="foci"]milyen netet oszt adsl, egyeb dhcp-s kabelnet?
probald megnezne hogy mux a maszkolas
altalaban igy szoktam:
telnet ip.cim.amiben.biztos.vagyok 80
GET /

ha valaszol a webszerver akkor van maszkolasod
dns??
nslookup
index.hu
hup.hu
???

esetleg adsl mtu problem???
lassuk csak mi lehet meg..
esetleg iptables -L
iptables -t nat -L kimenetek a biztonsag kedveert
nincs e valami auto tuzfalad..

Igen, adsl- em van.

A régi beállításokkal a kliensről:
[code:1:2b696ede28]
telnet biztosszerver 80
GET / HTTP/1.1<2x\n>
[/code:1:2b696ede28]
Erre kapok választ, de ez várható volt.

Amúgy az volt a nagyon fura, hogy a böngészők ikonjai azután is forogtak, miután megkapták a </html>- t. Nem nagyon ismerem a protokollt, de szerintem az jelzi egy oldal végét, vagy tévedek?

Régi beállításokkal:

iptables -L
[code:1:2b696ede28]
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/code:1:2b696ede28]

iptables -t nat -L
[code:1:2b696ede28]
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/code:1:2b696ede28]

( Baktor | 2005. 09. 20., k – 00:21 )

Hi!

Ilyen problema nalam is volt, ket hetig kuzdottem vele, mikor megcsereltem az iptables scriptet meg a ppp scriptjet (rc2.d-ben), azaz elobb huzza fel az iptables szabalyokat, utana pedig csatlakozik az internethez (adsl). Ezutan mukodott szepen...

( sutyee | 2005. 09. 20., k – 08:10 )

[quote:e8ea1247af="Baktor"]

Ilyen problema nalam is volt, ket hetig kuzdottem vele, mikor megcsereltem az iptables scriptet meg a ppp scriptjet (rc2.d-ben), azaz elobb huzza fel az iptables szabalyokat, utana pedig csatlakozik az internethez (adsl). Ezutan mukodott szepen...

a biztonsag miatt valoban ez a helyes sorrend.

( MGy v | 2005. 09. 20., k – 08:21 )

ptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400: -j TCPMSS --clamp-mss-to-pmtu

Igazából nem teljesen világos ez a sor, de megoldotta a problémát. Elmagyaráznád, hogy mit csinál ez pontosan, mert nekem úgy tűnt, hogy csak a csomagméretet növelte, vagy pont ez a lényege?

A szabály elemzése:
tcp kapcsolat esetén minden olyan csomagra, ahol a SYN bit be van állítva és az RST nem (azaz a csomag egy új kapcsolat kezdete)
és az mss (maximum segment size) nagyobb, mint 1400
állítsuk be az mss-t a teljes útvonalra jellemző mtu-ra (maximum transferable unit)

Az egésznek pedig az az értelme, hogy a szerver oldali tcp-nek mondjuk meg, hogy maximum mekkora szegmenseket tudunk fogadni, mert bár úgy tűnik, hogy lehet nekünk akár 1500 byte-os csomagokat is küldeni, de ez nem lesz OK, mert út közben valaki (az ADSL) ezt be szeretné csomagolni egy max 1500 byte méretű csomagba úgy, hogy egy kis header információt is tenne bele.
Az pedig, hogy így tűnik oazért van, mert a helyi gépek egy ethernet hálózatra csatlakoznak ahol szabad ekkora csomagokat küldeni ezért mivel ebben a hitben vannak ezt mondják a túloldali szervernek. Mi meg a tűzfallal középen jól elkapjuk ezeket a csomagokat és átírjuk benne.

( edaile | 2005. 10. 03., h – 11:49 )

Én is belefutottam hasonló dologba nem is olyan régen.
A probléma az Axelero ADSL szolgáltatásával volt, ha Axelero-t használsz és Budán vagy, lehetnek ilyen problémáid.

( kaltsi | 2005. 10. 03., h – 12:38 )

MGy pont én is ezt akartam volna írni....

Annyit fűznék hozzá, hogy ez nem ADSL vagy szolgáltató függő. Aki PPPoE prtokolt használ, annál ez mindenképpen szükséges, független a szolgáltatástól.