From: "Владимир Саломатин" <salomatin.ru@mail.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Ковчег 5.0 - странно работает NAT через pppoe
Date: Tue, 01 Dec 2009 23:03:27 +0300
Message-ID: <E1NFYwZ-0003gm-00.salomatin-ru-mail-ru@f271.mail.ru> (raw)
In-Reply-To: <hf3cft$5dt$1@ger.gmane.org>
> 192.168.1.2 локальная машина
> > 91.144.134.30 внешний IP сервера
> >
> > IP 91.144.134.30.41113 > 93.158.134.8.http: S 3177273342:3177273342(0) win 5240 <mss
> > 40,nop,nop,sackOK,nop,wscale 7>
> > IP 93.158.134.8.http > 192.168.1.2.41113: S 1970114950:1970114950(0) ack 3177273343 win 8192 <mss
> > 216,nop,wscale 3,sackOK,eol>
> 1. От чего такое малый MSS (40)? Вроде д.б. что-то около 1424 для PPPoE...
> 2. Откуда взялся "серый" IP получателя на внешнем интерфейсе?
>
> > 00:17:34.644611 IP 192.168.1.2.41113 > 93.158.134.8.http: R 3177273439:3177273439(0) win 0
> > 00:17:37.604735 IP 91.144.134.30.41113 > 93.158.134.8.http: . 0:48(48) ack 1 win 41
> Вообще все смешалось - и "белый" и "серый", каждый шлет что-то свое... У вас прокси
> прозрачный?
>
Я уже сам засомневался. squid.conf при установке сразу заменил на свой. Думаю, вдруг правда записался где Прозрачный
прокси.
Сейчас только снес всю систему, переставил Ковчег. Squid вообще стороной обошел, ни прозрачный, ни такой. С чистого
листа только прописывал правила в NAT. Ночего другого не тогал.
iptables -t nat -A POSTROUTING -o ppp1 -s 192.168.1.0/24 -j MASQUERADE
и такое пробовал
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to XX.XX.XX.XX
Адрес внешний статический.
Очистил NAT
iptables -t nat -F
iptables -F
Сново правила NAT. Все тоже как было. На сервере все отлично. А слокальной пробую:
$ tracepath 193.1.193.64
1: 192.168.1.2 (192.168.1.2) 0.213ms pmtu 1350
1: myseif.myseif.ru (192.168.1.254) 0.529ms
1: myseif.myseif.ru (192.168.1.254) 0.592ms
2: net132.144.91-222.chel.ertelecom.ru (91.144.132.222) 2.834ms asymm 3
3: net132.144.91-202.chel.ertelecom.ru (91.144.132.202) 2.376ms
пошли
а даже APT обновить не могу
# apt-get update
16% [Logging in] [Logging in]^C
В это время на сервере:
# tcpdump -n -i ppp1 -l | tee tmp.log
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp1, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
01:01:50.920490 IP 91.144.134.30.48828 > 194.107.17.7.ftp: S 1511068115:1511068115(0) win 5240 <mss
1310,nop,nop,sackOK,nop,wscale 7>
01:01:50.957203 IP 194.107.17.7.ftp > 192.168.1.2.48828: S 457915355:457915355(0) ack 1511068116 win 5840 <mss
1460,nop,nop,sackOK,nop,wscale 7>
01:01:50.957352 IP 91.144.134.30.48828 > 194.107.17.7.ftp: . ack 457915356 win 41
01:01:50.970309 IP 91.144.134.30.46353 > 193.1.193.64.ftp: S 1507566550:1507566550(0) win 5240 <mss
1310,nop,nop,sackOK,nop,wscale 7>
01:01:50.996005 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:01:50.996161 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:01:51.083918 IP 193.1.193.64.ftp > 192.168.1.2.46353: S 2667208159:2667208159(0) ack 1507566551 win 5840 <mss
1460,nop,nop,sackOK,nop,wscale 7>
01:01:51.084066 IP 91.144.134.30.46353 > 193.1.193.64.ftp: . ack 2667208160 win 41
01:01:51.201035 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:01:51.201166 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0
01:01:53.999148 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:01:53.999387 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:01:54.197410 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:01:54.197650 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0
01:01:59.999978 IP 194.107.17.7.ftp > 192.168.1.2.48828: P 1:66(65) ack 1 win 46
01:02:00.000392 IP 192.168.1.2.48828 > 194.107.17.7.ftp: R 1511068116:1511068116(0) win 0
01:02:00.206962 IP 193.1.193.64.ftp > 192.168.1.2.46353: P 1:7(6) ack 1 win 46
01:02:00.207310 IP 192.168.1.2.46353 > 193.1.193.64.ftp: R 1507566551:1507566551(0) win 0
Чудес не бывает, не верю. Но все-таки что это может быть?
next prev parent reply other threads:[~2009-12-01 20:03 UTC|newest]
Thread overview: 14+ messages / expand[flat|nested] mbox.gz Atom feed top
2009-11-30 18:12 Владимир Саломатин
2009-11-30 18:23 ` Michael Shigorin
2009-11-30 19:23 ` Владимир Саломатин
2009-12-01 15:24 ` Pavel
2009-12-01 20:03 ` Владимир Саломатин [this message]
2009-12-01 21:12 ` Владимир
2009-12-02 3:38 ` Владимир Саломатин
2009-12-01 9:57 ` Rinat Bikov
2009-12-01 11:34 ` Andrii Dobrovol`s`kii
2009-12-01 11:48 ` Владимир Саломатин
2009-12-01 12:20 ` Anton Gorlov
2009-12-01 12:25 ` Владимир Саломатин
2009-12-01 13:01 ` Andrii Dobrovol`s`kii
2009-12-04 9:06 ` Vladimir V Kutyavin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=E1NFYwZ-0003gm-00.salomatin-ru-mail-ru@f271.mail.ru \
--to=salomatin.ru@mail.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git