LINUX.ORG.RU
ФорумAdmin

Странный трейс на виртуалке Xen

 ,


0

2

На хосте (бридж):

[root@host ~]# traceroute -I 1.2.3.4
traceroute to 1.2.3.4 (1.2.3.4), 30 hops max, 40 byte packets
 1  2.2.2.2 (2.2.2.2)  0.585 ms  0.565 ms  0.563 ms
 2  3.3.3.3 (3.3.3.3)  1.333 ms  1.573 ms  1.575 ms
 3  5.5.5.5 (5.5.5.5)  3.514 ms  3.497 ms  3.509 ms
 4  1.2.3.4 (1.2.3.4)  33.384 ms  33.321 ms  33.344 ms
[root@host ~]#
На виртуальном хосте:
root@vhost:/# traceroute -I 1.2.3.4 -n
traceroute to 1.2.3.4 (1.2.3.4), 30 hops max, 60 byte packets
 1  2.2.2.2  0.621 ms  0.611 ms  0.606 ms
 2  3.3.3.3  1.333 ms  1.602 ms  1.602 ms
 3  5.5.5.5  1.815 ms  1.815 ms  1.809 ms
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  1.2.3.4  33.586 ms  33.308 ms  33.345 ms
root@vhost:/#
В чем тут может быть проблема?



Последнее исправление: loge (всего исправлений: 1)

Эффект стабильный ? сравни с «traceroute -T 1.2.3.4 -n»

Возможно это кривая фильтрация iptables на бридже.

sysctl net.bridge.bridge-nf-call-iptables что говорит?

vel ★★★★★
()
Ответ на: комментарий от snaf

Тут их две. Первая (делаем трейс с гипервизора) в том что хопа только 4 - это невозможно. Вторая (делаем трейс с виртуалки) в том что ответы с 4 по 8 прыжки не приходят. Я не уверен на 100% что проблема именно в виртуалке (есть сеть, один сервер с ксен. без ксена нету), но может быть кто-то еще что-то подскажет.

На гипервизоре фаерволы отключены. На виртуалке тоже. Единственное что был по умолчанию включен бридж на гипервизоре, и работал ebtables. Политики в ACCEPT.

На гипервизоре:

net.ipv4.ip_forward = 0
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-ip6tables = 0

loge
() автор топика
Последнее исправление: loge (всего исправлений: 1)
Ответ на: комментарий от loge

Это хорошо. Значит iptables не смотрит пакеты брижда.

tcpdump в помощь. Смотри что происходит на интерфейсах.

vel ★★★★★
()
Ответ на: комментарий от vel

На виртуалке делаем:

traceroute -I 1.2.3.4 -n
По дампу (на гипервизоре смотрю, eth0 и на интерфейсе бриджа тоже самое) видно что уходят запросы «ICMP echo request» в количестве 27 штук (seq 1 - seq 27). Приходит «ICMP time exceeded in-transit» от 4х хостов из 9.

Я может быть туплю. Смотреть в этом случае ICMP трафик? Опция -I для трейса.

А по первой проблеме есть какие-то мысли? Почему оно не рисует таймауты?

loge
() автор топика
Ответ на: комментарий от loge

«tcpdump -ni eth0 -s0 -w trace.pcap icmp»

а дальше в спокойной обстановке «tcpdump -nvvr trace.pcap»

Кстати, я бы трассировал не icmp, а udp/tcp.

«Проблема» может быть где-то по пути и выявить ее не просто.

vel ★★★★★
()
Ответ на: комментарий от vel

Проблема была у прова. В чем конкретно не знаю. Либо нулл роут на сеть, либо фильтр, или может что-то другое..

По вервой проблеме, где 4 хопа, я так и не понял. Может версия traceroute такая, но сейчас показывает как надо.

Все спасибо за ответы!

loge
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.