Nahodile vypadky SNATovani behem spojeni (was: Re: Problem nekterych lokaci se stahovanim obrazku z webu)

Vladimir Macek macek na sandbox.cz
Neděle Duben 25 23:20:26 CEST 2010


On 22.4.2010 16:02, Pavel Kankovsky wrote:
> On Thu, 22 Apr 2010, Vladimir Macek wrote:
>> Je zrejme, ze hostitel mi zapomina nektere pakety odchozi z
>> virtualniho serveru SNATovat! Tcpdump na vnejsi rozhrani ukazuje,
>> ze se tak obcas skutecne deje:
>
> Ano a to by ten problém vysvětlovalo. Teď je ještě otázka, proč se to
> děje a proč zrovna v případě lidí připojených na nějakou síť. Podle
> čeho jsou ty záznamy filtrované? Nemohlo tam třeba mezitím přijít od
> ISP něco, co odstřelilo záznam z conntracku, třeba nějaké divné ICMP?
> (K nám divných ICMP chodí mraky; zvlášť zábavné jsou redirekty, kde
> se nám snaží vysvětlit, že máme v jejich síti používat nějaký jiný
> router.)

Dávám si kousky dohromady. Ten stroj *nemá* zřejmě problémy jen s TCP a
některými klientskými sítěmi (měním Subject). Jde o *všechna* spojení.

I ode mě z domova, kde stahování po HTTP (o kterém jsem tu původně psal)
běhá ok, dochází k výpadkům pingů ze stejných důvodů. Mám i
minimalistická testovací data. Prostý tcpdump na vnější rozhraní
hostitele s -w do souboru:

22:51:07.287213 IP doma > hostitel-vnejsi-rozhrani: ICMP echo request,
id 60924, seq 1, length 64
22:51:07.287881 IP hostitel-vnejsi-rozhrani > doma: ICMP echo reply, id
60924, seq 1, length 64
22:51:08.275561 IP doma > hostitel-vnejsi-rozhrani: ICMP echo request,
id 60924, seq 2, length 64
22:51:08.275813 IP 192.168.100.2 > doma: ICMP echo reply, id 60924, seq
2, length 64
22:51:09.287662 IP doma > hostitel-vnejsi-rozhrani: ICMP echo request,
id 60924, seq 3, length 64
22:51:09.287877 IP hostitel-vnejsi-rozhrani > doma: ICMP echo reply, id
60924, seq 3, length 64

Druhé reply samozřejmě k iniciátorovi nedorazí. Dump přikládám.
Wireshark jsem na to pustil, ale protože jsem laik, nic tam nevidím.
Expandované pakety vypadají legálně.

Tcpdump na vnějším rozhraní neukazuje žádný ICMP provoz když se to
stane. Takže tím to ovlivněno není.

K odstřelení z conntracku podle mě nedojde, protože v případě TCP
spojení dojde k jednomu výpadku natování a zas se jede v předchozím
spojení. Takže záznam tam pořád bude.

Začínám z toho být docela zoufalý. Prosím poraďte, na co bych se měl
zaměřit.

-- 
\//\/\ : Vladimir Macek : http://macek.sandbox.cz : +420 608 978 164



Další informace o konferenci Linux