необычная блокировка

0

1

сервера S1 и S2 подключены к интернет

на S1 - web server
между S1 и S2 - OpenVPN tunnel

на S2 настроен DNAT S2:80->S1:80 с отправкой через тунель

все прекрасно работало около недели, потом видимо кто-то хитро заблокировал эту схему и теперь она перестала работать

причем заблокирован вход только с некоторых хостов, например с vps3 - более менее другой постоянный хост для тестинга, сделал free shell account на случайном хосте, с него работает - блокировки нет, думал просто порты заблокированы, но нет, скорее всего блокировка с учетом времени прохождения пакетов на разных точках

не пойму как заблокировано, потому что если поднять апач на S2 то подключение к нему работает, а если сделать DNAT на S1 то не работает

vps3-> S2:80 local apache есть связь
Vps3-> S2:80 -> другой способ проброса на S1 есть связь
freeshell-> S2:80 dnat есть связь
Vps3-> S2:80 dnat->openvpn->S1 НЕТ связи!, но раньше была, т.е. как-то заблокировали

Ссылка

←	Репозиторий убунты из под винды

rsyslog

→

Есть подозрение на ассиметричную маршрутизацию которая ломает DNAT.

При использовании NAT пакеты туда и обратно должны проходить через транслятор адресов. Посмотри куда уходят ответные пакеты с S1.

Замени DNAT прокси.

vel ★★★★★
(25.07.14 10:07:17 MSK)

Ответ на: комментарий от vel 25.07.14 10:07:17 MSK

tcptraceroute показывает разные маршруты для противоположных направлений между WebBrowser и S2.

получается

WebBrowser -> маршруты1 = разные маршруты туда и обратно -> DNAT > S2 -> маршруты2 = одинаковый OpenVPN маршрут (по крайне мере внутри виртуальной сети, физически может быть и разный) -> S1

но разве при включении dnat iptables не пытается туда и обратно отправлять пакеты через DNAT хоть маршруты1 и разные ?
где об этом можно попродробнее почитать?

как с этим можно бороться кроме замены хостинга для S2?

есть ли другие механизмы отправки пакетов на S1 через S2 с сохранением адреса клиента - броузера кроме DNAT?

редирект портов теряет исходный адрес, возможно как раз поэтому такой способ продолжает работать при асинхронной маршрутизации?

хотелось бы сохранять исходный адрес запроса с WebBrowser

~~sanyock~~ ★★
(25.07.14 20:08:14 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 25.07.14 10:07:17 MSK

что интересно, SNAT тоже перестал работать по направлению:
internal S1->SNAT at S2-> internet

но маскарадинг вместо SNAT прекрасно продолжает работать

может быть, есть аналог обратного маскарадинга типа DNAT?

~~sanyock~~ ★★
(26.07.14 10:42:41 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Репозиторий убунты из под винды

General

rsyslog

→

Похожие темы