LINUX.ORG.RU
ФорумAdmin

Ubuntu не отвечает на ping только с одного компа. Счего начать? См. tcpdump

 ,


0

1

Есть сервер на Ubuntu, его все видят и с ним работают из разных сетей. Но есть машна, которую он «игнорирует». Точнее не машины, а ip т.к. если его поменять, то все будет нормально.

Подскажите, как начать расследование, что бы это лечить, а не переставлять ip на клиенте или сервер?

Вот, что видится на сервере от ping с «больной» машины:

root@ubuntu-devcenter2:~# sudo tcpdump src host 192.168.8.39 or dst host 192.168.8.39
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:10:42.453618 IP 192.168.8.39 > redmine.cynteka.com: ICMP echo request, id 1, seq 22, length 40
12:10:47.065063 IP 192.168.8.39 > redmine.cynteka.com: ICMP echo request, id 1, seq 23, length 40
12:10:52.065737 IP 192.168.8.39 > redmine.cynteka.com: ICMP echo request, id 1, seq 24, length 40
12:10:57.065730 IP 192.168.8.39 > redmine.cynteka.com: ICMP echo request, id 1, seq 25, length 40

Вот, что видится на сервере от ping с нормальной машины:

(пример 1) 

root@ubuntu-devcenter2:~# sudo tcpdump src host 192.168.8.109 or dst host 192.168.8.109
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:15:23.093742 IP 192.168.8.109 > redmine.cynteka.com: ICMP echo request, id 512, seq 26112, length 40
12:15:23.093788 IP redmine.cynteka.com > 192.168.8.109: ICMP echo reply, id 512, seq 26112, length 40
12:15:24.086581 IP 192.168.8.109 > redmine.cynteka.com: ICMP echo request, id 512, seq 26368, length 40
12:15:24.086604 IP redmine.cynteka.com > 192.168.8.109: ICMP echo reply, id 512, seq 26368, length 40
12:15:25.087312 IP 192.168.8.109 > redmine.cynteka.com: ICMP echo request, id 512, seq 26624, length 40
12:15:25.087333 IP redmine.cynteka.com > 192.168.8.109: ICMP echo reply, id 512, seq 26624, length 40
12:15:26.087097 IP 192.168.8.109 > redmine.cynteka.com: ICMP echo request, id 512, seq 26880, length 40
12:15:26.087117 IP redmine.cynteka.com > 192.168.8.109: ICMP echo reply, id 512, seq 26880, length 40
(пример 2) 
root@ubuntu-devcenter2:~# sudo tcpdump src host 192.168.8.110 or dst host 192.168.8.110
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:20:10.227943 IP 192.168.8.110 > redmine.cynteka.com: ICMP echo request, id 512, seq 30208, length 40
12:20:10.227967 IP redmine.cynteka.com > 192.168.8.110: ICMP echo reply, id 512, seq 30208, length 40
12:20:11.236099 IP 192.168.8.110 > redmine.cynteka.com: ICMP echo request, id 512, seq 30464, length 40
12:20:11.236114 IP redmine.cynteka.com > 192.168.8.110: ICMP echo reply, id 512, seq 30464, length 40
12:20:12.240354 IP 192.168.8.110 > redmine.cynteka.com: ICMP echo request, id 512, seq 30720, length 40
12:20:12.240367 IP redmine.cynteka.com > 192.168.8.110: ICMP echo reply, id 512, seq 30720, length 40
12:20:13.283511 IP 192.168.8.110 > redmine.cynteka.com: ICMP echo request, id 512, seq 30976, length 40
12:20:13.283529 IP redmine.cynteka.com > 192.168.8.110: ICMP echo reply, id 512, seq 30976, length 40

Спасибо.



Последнее исправление: kpush (всего исправлений: 1)
iptables проброс портов
развернуть несколко копий «виртуалки» с максимальной экономией места

src host 192.168.8.110 or dst host 192.168.8.110 эквивалентно host 192.168.8.110

hizel ★★★★★
()
Ответ на: комментарий от Elyas

Да, похоже на то, что айпишник числится в каком-то блеклисте - нужно смотреть конфиг iptables (iptables -vnL --line-numbers), а также всякие hosts.deny в /etc

pianolender ★★★
()
Ответ на: комментарий от pianolender

.

из всего, что я нашел про 8.39 на сервер 3.54 есть только лог apach:

...
192.168.8.39 - - [26/Jun/2013:00:15:02 +0400] "GET /redmine/javascripts/dragdrop.js?1328527355 HTTP/1.1" 304 210 "http://192.168.3.54/redmine/projects/cyfoman--equipment/files?sort=created_on%3Adesc%2Cfilename" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.43 Safari/537.31"
192.168.8.39 - - [26/Jun/2013:00:15:02 +0400] "GET /redmine/javascripts/controls.js?1328527355 HTTP/1.1" 304 210 "http://192.168.3.54/redmine/projects/cyfoman--equipment/files?sort=created_on%3Adesc%2Cfilename" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.43 Safari/537.31"
192.168.8.39 - - [26/Jun/2013:00:15:02 +0400] "GET /redmine/javascripts/application.js?1328527355 HTTP/1.1" 304 211 "http://192.168.3.54/redmine/projects/cyfoman--equipment/files?sort=created_on%3Adesc%2Cfilename" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.43 Safari/537.31"
192.168.8.39 - - [26/Jun/2013:00:15:02 +0400] "GET /redmine/images/delete.png?1328527355 HTTP/1.1" 304 186 "http://192.168.3.54/redmine/projects/cyfoman--equipment/files?sort=created_on%3Adesc%2Cfilename" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.43 Safari/537.31"

говорит, что с этой машиной работали на сервере далее он «завис» и после перезагрузки стал не доступен с этой машиной.

kpush
() автор топика
Ответ на: . от kpush

заработало

при очередной перезагрузки сервака, он стал виден с «больной» машины.

iptables вообще отключен, там ничего нет

В общем осталось чувство неудовлетворенности, т.к. ровно такие «залипухи» случается с этим сервером уже второй раз и временно отвергнутая машинка была из другой сети.

Спасибо, что обратили внимание на мое сообщение.

kpush
() автор топика
Ответ на: заработало от kpush

Ну, в другой раз можно провести более детальную диагностику, начать с tcpdump или iptables -j LOG, там смотреть по обстоятельствам.

pianolender ★★★
()
Ответ на: комментарий от pianolender

снова перестало пинговаться

в общем, картина такая же: несколько минут проработало и перестало.

про то, что выдает tcpdump я писал в исходном посте а с iptables я так понял вы предлагаете сделать цепочку и прогонять по ней общение с 8.39 так?

kpush
() автор топика
Ответ на: комментарий от pianolender

добавил:

пару правил: 

root@ubuntu-devcenter2:~# iptables -A INPUT -s 192.168.8.39 -j LOG --log-level INFO --log-prefix "s 8.39"
root@ubuntu-devcenter2:~# iptables -A OUTPUT -d 192.168.8.39 -j LOG --log-level INFO --log-prefix "d 8.39"

смотрю iptables -nvL

после очередной перезагрузки сервер работает: 

Chain INPUT (policy ACCEPT 1423 packets, 303K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  158 40819 LOG        all  --  *      *       192.168.8.39         0.0.0.0/0           LOG flags 0 level 6 prefix `s 8.39' 

Chain OUTPUT (policy ACCEPT 1585 packets, 338K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  139 99415 LOG        all  --  *      *       0.0.0.0/0            192.168.8.39        LOG flags 0 level 6 prefix `d 8.39'

жду пока снова перестанет

kpush
() автор топика
Ответ на: комментарий от pyatak123

нет в сети такого же ипа?

вроде нет, все раздается по DHCP.

На сервере один интерфейс?

да, на сервере один интерфейс

kpush
() автор топика
Ответ на: комментарий от pianolender

нет в сети такого же ипа

Кстати, да интересная мысль.

а как лучше проверить?

kpush
() автор топика
Ответ на: комментарий от gfh

наблюдаю за таблицей, есть копии: - после 12 часов работы и когда не пингуется - сразу после перезагрузки - после того как с 8.39 немного поработали с сервером.

Вроде все логично, 8.39 присутствует только в последнем случае.

kpush
() автор топика
Ответ на: комментарий от kpush

Я бы посмотрел ещё на ARP таблицы и может быть ARP запросы во время отказа.

Elyas ★★★★★
()

Если сервер в одном ethenet сегменте с 192.168.8.110, то, как уже посоветовали, проверьте ARP, в том числе и командой arping. Может 192.168.8.39 не отвечает на ARP-запросы сервера.

mky ★★★★★
()
Ответ на: комментарий от mky

.

Спасибо, к сожалению они не в одной сети.

kpush
() автор топика

уже сутки работает нормально!!!

Большое спасибо всем, вроде работает уже долго и надежно.

Не понятно, что помогло, но вот, что в итоге было сделано:

1. очистил место на диске, т.к. по ходу выявилась проблема: по данным df -h места дофига, а при upload файлов происходил сбой.

2. включил FireWall, из используемых портов оставил открытыми только те, что используются.

в результате этого, закрытыми оказались 5353, это mDNS и еще какой то «блуждающий» порт (судя по команде netstat -nvl) с номером > 10000, который к java программе вел.

3. запретил TCPv6

kpush
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
iptables проброс портов
Admin
развернуть несколко копий «виртуалки» с максимальной экономией места