From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: <4alt@mail.ru> X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-0.2 required=5.0 tests=BAYES_00,FUZZY_XPILL, RDNS_NONE,SPF_SOFTFAIL autolearn=no version=3.2.5 Date: Mon, 18 Jun 2012 19:46:30 +0300 From: Dank Bagryantsev <4alt@mail.ru> X-Priority: 3 (Normal) Message-ID: <508189676.20120618194630@lugaport.net> To: ALT Linux sysadmins' discussion In-Reply-To: <4FDEDA5B.4040304@kemsu.ru> References: <4FCC7A9F.7030807@kemsu.ru> <201206041433.55314.a_s_y@sama.ru> <4FCC900E.6040203@kemsu.ru> <201206041453.19653.a_s_y@sama.ru> <4FCC94F4.2020807@kemsu.ru> <14010652773.20120604185417@lugaport.net> <4FCD7842.9080107@kemsu.ru> <182916766.20120605111619@lugaport.net> <4FDEDA5B.4040304@kemsu.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?4szPy8nSz9fLwSBJUA==?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: Dank Bagryantsev <4alt@mail.ru>, ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 18 Jun 2012 16:46:58 -0000 Archived-At: List-Archive: Здравствуйте. Вы писали 18 июня 2012 г., 10:35:55: R> 05.06.2012 15:16, Dank Bagryantsev пишет: >> Я ведь не зря сказал о tcpdump'ах на роутере(ах). >> Судя по traceroute, то от проблемного компьютера до сервера должно быть 2 роутера, так? >> Пока видно только то, что с компьютера пакеты куда-то якобы отсылаются. R> Возвращаясь к проблеме. tcpdump'а на роутерах нет (там вообще крайне R> урезанная bsd-фигня от фсб), проверить не получается. В этом случае, есть 3 варианта, как минимум : 1. Если у вас коммутаторы управляемые, то на многих из них есть режим "зеркалирования" трафика порта на другой порт (у разных производителей этот режим называется по разному). Тогда настраиваем, подключаем к порту, на который дублируется трафик, свой ноутбук/компьютер и смотрим на пакеты в tcpdump или другом анализаторе трафика. 2. Если вдруг есть хаб/концентратор (именно хаб, а не свитч/коммутатор), то вставляем его в разрыв между роутерами и/или компьютерами в нужном месте, и тоже смотрим. 3. Если нет, ни 1, ни 2, то можно попробовать перевести какой-нибудь дешевый коммутатор в режим хаба, например перенасыщением памяти коммутатора, содержащей таблицу коммутации. И далее уже п.2 R> Но что интересно: я включил логирование в iptables, и если я делаю пинг с R> клиента на сервер, то в логах значится, что пакет принят и послан R> возврат. А раз tcpdump на сервере показывает только пришедший R> icmp-пакет, выходит, что возвращаемый пакет убивается прямо на сервере R> уже ПОСЛЕ файрвола. Куда копать, вообще непонятно. Проверьте в логе iptables MAC-адреса на входящих пакетах и исходящих. Т.е. на входящих пакетах у вас SOURCE MAC должен быть MAC-ом ближайшего к серверу роутера, а DESTINATION MAC должен быть MAC-ом сетевой карты, на которой висит tcpdump. Соответственно, на исходящих пакетах должно быть наоборот. (я предполагаю, что пакеты у вас должны ходить в прямом и обратном направлении по одному и тому же маршруту). Если нет, то выясняйте куда на самом деле уходят ответные пакеты пинга. Возможно они просто уходят через другой интерфейс сервера (повесьте на всех интерфейсах по tcpdump'у). -- С уважением, Dank