https://opennet.me/openforum/vsluhforumID1/96019.html Коллеги, нужна помощь.<br><br>Вот схема сети http://clip2net.com/s/3dau4U2<br><br>Перестала работать связь с MyWorkstation до Server-13 (14) на них веб морда на 81 порту.<br>Когда я с рабочей станции жму http://10.68.72.13:81<br><br>на Asus вижу следующее:<br><br># cat /proc/net/ip_conntrack&#124;grep 72.13<br>tcp 6 115 SYN_SENT src=10.68.70.7 dst=10.68.72.13 sport=64107 dport=81 packets=1 bytes=52 [UNREPLIED] src=10.68.72.13 dst=10.68.70.7 sport=81 dport=64107 packets=0 bytes=0 mark=0 use=1<br><br>пинг и трасерт с рабочей станции проходят<br>tracert -d 10.68.72.13<br> 1 &lt;1 мс &lt;1 мс &lt;1 мс 10.68.70.254<br> 2 &lt;1 мс &lt;1 мс &lt;1 мс 10.68.72.12<br> 3 &lt;1 мс &lt;1 мс &lt;1 мс 10.68.72.13<br><br>к цискам доступа нет (<br>можно как-то через asus (linux) отследить трабл?<br> https://opennet.me/openforum/vsluhforumID1/96019.html#21 Fri, 13 Mar 2015 07:27:52 GMT <br>&gt;&gt; INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса <br>&gt;&gt; не корректны, а что за пакеты он посчитал некорректными вы не <br>&gt;&gt; показываете <br>&gt; Скажите, а как показать?<br><br>сделайте логирование для INVALID и в логах смотрите что там в заголовках<br><br> https://opennet.me/openforum/vsluhforumID1/96019.html#20 Thu, 12 Mar 2015 05:17:22 GMT <br><br>&gt; INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса <br>&gt; не корректны, а что за пакеты он посчитал некорректными вы не <br>&gt; показываете <br><br>Скажите, а как показать?<br> https://opennet.me/openforum/vsluhforumID1/96019.html#19 Fri, 27 Feb 2015 09:45:51 GMT &gt; pks bytes in <br>&gt; out <br>&gt; 11 1482 tcp -- br0 * <br>&gt; 10.68.70.7 10.68.72.13 tcp dpt:81 state INVALID <br>&gt; 11 1482 tcp -- * br0 <br>&gt; 10.68.70.7 10.68.72.13 tcp dpt:81 state INVALID <br>&gt; все что приходит от 10.68.70.7 - инвалид.<br>&gt; не так?<br><br>INVALID это не опредененный набор флагов, а пакеты которые по мнению асуса не корректны, а что за пакеты он посчитал некорректными вы не показываете<br><br> https://opennet.me/openforum/vsluhforumID1/96019.html#18 Fri, 27 Feb 2015 09:12:35 GMT pks bytes in out<br><br>11 1482 tcp -- br0 * 10.68.70.7 10.68.72.13 tcp dpt:81 state INVALID<br>11 1482 tcp -- * br0 10.68.70.7 10.68.72.13 tcp dpt:81 state INVALID<br><br>все что приходит от 10.68.70.7 - инвалид.<br>не так?<br> https://opennet.me/openforum/vsluhforumID1/96019.html#17 Fri, 27 Feb 2015 07:15:14 GMT &gt; Да, люди сталкивались с тем что от циско идут инвалид пакеты...<br>&gt; а им отвечали "у нас CISCO ищите у себя..." <br>&gt; http://lists.netfilter.org/pipermail/netfilter/2006-September/066840.html <br>&gt; http://blog.endpoint.com/2009/12/cisco-pix-mangled-packets-and-iptables.html <br>&gt; http://www.linux.org.ru/forum/admin/9187461 <br><br>не хочу защищать циску, но из того что вы привели не видно что попало в инвалид, а без этого что-то говорить бесполезно <br><br>по поводу ссылок<br>1 - упоминается ACK FIN , но это может быть и из-за канала (медненный, загруженный)<br>http://www.opennet.ru/openforum/vsluhforumID10/5033.html <br>2 - конкретики нет<br>3 - на лоре (already ACKed data retransmitted) , но кто их слал (TTL=121) неизвестно, там кстати о таймаутах упоминали, но это не тот случай, во всяком случае не на их стороне.<br><br> https://opennet.me/openforum/vsluhforumID1/96019.html#16 Fri, 27 Feb 2015 04:34:37 GMT Да, люди сталкивались с тем что от циско идут инвалид пакеты...<br>а им отвечали "у нас CISCO ищите у себя..."<br><br><br>http://lists.netfilter.org/pipermail/netfilter/2006-September/066840.html<br>http://blog.endpoint.com/2009/12/cisco-pix-mangled-packets-and-iptables.html<br>http://www.linux.org.ru/forum/admin/9187461<br> https://opennet.me/openforum/vsluhforumID1/96019.html#15 Thu, 26 Feb 2015 16:46:01 GMT &gt;[оверквотинг удален]<br>&gt; 0.0.0.0/0 <br>&gt; 7 0 <br>&gt; 0 ACCEPT all -- <br>&gt; * * <br>&gt; 0.0.0.0/0 <br>&gt; 0.0.0.0/0 <br>&gt; ctstate DNAT <br>&gt; ---------------------- <br>&gt; Выход, как и предполагал Сергей, кошки слали инвалидов.<br>&gt; Я правильно понял?<br><br>Вы считаете что циска изменяла флаги которые выставляла рабочая машина или задерживала пакеты что бы они пришли после таймаутов?<br>А может у Асус таймауты поуменьшали что бы память сэкономить?<br> https://opennet.me/openforum/vsluhforumID1/96019.html#14 Thu, 26 Feb 2015 14:51:43 GMT Ой, ребят.. как же я Вас люблю. и Вас и Opennet! =)<br><br>Вот что нашел. У Асуса было правило "Дропать инвалидов". Так, на этом правиле все и затыкалось. Решил проверить, кто же шлет "инвалидов"<br><br>---------------------<br>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br>num pkts bytes target prot opt in out source destination<br>1 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED<br>2 11 1482 tcp -- br0 * 10.68.70.7 10.68.72.13 tcp dpt:81 state INVALID<br>3 11 1482 tcp -- * br0 10.68.70.7 10.68.72.13 tcp dpt:81 state INVALID<br>4 0 0 tcp -- br0 * 10.68.72.13 10.68.70.7 tcp spt:81 state INVALID<br>5 13 1586 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0<br>6 0 0 DROP icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0<br>7 0 0 ACCEPT https://opennet.me/openforum/vsluhforumID1/96019.html#13 Thu, 26 Feb 2015 13:14:09 GMT Я думаю проблема в цисках...<br>