[Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Владимир Саломатин]

Заменил server 4.0 на Ковчег 5.0 Сервер. Соединение pppoe. NAT для локальных машин. С локальных пинги проходят. Через 
squid страницы грузятся. Однако напрямую браузером ya.ru не грузится. Также не работает обновление APT. Связь 
устанавливается, но висит, хотя сам сервер APT обновляет.

mtu 1492
Эффект в целом точно такой же как бывает, когда MTU меньше. Однако стандартные меры типа:

Цитата:
включите указанную опцию и добавьте правило в брандмауэр:  
 iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
--set-mss  
--clamp-mss-to-pmtu  

и типа уменьшить MTU на локальной машине  

Не срабатывает.

Хотя просто на статические соединения NAT отрабатывает нормально. Проблема только с pppoe.

До этого, на этом же железе, эта же сетевая карта, с этим же провайдером  в server 4.0 работала нормально.

Снес таблицы NAT, сделал как было в server 4.0
Не помогает.

У кого-нибудь будут мысли по этому поводу? Или это баг?

Спасибо.

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Michael Shigorin]

On Mon, Nov 30, 2009 at 09:12:07PM +0300, Владимир Саломатин wrote:
> У кого-нибудь будут мысли по этому поводу?

Что-то насчёт хопов и tcpdump на этом pppoe...

> Или это баг?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Владимир Саломатин]

> Что-то насчёт хопов и tcpdump на этом pppoe...
> 

tcpdump выводит что-то такое. Я понимаю, что пакеты ходят, но понять чем это може помочь мне пока не могу. 
Это я на ya.ru пытаюсь подключиться 
192.168.1.2  локальная машина
91.144.134.30 внешний IP сервера
Может кто-что в этом уидет?

 root@comp-Dual-Core--ec75a3 squid]# tcpdump -n -i ppp1 -l | tee tmp.log
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
00:17:34.563830 IP 91.144.134.30.54754 > 91.144.134.3.domain: 25478+ [1au] A? ya.ru. (34)
00:17:34.564759 IP 91.144.134.3.domain > 91.144.134.30.54754: 25478 3/2/1 A 77.88.21.8, A[|domain]
00:17:34.565833 IP 91.144.134.30.41113 > 93.158.134.8.http: S 3177273342:3177273342(0) win 5240 <mss 
40,nop,nop,sackOK,nop,wscale 7>
00:17:34.605322 IP 93.158.134.8.http > 192.168.1.2.41113: S 1970114950:1970114950(0) ack 3177273343 win 8192 <mss 
216,nop,wscale 3,sackOK,eol>
00:17:34.605511 IP 91.144.134.30.41113 > 93.158.134.8.http: . ack 1970114951 win 41
00:17:34.605678 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
00:17:34.605711 IP 91.144.134.30.41113 > 93.158.134.8.http: . 48:96(48) ack 1 win 41
00:17:34.644471 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
00:17:34.644611 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
00:17:37.604735 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
00:17:37.643433 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
00:17:37.643567 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
00:17:43.606482 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
00:17:43.645402 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
00:17:43.645548 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
00:17:55.608012 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
00:17:55.647201 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
00:17:55.647335 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
00:18:04.164445 IP 91.144.134.30.35550 > 83.229.210.18.ntp: NTPv4, Client, length 48
00:18:04.201999 IP 83.229.210.18.ntp > 91.144.134.30.35550: NTPv4, Server, length 48
00:18:19.603062 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
00:18:19.642490 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
00:18:19.642616 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
00:18:21.174598 IP 91.144.134.30 > 93.186.231.219: ICMP echo request, id 29218, seq 18945, length 29
00:18:21.227923 IP 93.186.231.219 > 91.144.134.30: ICMP echo reply, id 29218, seq 18945, length 29
00:18:23.020912 IP 91.144.134.30 > 217.106.234.202: ICMP echo request, id 29218, seq 19201, length 32
00:18:23.061512 IP 217.106.234.202 > 91.144.134.30: ICMP echo reply, id 29218, seq 19201, length 32
00:18:31.243438 IP 91.144.134.30 > 74.201.144.26: ICMP echo request, id 29218, seq 19457, length 41
00:18:31.413034 IP 74.201.144.26 > 91.144.134.30: ICMP echo reply, id 29218, seq 19457, length 41

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Rinat Bikov]

30 ноября 2009 г. 22:12 пользователь Владимир Саломатин написал:
> mtu 1492
У меня mtu 1476 на ppp-соединении, работает нормально.

-- 
С уважением, Ринат Биков.

Если хочешь, чтобы человек делал то, что тебе нужно - цени его и
сделай так, чтобы он ценил тебя...

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 585 bytes --]

Владимир Саломатин пишет:
> 
> Хотя просто на статические соединения NAT отрабатывает нормально. Проблема только с pppoe.
> 
Я не очень понял написанное...
Так какой у Вас выход наружу и что отрабатывает нормально?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Владимир Саломатин]

> > 
> Я не очень понял написанное...
> Так какой у Вас выход наружу и что отрабатывает нормально?


Ковчег 5.0. соединение PPPoE
Сам сервер, вообще все хорошо.
squid на локальные тоже шоколадно.

Ставлю NAT для локалки. ya.ru на локальных через NAT пингует.
А большие пакеты не ходят. Браузеры не качают. APT не обновляет.

Раньше такое было на других машинах. Давал команду 
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Все работало. А сейчас нет.
даже на локальной машине уменьшение MTU не спасает.

Причем к другому провайдеру, где  просто eth статический, NAT отрабатывает без проблем.

  

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Anton Gorlov]

МБ пров отлавливает изменение nat методом удара в лоб..то есть по 
изменению ttl?

Владимир Саломатин пишет:
>> Я не очень понял написанное...
>> Так какой у Вас выход наружу и что отрабатывает нормально?
> 
> 
> Ковчег 5.0. соединение PPPoE
> Сам сервер, вообще все хорошо.
> squid на локальные тоже шоколадно.
> 
> Ставлю NAT для локалки. ya.ru на локальных через NAT пингует.
> А большие пакеты не ходят. Браузеры не качают. APT не обновляет.
> 
> Раньше такое было на других машинах. Давал команду 
> iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> 
> Все работало. А сейчас нет.
> даже на локальной машине уменьшение MTU не спасает.
> 
> Причем к другому провайдеру, где  просто eth статический, NAT отрабатывает без проблем.
> 
>   
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Владимир Саломатин]

> МБ пров отлавливает изменение nat методом удара в лоб..то есть по 
> изменению ttl?
> 

Не думаю. Я всего лишь переехал с 4.0 server на Ковчег.
До этого тот же копмп, та же сетевая карта, тот же провайдер и пароли те же.

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1340 bytes --]

Владимир Саломатин пишет:
>> Я не очень понял написанное...
>> Так какой у Вас выход наружу и что отрабатывает нормально?
> 
> 
> Ковчег 5.0. соединение PPPoE
Адрес всегда один и тот же или меняется?
> Сам сервер, вообще все хорошо.
Ну значит само соединение поднимается. Если всё хорошо именно через
него...
> squid на локальные тоже шоколадно.
> 
Ну а как это с PPPoE связанно?
> Ставлю NAT для локалки. ya.ru на локальных через NAT пингует.
Уже хорошо.
> А большие пакеты не ходят. Браузеры не качают. APT не обновляет.
> 
Так уменьшайте mtu. Видать размерчик не тот...
> Раньше такое было на других машинах. Давал команду 
> iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> 
> Все работало. А сейчас нет.
> даже на локальной машине уменьшение MTU не спасает.
> 
> Причем к другому провайдеру, где  просто eth статический, NAT отрабатывает без проблем.
> 
Это на той же машине? И одновременно с PPPoE?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Pavel]

> 192.168.1.2  локальная машина
> 91.144.134.30 внешний IP сервера
> 
> IP 91.144.134.30.41113 > 93.158.134.8.http: S 3177273342:3177273342(0) win 5240 <mss 
> 40,nop,nop,sackOK,nop,wscale 7>
> IP 93.158.134.8.http > 192.168.1.2.41113: S 1970114950:1970114950(0) ack 3177273343 win 8192 <mss 
> 216,nop,wscale 3,sackOK,eol>
1. От чего такое малый MSS (40)? Вроде д.б. что-то около 1424 для PPPoE...
2. Откуда взялся "серый" IP получателя на внешнем интерфейсе?

> 00:17:34.644611 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
> 00:17:37.604735 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
Вообще все смешалось - и "белый" и "серый", каждый шлет что-то свое... У вас прокси
прозрачный?

> 00:17:37.643433 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
> 00:17:37.643567 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
> 00:17:43.606482 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
> 00:17:43.645402 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
> 00:17:43.645548 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
> 00:17:55.608012 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
> 00:17:55.647201 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
> 00:17:55.647335 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
> 00:18:19.603062 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
> 00:18:19.642490 IP 93.158.134.8.http > 192.168.1.2.41113: . ack 97 win 1014
> 00:18:19.642616 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
Ересь какая-то...


-- 
Best regards, Pavel
mail/xmpp: p2n-at-ya-dot-ru

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Владимир Саломатин]

 > 192.168.1.2  локальная машина
> > 91.144.134.30 внешний IP сервера
> > 
> > IP 91.144.134.30.41113 > 93.158.134.8.http: S 3177273342:3177273342(0) win 5240 <mss 
> > 40,nop,nop,sackOK,nop,wscale 7>
> > IP 93.158.134.8.http > 192.168.1.2.41113: S 1970114950:1970114950(0) ack 3177273343 win 8192 <mss 
> > 216,nop,wscale 3,sackOK,eol>
> 1. От чего такое малый MSS (40)? Вроде д.б. что-то около 1424 для PPPoE...
> 2. Откуда взялся "серый" IP получателя на внешнем интерфейсе?
> 
> > 00:17:34.644611 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
> > 00:17:37.604735 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
> Вообще все смешалось - и "белый" и "серый", каждый шлет что-то свое... У вас прокси
> прозрачный?
> 

Я уже сам засомневался. squid.conf  при установке сразу заменил на свой. Думаю, вдруг правда записался где Прозрачный 
прокси.

Сейчас только снес всю систему, переставил Ковчег. Squid вообще стороной обошел, ни прозрачный, ни такой. С чистого 
листа только прописывал правила в NAT. Ночего другого не тогал.
iptables -t nat -A POSTROUTING -o ppp1 -s 192.168.1.0/24 -j MASQUERADE
и такое пробовал
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to XX.XX.XX.XX

Адрес внешний статический.

Очистил NAT 
iptables -t nat -F
iptables -F

Сново правила NAT. Все тоже как было.  На сервере все отлично. А слокальной пробую:
$ tracepath 193.1.193.64
 1:  192.168.1.2 (192.168.1.2)                              0.213ms pmtu 1350
 1:  myseif.myseif.ru (192.168.1.254)                       0.529ms
 1:  myseif.myseif.ru (192.168.1.254)                       0.592ms
 2:  net132.144.91-222.chel.ertelecom.ru (91.144.132.222)   2.834ms asymm  3
 3:  net132.144.91-202.chel.ertelecom.ru (91.144.132.202)   2.376ms

пошли

а даже APT обновить не могу
# apt-get update
16% [Logging in] [Logging in]^C

В это время на сервере:

# tcpdump -n -i ppp1 -l | tee tmp.log
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
01:01:50.920490 IP 91.144.134.30.48828 > 194.107.17.7.ftp: S 1511068115:1511068115(0) win 5240 <mss 
1310,nop,nop,sackOK,nop,wscale 7>
01:01:50.957203 IP 194.107.17.7.ftp > 192.168.1.2.48828: S 457915355:457915355(0) ack 1511068116 win 5840 <mss 
1460,nop,nop,sackOK,nop,wscale 7>
01:01:50.957352 IP 91.144.134.30.48828 > 194.107.17.7.ftp: . ack 457915356 win 41
01:01:50.970309 IP 91.144.134.30.46353 > 193.1.193.64.ftp: S 1507566550:1507566550(0) win 5240 <mss 
1310,nop,nop,sackOK,nop,wscale 7>
01:01:50.996005 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:01:50.996161 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:01:51.083918 IP 193.1.193.64.ftp > 192.168.1.2.46353: S 2667208159:2667208159(0) ack 1507566551 win 5840 <mss 
1460,nop,nop,sackOK,nop,wscale 7>
01:01:51.084066 IP 91.144.134.30.46353 > 193.1.193.64.ftp: . ack 2667208160 win 41
01:01:51.201035 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:01:51.201166 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0
01:01:53.999148 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:01:53.999387 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:01:54.197410 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:01:54.197650 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0
01:01:59.999978 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:02:00.000392 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:02:00.206962 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:02:00.207310 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0


Чудес не бывает, не верю. Но все-таки что это может быть?




 

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Владимир]

> Сейчас только снес всю систему, переставил Ковчег. Squid вообще стороной
>  обошел, ни прозрачный, ни такой. С чистого листа только прописывал правила
>  в NAT. Ночего другого не тогал.

а если только
service iptables restart
iptables -t nat -F
iptables -F
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp1  -j SNAT --to-source 91.144.134.30
iptables -n -L -v
iptables -n -L -v -t nat

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Владимир Саломатин]

> а если только
> service iptables restart
> iptables -t nat -F
> iptables -F
> echo "1" > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -A POSTROUTING -o ppp1  -j SNAT --to-source 91.144.134.30
> iptables -n -L -v
> iptables -n -L -v -t nat


[root@myseif ~]# iptables -n -L -v
Chain INPUT (policy ACCEPT 184K packets, 26M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 1126 packets, 353K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 187K packets, 29M bytes)
 pkts bytes target     prot opt in     out     source               destination
[root@myseif ~]# iptables -n -L -v -t nat
Chain PREROUTING (policy ACCEPT 3244K packets, 3307M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 14896 packets, 1163K bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    76 SNAT       all  --  *      ppp1    0.0.0.0/0            0.0.0.0/0           to:91.144.134.30

Chain OUTPUT (policy ACCEPT 14551 packets, 976K bytes)
 pkts bytes target     prot opt in     out     source               destination


На локальной машине:

[vova@rabst ~]$ tracepath 193.1.193.64
 1:  192.168.1.2 (192.168.1.2)                              1.372ms pmtu 1500
 1:  myseif.myseif.ru (192.168.1.254)                       4.922ms
 1:  myseif.myseif.ru (192.168.1.254)                       0.948ms
 2:  myseif.myseif.ru (192.168.1.254)                       0.736ms pmtu 1476
 2:  net132.144.91-222.chel.ertelecom.ru (91.144.132.222)   3.381ms asymm  3
 3:  net132.144.91-202.chel.ertelecom.ru (91.144.132.202)   2.294ms
 4:  border.chel.ertelecom.ru (91.144.132.73)               2.480ms asymm  5
 5:  net132.144.91-154.chel.ertelecom.ru (91.144.132.154)   4.297ms asymm  6
 6:  90.150.3.201 (90.150.3.201)                            2.838ms
 7:  10.233.10.29 (10.233.10.29)                            3.487ms asymm  9
 8:  10.233.10.13 (10.233.10.13)                            3.801ms asymm  9
 9:  90.150.3.194 (90.150.3.194)                            3.029ms
10:  90.150.3.193 (90.150.3.193)                           35.012ms asymm  9
11:  217.115.84.225 (217.115.84.225)                        3.344ms asymm  7
12:  87.226.142.165 (87.226.142.165)                       36.805ms
13:  xe-1-3-0.lndn-ar1.intl.ip.rostelecom.ru (87.226.133.130) 102.925ms
14:  ldn-b3-link.telia.net (213.248.79.121)                97.846ms asymm 19
15:  ldn-bb1-link.telia.net (80.91.249.171)                97.862ms asymm 18
16:  dln-b3-link.telia.net (80.91.249.134)                108.032ms asymm 19
17:  heanet-ic-126792-dln-b3.c.telia.net (213.248.88.10)  114.248ms asymm 14
18:  te5-1-blanch-sr1.services.hea.net (193.1.236.2)      114.753ms asymm 14
19:  te5-1-blanch-sr1.services.hea.net (193.1.236.2)      114.830ms !H
     Resume: pmtu 1476


При попытках запустить APT

[root@rabst ~]# apt-get update
Err ftp://ftp.altlinux.org noarch release
  Connection timeout
Err ftp://ftp.heanet.ie noarch release
  Connection timeout [IP: 193.1.193.64 21]
Err ftp://ftp.altlinux.org i586 release
  Connection timeout
Err ftp://ftp.heanet.ie i586 release
  Connection timeout [IP: 193.1.193.64 21]
Failed to fetch ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.1/branch/noarch/base/release  Connection timeout
Failed to fetch ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.1/branch/i586/base/release  Connection timeout
Failed to fetch ftp://ftp.heanet.ie/mirrors/ftp.altlinux.org/4.1/branch/noarch/base/release  Connection timeout [IP: 
193.1.193.64 21]
Failed to fetch ftp://ftp.heanet.ie/mirrors/ftp.altlinux.org/4.1/branch/i586/base/release  Connection timeout [IP: 
193.1.193.64 21]
Reading Package Lists... Done
Building Dependency Tree... Done
W: Release files for some repositories could not be retrieved or authenticated. Such repositories are being ignored.
W: You may want to run apt-get update to correct these problems
E: Some index files failed to download, they have been ignored, or old ones used instead.

А в это время на сервере:


[root@myseif ~]# tcpdump -n -i ppp1 -l | tee tmp.log
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
08:35:02.388481 IP 91.144.134.30.56317 > 194.107.17.7.ftp: S 1001436989:1001436989(0) win 5240 <mss 
1310,nop,nop,sackOK,nop,wscale 7>
08:35:02.424449 IP 91.144.134.30.58558 > 193.1.193.64.ftp: S 1002196311:1002196311(0) win 5240 <mss 
1310,nop,nop,sackOK,nop,wscale 7>
08:35:04.224451 IP 222.122.205.2.53645 > 91.144.134.30.ssh: F 3860845055:3860845055(0) ack 2372331913 win 46
08:35:04.224493 IP 91.144.134.30.ssh > 222.122.205.2.53645: R 2372331913:2372331913(0) win 0
08:35:05.385524 IP 91.144.134.30.56317 > 194.107.17.7.ftp: S 1001436989:1001436989(0) win 5240 <mss 
1310,nop,nop,sackOK,nop,wscale 7>
08:35:05.420765 IP 194.107.17.7.ftp > 192.168.1.2.56317: S 3391405290:3391405290(0) ack 1001436990 win 5840 <mss 
1460,nop,nop,sackOK,nop,wscale 7>
08:35:05.422497 IP 91.144.134.30.58558 > 193.1.193.64.ftp: S 1002196311:1002196311(0) win 5240 <mss 
1310,nop,nop,sackOK,nop,wscale 7>
08:35:05.425685 IP 91.144.134.30.56317 > 194.107.17.7.ftp: . ack 3391405291 win 41
08:35:05.463661 IP 194.107.17.7.ftp > 192.168.1.2.56317: P 1:66(65) ack 1 win 46
08:35:05.463942 IP 192.168.1.2.56317 > 194.107.17.7.ftp: R 1001436990:1001436990(0) win 0
08:35:05.535541 IP 193.1.193.64.ftp > 192.168.1.2.58558: S 3880214425:3880214425(0) ack 1002196312 win 5840 <mss 
1460,nop,nop,sackOK,nop,wscale 7>
08:35:05.536005 IP 91.144.134.30.58558 > 193.1.193.64.ftp: . ack 3880214426 win 41
08:35:05.651931 IP 193.1.193.64.ftp > 192.168.1.2.58558: P 1:7(6) ack 1 win 46
08:35:05.652212 IP 192.168.1.2.58558 > 193.1.193.64.ftp: R 1002196312:1002196312(0) win 0
08:35:08.467032 IP 194.107.17.7.ftp > 192.168.1.2.56317: P 1:66(65) ack 1 win 46
08:35:08.467339 IP 192.168.1.2.56317 > 194.107.17.7.ftp: R 1001436990:1001436990(0) win 0
08:35:08.647394 IP 193.1.193.64.ftp > 192.168.1.2.58558: P 1:7(6) ack 1 win 46
08:35:08.647870 IP 192.168.1.2.58558 > 193.1.193.64.ftp: R 1002196312:1002196312(0) win 0
08:35:13.484657 IP 91.144.134.30.ssh > 222.122.205.2.52976: F 2292946611:2292946611(0) ack 3847923446 win 62
08:35:13.859870 IP 222.122.205.2.52976 > 91.144.134.30.ssh: R 3847923446:3847923446(0) win 0
08:35:14.467028 IP 194.107.17.7.ftp > 192.168.1.2.56317: P 1:66(65) ack 1 win 46
08:35:14.467342 IP 192.168.1.2.56317 > 194.107.17.7.ftp: R 1001436990:1001436990(0) win 0
08:35:14.647322 IP 193.1.193.64.ftp > 192.168.1.2.58558: P 1:7(6) ack 1 win 46
08:35:14.647608 IP 192.168.1.2.58558 > 193.1.193.64.ftp: R 1002196312:1002196312(0) win 0


 

Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe

[Vladimir V Kutyavin]

30.11.2009 22:12, Владимир Саломатин пишет:
> mtu 1492
> Эффект в целом точно такой же как бывает, когда MTU меньше.
>   
icmp не глушите?
> iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> Не срабатывает.
>   
В качестве крайней меры попробуйте так:
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
--set-mss 256