URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96019
[ Назад ]

Исходное сообщение
"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено Camb , 26-Фев-15 08:17

Коллеги, нужна помощь.
Вот схема сети http://clip2net.com/s/3dau4U2
Перестала работать связь с MyWorkstation до Server-13 (14) на них веб морда на 81 порту.
Когда я с рабочей станции жму http://10.68.72.13:81
на Asus вижу следующее:
# cat /proc/net/ip_conntrack|grep 72.13
tcp      6 115 SYN_SENT src=10.68.70.7 dst=10.68.72.13 sport=64107 dport=81 packets=1 bytes=52 [UNREPLIED] src=10.68.72.13 dst=10.68.70.7 sport=81 dport=64107 packets=0 bytes=0 mark=0 use=1
пинг и трасерт с рабочей станции проходят
tracert -d 10.68.72.13
  1    <1 мс    <1 мс    <1 мс  10.68.70.254
  2    <1 мс    <1 мс    <1 мс  10.68.72.12
  3    <1 мс    <1 мс    <1 мс  10.68.72.13
к цискам доступа нет (
можно как-то через asus (linux) отследить трабл?

Содержание

Как проследить пакеты в AsusWiFi router (linux),Camb, 08:53 , 26-Фев-15
Как проследить пакеты в AsusWiFi router (linux),Camb, 09:27 , 26-Фев-15
- Как проследить пакеты в AsusWiFi router (linux),reader, 10:16 , 26-Фев-15
  - Как проследить пакеты в AsusWiFi router (linux),fantom, 10:52 , 26-Фев-15
    - Как проследить пакеты в AsusWiFi router (linux),Camb, 13:09 , 26-Фев-15
  - Как проследить пакеты в AsusWiFi router (linux),Camb, 12:28 , 26-Фев-15
    - Как проследить пакеты в AsusWiFi router (linux),fantom, 12:34 , 26-Фев-15
    - Как проследить пакеты в AsusWiFi router (linux),reader, 13:34 , 26-Фев-15
      - Как проследить пакеты в AsusWiFi router (linux),Camb, 14:18 , 26-Фев-15
        
        Как проследить пакеты в AsusWiFi router (linux),reader, 14:42 , 26-Фев-15
        
        Как проследить пакеты в AsusWiFi router (linux),Camb, 14:52 , 26-Фев-15
        
        Как проследить пакеты в AsusWiFi router (linux),reader, 15:07 , 26-Фев-15
        
        Как проследить пакеты в AsusWiFi router (linux),Сергей, 16:14 , 26-Фев-15
        
        Урра! Победа!,Camb, 17:51 , 26-Фев-15
        
        Урра! Победа!,reader, 19:46 , 26-Фев-15
        
        Урра! Победа!,Camb, 07:34 , 27-Фев-15
        
        Урра! Победа!,reader, 10:15 , 27-Фев-15
        
        Урра! Победа!,Camb, 12:12 , 27-Фев-15
        
        Урра! Победа!,reader, 12:45 , 27-Фев-15
        
        Продолжим,Camb, 08:17 , 12-Мрт-15
        
        Продолжим,reader, 10:27 , 13-Мрт-15

Сообщения в этом обсуждении

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено Camb , 26-Фев-15 08:53

опечатка в статик роутах Asus.
там, конечно же роут в сеть где My workstation
http://c2n.me/3dawzGt

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено Camb , 26-Фев-15 09:27

к цискам доступ есть! могу попросить что-то сделать..

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено reader , 26-Фев-15 10:16

tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено fantom , 26-Фев-15 10:52

> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
Соответствующие порты/сервисы открыты/разрешены/запущены???
сканером (nmap например) просканируйте с компа серваки на предмет открытости и доступности портов.

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено Camb , 26-Фев-15 13:09

>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
> Соответствующие порты/сервисы открыты/разрешены/запущены???
> сканером (nmap например) просканируйте с компа серваки на предмет открытости и доступности
> портов.
да, на 13,14 все открыто. это "спец"-сервера с урезанным линуксом и без телнета/ssh.

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено Camb , 26-Фев-15 12:28

> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
увы на нем нет этой полезной вещи ((

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено fantom , 26-Фев-15 12:34

>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
> увы на нем нет этой полезной вещи ((
Прошить openWRT и поставить :)

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено reader , 26-Фев-15 13:34

>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
> увы на нем нет этой полезной вещи ((
а что есть?
13/14 что есть?

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено Camb , 26-Фев-15 14:18

>>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
>> увы на нем нет этой полезной вещи ((
> а что есть?
> 13/14 что есть?
на 13,14 ничего нет.
я подключился рядышком ноутом, прописал адрес 5 этой же подсети.
http://10.68.72.13:81 - все ок.
понимаю, что вместо асуса надо поставить *nix, и вместо 13-го тоже и смотреть...

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено reader , 26-Фев-15 14:42

>>>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
>>> увы на нем нет этой полезной вещи ((
>> а что есть?
>> 13/14 что есть?
> на 13,14 ничего нет.
> я подключился рядышком ноутом, прописал адрес 5 этой же подсети.
> http://10.68.72.13:81 - все ок.
> понимаю, что вместо асуса надо поставить *nix, и вместо 13-го тоже и
> смотреть...
на асусе телнет или ssh , в общем какая то консоль есть?

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено Camb , 26-Фев-15 14:52

>>>>> tcpdump c Asus с обоих интерфейсов при попытке подключиться к 13/14
>>>> увы на нем нет этой полезной вещи ((
>>> а что есть?
>>> 13/14 что есть?
>> на 13,14 ничего нет.
>> я подключился рядышком ноутом, прописал адрес 5 этой же подсети.
>> http://10.68.72.13:81 - все ок.
>> понимаю, что вместо асуса надо поставить *nix, и вместо 13-го тоже и
>> смотреть...
> на асусе телнет или ssh , в общем какая то консоль есть?
есть. есть netstat, netstat-nat

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено reader , 26-Фев-15 15:07

iptables -I FORWARD -o тут-lan-if -d 10.68.72.13 --dport 81 -s 10.68.70.7 -j ACCEPT
iptables -I FORWARD -i тут-lan-if -s 10.68.72.13 --sport 81 -d 10.68.70.7 -j ACCEPT
iptables -I FORWARD -i тут-vpn-if -d 10.68.72.13 --dport 81 -s 10.68.70.7 -j ACCEPT
iptables -I FORWARD -o тут-vpn-if -s 10.68.72.13 --sport 81 -d 10.68.70.7 -j ACCEPT
пробуйте подключиться с 10.68.70.7 и смотрите счетчики на правилах
поправил

"Как проследить пакеты в AsusWiFi router (linux)"
Отправлено Сергей , 26-Фев-15 16:14

Я думаю проблема в цисках...

"Урра! Победа!"
Отправлено Camb , 26-Фев-15 17:51

Ой, ребят.. как же я Вас люблю. и Вас и Opennet! =)
Вот что нашел. У Асуса было правило "Дропать инвалидов". Так, на этом правиле все и затыкалось. Решил проверить, кто же шлет "инвалидов"
---------------------
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2       11  1482            tcp  --  br0    *       10.68.70.7           10.68.72.13         tcp dpt:81 state INVALID
3       11  1482            tcp  --  *      br0     10.68.70.7           10.68.72.13         tcp dpt:81 state INVALID
4        0     0            tcp  --  br0    *       10.68.72.13          10.68.70.7          tcp spt:81 state INVALID
5       13  1586 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0
6        0     0 DROP       icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0
7        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate DNAT
----------------------
Выход, как и предполагал Сергей, кошки слали инвалидов.
Я правильно понял?

"Урра! Победа!"
Отправлено reader , 26-Фев-15 19:46

>[оверквотинг удален]
>  0.0.0.0/0
> 7        0
>  0 ACCEPT     all  --
> *      *
>   0.0.0.0/0
>    0.0.0.0/0
>    ctstate DNAT
> ----------------------
> Выход, как и предполагал Сергей, кошки слали инвалидов.
> Я правильно понял?
Вы считаете что циска изменяла флаги которые выставляла рабочая машина или задерживала пакеты что бы они пришли после таймаутов?
А может у Асус таймауты поуменьшали что бы память сэкономить?

"Урра! Победа!"
Отправлено Camb , 27-Фев-15 07:34

Да, люди сталкивались с тем что от циско идут инвалид пакеты...
а им отвечали "у нас CISCO ищите у себя..."

http://lists.netfilter.org/pipermail/netfilter/2006-Septembe...
http://blog.endpoint.com/2009/12/cisco-pix-mangled-packets-a...
http://www.linux.org.ru/forum/admin/9187461

"Урра! Победа!"
Отправлено reader , 27-Фев-15 10:15

> Да, люди сталкивались с тем что от циско идут инвалид пакеты...
> а им отвечали "у нас CISCO ищите у себя..."
> http://lists.netfilter.org/pipermail/netfilter/2006-Septembe...
> http://blog.endpoint.com/2009/12/cisco-pix-mangled-packets-a...
> http://www.linux.org.ru/forum/admin/9187461
не хочу защищать циску, но из того что вы привели не видно что попало в инвалид, а без этого что-то говорить бесполезно
по поводу ссылок
1 - упоминается ACK FIN , но это может быть и из-за канала (медненный, загруженный)
http://www.opennet.me/openforum/vsluhforumID10/5033.html
2 - конкретики нет
3 - на лоре (already ACKed data retransmitted) , но кто их слал (TTL=121) неизвестно, там кстати о таймаутах упоминали, но это не тот случай, во всяком случае не на их стороне.

"Урра! Победа!"
Отправлено Camb , 27-Фев-15 12:12

pks bytes          in  out
11  1482  tcp  --  br0  *   10.68.70.7   10.68.72.13  tcp dpt:81 state INVALID
11  1482  tcp  --  *  br0   10.68.70.7   10.68.72.13  tcp dpt:81 state INVALID
все что приходит от 10.68.70.7 - инвалид.
не так?

"Урра! Победа!"
Отправлено reader , 27-Фев-15 12:45

> pks bytes          in
>  out
> 11  1482  tcp  --  br0  *
>  10.68.70.7   10.68.72.13  tcp dpt:81 state INVALID
> 11  1482  tcp  --  *  br0
>  10.68.70.7   10.68.72.13  tcp dpt:81 state INVALID
> все что приходит от 10.68.70.7 - инвалид.
> не так?
INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса не корректны, а что за пакеты он посчитал некорректными вы не показываете

"Продолжим"
Отправлено Camb , 12-Мрт-15 08:17

> INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса
> не корректны, а что за пакеты он посчитал некорректными вы не
> показываете
Скажите, а как показать?

"Продолжим"
Отправлено reader , 13-Мрт-15 10:27

>> INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса
>> не корректны, а что за пакеты он посчитал некорректными вы не
>> показываете
> Скажите, а как показать?
сделайте логирование для INVALID и в логах смотрите что там в заголовках