Загадка для знатоков. Firewall

0

0

Значит происходит такая загадочная штука.

Есть firewall F и сетка за ним.
На F: слака,iptables
Все правила в iptables полный ACCEPT
Значит хотим замаскарадить некую тачку X из сети:
/usr/sbin/iptables -t nat -A POSTROUTING -s ip_X -j MASQUERADE

Казалось бы все заработало работает.
Пинги с ip_X наружу идут без проблем.
А вот с более мощьными пакетыми затык. Т.е. большие ответы не могут возвратится на локальную тачку.
Например wget конектится а вот конкретно html не приходит уже.
Так и сдругими тулзами.(конект происходит а вот получить данные не получается)
Но при этом я могу их зааплоадить или запостить.

Та же штука наблудается если пронатить внутренний сервер. Он все отдает нормально, но вот когда дело доходит до постов побольше то все, запор.

Вопрос.
Что за хрень?

Ссылка

←	проблма с SARG

Опрос: ядро с kernel.org vs kernel*.rpm

→

Возможно это связано с фрагментацией пакетов на IP уровне.

anonymous
(20.10.03 15:59:00 MSD)

Ответ на: комментарий от anonymous 20.10.03 15:59:00 MSD

Это ничего не проясняет.
Нужно как-то пофиксить.
Все остальное на F работает (сендмайл, апач и тд).

;(

main_prog ★
(20.10.03 16:06:11 MSD) автор топика

Ссылка

Тогда вот что, посмотри CONFIG_IP_NF_TARGET_TCPMSS параметр для сборки ядра. Похоже это твой случай

anonymous
(20.10.03 16:27:10 MSD)

Ответ на: комментарий от anonymous 20.10.03 16:27:10 MSD

Нет
Не мой
во первых CONFIG_IP_NF_TARGET_TCPMSS=y
во вторых пров не блокирет ICMP Fragmentation Needed пакеты
ДО этого F был фревый все пахало, винт сдох, поставили слаку.

main_prog ★
(20.10.03 17:35:43 MSD) автор топика

Ответ на: комментарий от main_prog 20.10.03 17:35:43 MSD

У меня был похожий случай, на метеринке MSI-6178. Сплошные проблемы при связи по сети на сетевой карточке Netgear FA-310, причем и под RedHat 7,1 и под виндами. Скачал с сайта, перепрошил биос - все заработало нормально. Может аналогичный случай?

tutu ★
(20.10.03 18:39:58 MSD)

Ответ на: комментарий от tutu 20.10.03 18:39:58 MSD

А может просто он не сбросил таблицы прероутинга и построутинга или QOS флаги не верно стоят :-))

anonymous
(20.10.03 23:56:37 MSD)

Ответ на: комментарий от anonymous 20.10.03 23:56:37 MSD

Проблема с большими пакетами наблюдалась при использовании VLANов. Точнее 802.11Q тагирования.
То бишь был свич с поддержкой VLANов и 802.11Q. Каждый клиент подключался к своему нетагированному порту в свой VLAN. Роутер подрубался к порту, куда все эти VLANы вылазили тагированными по 802.11Q. Ядро было 2.4.18, включалась (экспериментальная) поддержка этого самого 802.11Q.
Так вот, с непатченными драйевами для CNETовских и 3COMовских сетевушек (dmfe и 3c5x) наблюдалась та же самая картина. То бишь даже пинг пакетами более где-то 1460 байт просто затыкался намертво.
Мораль, смотри дрова сетевух. Firewall может здесь непричем.

Gelin ★
(21.10.03 13:07:06 MSD)

Ответ на: комментарий от Gelin 21.10.03 13:07:06 MSD

Re: Загадка для знатоков. Firewall

Насчет QoS и preroutinga это "свежая мысль".
Спасибо

Сетевуху пока не пробовал менять. Но меня что останавливает так это то что лакальные тачки черз сервак прекрасно работают. Почту снимают и тд и тп. Причем если делаешь Snat на внутренний Web то они тож с ним нормально работают через firewall.
Но для очистки совести может попробую. Хотя врятли это оно.
Да сетевухa 3Com. Но и свич 3Com.

10nx

main_prog ★
(21.10.03 17:37:59 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	проблма с SARG

Admin

Опрос: ядро с kernel.org vs kernel*.rpm

→

Re: Загадка для знатоков. Firewall

Похожие темы