форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Как проследить пакеты в AsusWiFi router (linux)"	+/–
Сообщение от Camb (??) on 26-Фев-15, 08:17
Коллеги, нужна помощь. Вот схема сети http://clip2net.com/s/3dau4U2 Перестала работать связь с MyWorkstation до Server-13 (14) на них веб морда на 81 порту. Когда я с рабочей станции жму http://10.68.72.13:81 на Asus вижу следующее: # cat /proc/net/ip_conntrack|grep 72.13 tcp      6 115 SYN_SENT src=10.68.70.7 dst=10.68.72.13 sport=64107 dport=81 packets=1 bytes=52 [UNREPLIED] src=10.68.72.13 dst=10.68.70.7 sport=81 dport=64107 packets=0 bytes=0 mark=0 use=1 пинг и трасерт с рабочей станции проходят tracert -d 10.68.72.13   1    <1 мс    <1 мс    <1 мс  10.68.70.254   2    <1 мс    <1 мс    <1 мс  10.68.72.12   3    <1 мс    <1 мс    <1 мс  10.68.72.13 к цискам доступа нет ( можно как-то через asus (linux) отследить трабл?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
Сообщение от Camb (??) on 26-Фев-15, 08:53
опечатка в статик роутах Asus. там, конечно же роут в сеть где My workstation http://c2n.me/3dawzGt
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
Сообщение от Camb (??) on 26-Фев-15, 09:27
к цискам доступ есть! могу попросить что-то сделать..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от reader (ok) on 26-Фев-15, 10:16
	tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от fantom (ok) on 26-Фев-15, 10:52
	> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14 Соответствующие порты/сервисы открыты/разрешены/запущены??? сканером (nmap например) просканируйте с компа серваки на предмет открытости и доступности портов.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от Camb (??) on 26-Фев-15, 13:09
	>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14 > Соответствующие порты/сервисы открыты/разрешены/запущены??? > сканером (nmap например) просканируйте с компа серваки на предмет открытости и доступности > портов. да, на 13,14 все открыто. это "спец"-сервера с урезанным линуксом и без телнета/ssh.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	5. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от Camb (??) on 26-Фев-15, 12:28
	> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14 увы на нем нет этой полезной вещи ((
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от fantom (ok) on 26-Фев-15, 12:34
	>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14 > увы на нем нет этой полезной вещи (( Прошить openWRT и поставить :)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от reader (ok) on 26-Фев-15, 13:34
	>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14 > увы на нем нет этой полезной вещи (( а что есть? 13/14 что есть?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от Camb (??) on 26-Фев-15, 14:18
	>>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14 >> увы на нем нет этой полезной вещи (( > а что есть? > 13/14 что есть? на 13,14 ничего нет. я подключился рядышком ноутом, прописал адрес 5 этой же подсети. http://10.68.72.13:81 - все ок. понимаю, что вместо асуса надо поставить *nix, и вместо 13-го тоже и смотреть...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от reader (ok) on 26-Фев-15, 14:42
	>>>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14 >>> увы на нем нет этой полезной вещи (( >> а что есть? >> 13/14 что есть? > на 13,14 ничего нет. > я подключился рядышком ноутом, прописал адрес 5 этой же подсети. > http://10.68.72.13:81 - все ок. > понимаю, что вместо асуса надо поставить *nix, и вместо 13-го тоже и > смотреть... на асусе телнет или ssh , в общем какая то консоль есть?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от Camb (??) on 26-Фев-15, 14:52
	>>>>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14 >>>> увы на нем нет этой полезной вещи (( >>> а что есть? >>> 13/14 что есть? >> на 13,14 ничего нет. >> я подключился рядышком ноутом, прописал адрес 5 этой же подсети. >> http://10.68.72.13:81 - все ок. >> понимаю, что вместо асуса надо поставить *nix, и вместо 13-го тоже и >> смотреть... > на асусе телнет или ssh , в общем какая то консоль есть? есть. есть netstat, netstat-nat
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от reader (ok) on 26-Фев-15, 15:07
	iptables -I FORWARD -o тут-lan-if -d 10.68.72.13 --dport 81 -s 10.68.70.7 -j ACCEPT iptables -I FORWARD -i тут-lan-if -s 10.68.72.13 --sport 81 -d 10.68.70.7 -j ACCEPT iptables -I FORWARD -i тут-vpn-if -d 10.68.72.13 --dport 81 -s 10.68.70.7 -j ACCEPT iptables -I FORWARD -o тут-vpn-if -s 10.68.72.13 --sport 81 -d 10.68.70.7 -j ACCEPT пробуйте подключиться с 10.68.70.7 и смотрите счетчики на правилах поправил
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Как проследить пакеты в AsusWiFi router (linux)"	+/–
	Сообщение от Сергей (??) on 26-Фев-15, 16:14
	Я думаю проблема в цисках...
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Урра! Победа!"	+/–
	Сообщение от Camb (??) on 26-Фев-15, 17:51
	Ой, ребят.. как же я Вас люблю. и Вас и Opennet! =) Вот что нашел. У Асуса было правило "Дропать инвалидов". Так, на этом правиле все и затыкалось. Решил проверить, кто же шлет "инвалидов" --------------------- Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num   pkts bytes target     prot opt in     out     source               destination 1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 2       11  1482            tcp  --  br0    *       10.68.70.7           10.68.72.13         tcp dpt:81 state INVALID 3       11  1482            tcp  --  *      br0     10.68.70.7           10.68.72.13         tcp dpt:81 state INVALID 4        0     0            tcp  --  br0    *       10.68.72.13          10.68.70.7          tcp spt:81 state INVALID 5       13  1586 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0 6        0     0 DROP       icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0 7        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate DNAT ---------------------- Выход, как и предполагал Сергей, кошки слали инвалидов. Я правильно понял?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Урра! Победа!"	+/–
	Сообщение от reader (ok) on 26-Фев-15, 19:46
	>[оверквотинг удален] >  0.0.0.0/0 > 7        0     >  0 ACCEPT     all  --   > *      *     >   0.0.0.0/0         >    0.0.0.0/0         >    ctstate DNAT > ---------------------- > Выход, как и предполагал Сергей, кошки слали инвалидов. > Я правильно понял? Вы считаете что циска изменяла флаги которые выставляла рабочая машина или задерживала пакеты что бы они пришли после таймаутов? А может у Асус таймауты поуменьшали что бы память сэкономить?
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Урра! Победа!"	+/–
	Сообщение от Camb (??) on 27-Фев-15, 07:34
	Да, люди сталкивались с тем что от циско идут инвалид пакеты... а им отвечали "у нас CISCO ищите у себя..." http://lists.netfilter.org/pipermail/netfilter/2006-Septembe... http://blog.endpoint.com/2009/12/cisco-pix-mangled-packets-a... http://www.linux.org.ru/forum/admin/9187461
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "Урра! Победа!"	+/–
	Сообщение от reader (ok) on 27-Фев-15, 10:15
	> Да, люди сталкивались с тем что от циско идут инвалид пакеты... > а им отвечали "у нас CISCO ищите у себя..." > http://lists.netfilter.org/pipermail/netfilter/2006-Septembe... > http://blog.endpoint.com/2009/12/cisco-pix-mangled-packets-a... > http://www.linux.org.ru/forum/admin/9187461 не хочу защищать циску, но из того что вы привели не видно что попало в инвалид, а без этого что-то говорить бесполезно по поводу ссылок 1 - упоминается ACK FIN , но это может быть и из-за канала (медненный, загруженный) https://www.opennet.ru/openforum/vsluhforumID10/5033.html 2 - конкретики нет 3 - на лоре (already ACKed data retransmitted) , но кто их слал (TTL=121) неизвестно, там кстати о таймаутах упоминали, но это не тот случай, во всяком случае не на их стороне.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Урра! Победа!"	+/–
	Сообщение от Camb (??) on 27-Фев-15, 12:12
	pks bytes          in  out 11  1482  tcp  --  br0  *   10.68.70.7   10.68.72.13  tcp dpt:81 state INVALID 11  1482  tcp  --  *  br0   10.68.70.7   10.68.72.13  tcp dpt:81 state INVALID все что приходит от 10.68.70.7 - инвалид. не так?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Урра! Победа!"	+/–
	Сообщение от reader (ok) on 27-Фев-15, 12:45
	> pks bytes          in >  out > 11  1482  tcp  --  br0  *   >  10.68.70.7   10.68.72.13  tcp dpt:81 state INVALID > 11  1482  tcp  --  *  br0   >  10.68.70.7   10.68.72.13  tcp dpt:81 state INVALID > все что приходит от 10.68.70.7 - инвалид. > не так? INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса не корректны, а что за пакеты он посчитал некорректными вы не показываете
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "Продолжим"	+/–
	Сообщение от Camb (??) on 12-Мрт-15, 08:17
	> INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса > не корректны, а что за пакеты он посчитал некорректными вы не > показываете Скажите, а как показать?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	21. "Продолжим"	+/–
	Сообщение от reader (ok) on 13-Мрт-15, 10:27
	>> INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса >> не корректны, а что за пакеты он посчитал некорректными вы не >> показываете > Скажите, а как показать? сделайте логирование для INVALID и в логах смотрите что там в заголовках
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема