Перестал ходить TCP и UDP трафик из сети наружу.

0

1

Основной комп-шлюз (192.168.13.1) подключен одной сетивухой к провайдеру. Другой к роутеру (192.168.13.2) который раздает WiFi на домашние устройства.

ifconfig:

> ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:50:22:b9:3d:06  
          inet addr:192.168.13.1  Bcast:192.168.13.255  Mask:255.255.255.0
          inet6 addr: fe80::250:22ff:feb9:3d06/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4024 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3685 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:360931 (360.9 KB)  TX bytes:1141956 (1.1 MB)

eth1      Link encap:Ethernet  HWaddr d4:3d:7e:35:2c:d1  
          inet6 addr: fe80::d63d:7eff:fe35:2cd1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:16108 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13882 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:13809102 (13.8 MB)  TX bytes:1585024 (1.5 MB)

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:15066 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15066 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:2141258 (2.1 MB)  TX bytes:2141258 (2.1 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:94.77.XXX.XXX  P-t-P:80.80.111.79  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:12282 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13531 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:12762824 (12.7 MB)  TX bytes:1242865 (1.2 MB)

на шлюзе поднят privoxy в режиме прозрачного прокси

Правила iptables:

# Generated by iptables-save v1.4.21 on Sat Dec 26 20:12:59 2015
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
COMMIT
# Completed on Sat Dec 26 20:12:59 2015
# Generated by iptables-save v1.4.21 on Sat Dec 26 20:12:59 2015
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:256]
:BAD_PACKETS - [0:0]
:ICMP_PACKETS - [0:0]
:SAFETY_TRACE - [0:0]
:TCP_PACKETS - [0:0]
:UDP_PACKETS - [0:0]
-A INPUT -j SAFETY_TRACE 
-A INPUT -j BAD_PACKETS 
-A INPUT -p tcp -j TCP_PACKETS 
-A INPUT -p udp -j UDP_PACKETS 
-A INPUT -p icmp -j ICMP_PACKETS 
-A BAD_PACKETS -m conntrack --ctstate INVALID -j DROP 
-A BAD_PACKETS -f -j DROP 
-A BAD_PACKETS -s 127.0.0.0/8 ! -i lo -j DROP 
-A BAD_PACKETS -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "iptabler:ip spoofing: " 
-A BAD_PACKETS -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset 
-A BAD_PACKETS -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "iptabler:new not syn: " 
-A BAD_PACKETS -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP 
-A BAD_PACKETS -p udp -m udp --dport 113 -m limit --limit 3/min -j LOG --log-prefix "iptabler:udp storm: " 
-A BAD_PACKETS -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable 
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 4 -j ACCEPT 
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 0 -j ACCEPT 
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 12 -j ACCEPT 
-A SAFETY_TRACE -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A SAFETY_TRACE -i lo -j ACCEPT 
-A SAFETY_TRACE -s 192.168.13.0/24 -i eth0 -j ACCEPT 
-A TCP_PACKETS -p tcp -m tcp --dport 3417 -j ACCEPT 
-A TCP_PACKETS -p tcp -m tcp --dport 18000 -j ACCEPT 
-A UDP_PACKETS -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT 
-A UDP_PACKETS -p udp -m udp --dport 123 -j ACCEPT 
COMMIT
# Completed on Sat Dec 26 20:12:59 2015
# Generated by iptables-save v1.4.21 on Sat Dec 26 20:12:59 2015
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.13.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.13.1:8118 
-A OUTPUT -p tcp -m owner --uid-owner 119 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.13.1:8118 
-A POSTROUTING -s 192.168.13.0/24 -o ppp0 -j SNAT --to-source 94.77.XXX.XXX 
COMMIT
# Completed on Sat Dec 26 20:12:59 2015

Внезапно перестал работать интернет на ноуте. Первым же делом пинганул гугл - все вроде в порядке, пинг идет. Подумал было на privoxy - он иногда чудит. Перезапустил. Никакого эффекта. Потом перегрузил все - и шлюз и ноут и роутер. Ничего.

Запустил Airdroid на телефоне - все работает - ноут спокойно к нему подключается. Из чего заключил что дело не в роутере. Для надежности попробовал открыть с ноута интерфейс CUPS шлюза. Работает!

Но nslookup обламывается:

nslookup mail.ru
;; connection timed out; no servers could be reached

~~Т.е. дело очевидно не в privoxy - UDP он-то точно не проксирует. Да и https работал бы.~~ Но нет. Из сети наружу идут только ping'и. Т.е. ходит только ICMP. В то же время на самом шлюзе все отлично. Интернет пашет на ура.

В чем может быть проблема?

UPD:
А чо это не в privoxy - вполне же может быть в нем. Но я его конфиг не менял. Да и трафик шлюза тоже через него идет. Но если вдруг в нем, то как он отличает локальный трафик от не локального? Что ему может не нравится?

Сейчас попробовал - config.ptivoxy.org тоже не открывается нифига из сети.

Ссылка

←	не могу собрать xtables-addons-source в дебиан 8.2.

Автонастройка exim4

→

DNS прова проверте

aeX1pu2b ★
(26.12.15 20:32:18 MSK)

Ответ на: комментарий от aeX1pu2b 26.12.15 20:32:18 MSK

Не, забыл написать. У устройств в сети в качестве DNS'ов DNS яндекса и гугла. Это первое.

Второе - по IP тоже странички не открываются. Например 213.180.204.3 - мертвый. Да и на шлюзе, как говорил, все работает.

Suntechnic ★★★★★
(26.12.15 20:34:25 MSK) автор топика
Последнее исправление: Suntechnic 26.12.15 20:34:51 MSK (всего исправлений: 1)

Ответ на: комментарий от Suntechnic 26.12.15 20:34:25 MSK

с шлюза curl ya.ru

проверте отдаст страничку или нет

aeX1pu2b ★
(26.12.15 20:46:50 MSK)

Ответ на: комментарий от Suntechnic 26.12.15 20:34:25 MSK

nc -v ya.ru 80

aeX1pu2b ★
(26.12.15 20:50:19 MSK)

Ответ на: комментарий от aeX1pu2b 26.12.15 20:46:50 MSK

А зачем так сложно? И что должно произойти? В браузере открывается ;)

Suntechnic ★★★★★
(26.12.15 20:51:59 MSK) автор топика

Ссылка

Ответ на: комментарий от aeX1pu2b 26.12.15 20:50:19 MSK

Открывает. Проблема в том, что заработало. Я ничего не делал. Вообще ничего. Последнее сообщение отправил забыв что подключен через эту сеть, а не через мобильную (переподключился чтобы nc -v ya.ru 80 ) попробовать в консоле.

Странная хрень.

Suntechnic ★★★★★
(26.12.15 20:54:13 MSK) автор топика

Ответ на: комментарий от Suntechnic 26.12.15 20:54:13 MSK

:) скорее всего прову привет, а почему с gw - потому что никаких промежуточных точек локалки нет - если с gw работает - проблема в локалке - нет - у прова

aeX1pu2b ★
(26.12.15 21:04:13 MSK)

Ссылка

28 февраля 2017 г.

Up. Опять эта же фигня. Не работает. На этот раз и icmp не ходит. Все вообще глухо. Как убедится что проблема не у меня? Или у меня.

Suntechnic ★★★★★
(28.02.17 23:46:54 MSK) автор топика

Ссылка

может у тебя кто-то сбросил net.ipv4.ip_forward ?

anonymous
(01.03.17 00:23:33 MSK)

ну и покидай трассы до хостов, можешь и udp трассы, хоть с 53 портом

anonymous
(01.03.17 00:25:34 MSK)

Ответ на: комментарий от anonymous 01.03.17 00:23:33 MSK

может у тебя кто-то сбросил net.ipv4.ip_forward ?

Да вроде нет:

> cat /proc/sys/net/ipv4/ip_forward
1

Да и как так-то?

Suntechnic ★★★★★
(01.03.17 00:46:13 MSK) автор топика

Ответ на: комментарий от Suntechnic 01.03.17 00:46:13 MSK

Не читай, сразу отвечай. tcpdump что говорит ?

anc ★★★★★
(01.03.17 00:54:24 MSK)

Ответ на: комментарий от anonymous 01.03.17 00:25:34 MSK

> tracepath 8.8.8.8
 1?: [LOCALHOST]                                         pmtu 1280
 1:  192.168.13.1                                          1.973ms 
 1:  192.168.13.1                                          1.940ms 
 2:  no reply
 3:  no reply
 4:  no reply

Это значит проблема у меня? Как ее диагностировать? Даже куда рыть не знаю...

Suntechnic ★★★★★
(01.03.17 00:59:58 MSK) автор топика

Ответ на: комментарий от anc 01.03.17 00:54:24 MSK

tcpdump что говорит ?

На шлюзе то? А что он может сказать? До tcp дело не доходит. Молчит он. Пустота.

Suntechnic ★★★★★
(01.03.17 01:09:33 MSK) автор топика

Ответ на: комментарий от Suntechnic 01.03.17 00:59:58 MSK

маршруты? может по pppoe когда какие прилетают
iptables-save

anonymous
(01.03.17 01:51:33 MSK)

Ответ на: комментарий от anonymous 01.03.17 01:51:33 MSK

статистику по интерфейсу в мир

anonymous
(01.03.17 01:53:18 MSK)

Ответ на: комментарий от anonymous 01.03.17 01:53:18 MSK

логи pppoe демона

anonymous
(01.03.17 01:53:58 MSK)

Ответ на: комментарий от anonymous 01.03.17 01:53:58 MSK

статистику по интерфейсу в мир

Можно подбробнее как ее собрать?

логи pppoe демона

Где их искать? В /var/log ничего такого нет.

Suntechnic ★★★★★
(01.03.17 02:55:11 MSK) автор топика

Ответ на: комментарий от Suntechnic 01.03.17 02:55:11 MSK

как собрать

да хоть обычный ip -s l show dev имя интерфейса

где искать

хз, может в syslog'е

anonymous
(01.03.17 08:49:00 MSK)

Сегодня частично заработало - вот лор пашет например. Гугл, яндекс работают. http://joxi.ru например - нет. Вобщем все признаки проблем с MTU обычных для pppoe, но:
1 Вчера не работало ничего - даже ssh.
2 У меня -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
3 Я в настройках этого ноута ( с которого пробую ) пробовал MTU даже в 800 выставлять - не пашет.

Suntechnic ★★★★★
(01.03.17 10:19:10 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 01.03.17 08:49:00 MSK

да хоть обычный ip -s l show dev имя интерфейса

$ ip -s l show dev ppp0
5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 3
    link/ppp 
    RX: bytes  packets  errors  dropped overrun mcast   
    54524598   192407   0       0       0       0       
    TX: bytes  packets  errors  dropped carrier collsns 
    9592262    113161   0       0       0       0

хз, может в syslog'е

Ничего на эту тему.

Suntechnic ★★★★★
(01.03.17 10:25:08 MSK) автор топика

Ссылка

Подключился к «соседскому» вайфаю на шлюзе - все работает. Работает на ура. Т.е. проблема не в форвардинге или чем-то таком. Вообще в тупике...

Suntechnic ★★★★★
(01.03.17 10:54:21 MSK) автор топика

Ответ на: комментарий от Suntechnic 01.03.17 10:54:21 MSK

Может быть такое, что на стороне провайдера вырезается ICMP типа Destination is unreachable и в итоге «я не знаю» что пакет нужно обрезать уменьшив MTU и до какого размера? Как это можно проверить?

Suntechnic ★★★★★
(01.03.17 12:44:51 MSK) автор топика

Ответ на: комментарий от Suntechnic 01.03.17 01:09:33 MSK

На шлюзе то? А что он может сказать?

То что пакет от клиента прилетел - улетел в инет - прилетел ответ из инета - улетел на клиента, как-то так.

anc ★★★★★
(01.03.17 16:51:47 MSK)

Ссылка

Ответ на: комментарий от Suntechnic 01.03.17 12:44:51 MSK

и в итоге «я не знаю» что пакет нужно обрезать уменьшив MTU и до какого размера?

1. tracepath
2. подобрать пингом

anc ★★★★★
(01.03.17 17:27:41 MSK)

Ответ на: комментарий от anc 01.03.17 17:27:41 MSK

1. tracepath

> tracepath 8.8.8.8
 1?: [LOCALHOST]                                         pmtu 1280
 1:  192.168.13.1                                          1.830ms 
 1:  192.168.13.1                                          1.831ms 
 2:  no reply
 3:  no reply

Обламываются как бы на шлюзе. Хотя полдня работало сегодя. Но провайдер точно что-то крутит - у меня IP поменялся например с внешнего на 10.чототам.

2. подобрать пингом

Так не проходит же. Какой не поставь mtu (((

Кстати видно что tracepath mtu подобрал в 1280, но все равно тишина.

Suntechnic ★★★★★
(01.03.17 22:53:26 MSK) автор топика

Ответ на: комментарий от Suntechnic 01.03.17 22:53:26 MSK

Может голову прову для начала «полюбить»? Ведь если вы ничего не меняли у себя и такое «разнообразие» пошло, явно в его сторону надо смотреть.

anc ★★★★★
(01.03.17 23:39:36 MSK)

Ответ на: комментарий от Suntechnic 01.03.17 22:53:26 MSK

2. подобрать пингом
Так не проходит же. Какой не поставь mtu (((

Я не про изменения в локальном mtu, а про размер пакета. Что-то типа

ping -M do -s 1500 ya.ru

anc ★★★★★
(01.03.17 23:54:24 MSK)

Ссылка

Ответ на: комментарий от anc 01.03.17 23:39:36 MSK

Да, оказывается пров что-то там наменял. В частности выдал мне внутренний IP вместо внешки. Поругался - все работает. Даже IP выдали белый. Правда пинг до 8.8.8.8 133 ms стал.

Suntechnic ★★★★★
(03.03.17 21:51:33 MSK) автор топика

Ответ на: комментарий от Suntechnic 03.03.17 21:51:33 MSK

Правда пинг до 8.8.8.8 133 ms стал.

Ну и «любим» голову прову дальше. :) Во всяком случае я бы по другому не поступал.

anc ★★★★★
(03.03.17 23:44:00 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	не могу собрать xtables-addons-source в дебиан 8.2.

Admin

Автонастройка exim4

→

Похожие темы