forum.opennet.ru - "не работает nat " (27)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"не работает nat "

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"не работает nat "	+/–
Сообщение от freeman42 on 26-Янв-11, 08:18
Добрый день. Столкнулся с такой проблемой: не могу настроить нат, вроде уже настраивал это на другом сервер, опыт есть, но не работает. По порядку: 1) echo "1" > /proc/sys/net/ipv4/ip_forward (почемуто после перезагрузки сбросилось в 0) 2) две сети 1-я 192.168.102.0 (eth1) 2-я 192.168.100.0 (eth0) 3) с самого сервера инет работает, прокси пашет, инет раздается 4) добавляю правило: iptables -t nat -I POSTROUTING -s 192.168.102.0/24 -o eth0 -j MASQUERADE 5) проверяю: ping mail.ru работает, а вот telnet mail.ru 80 вроде как заходит, но ответа нету, просто черный экран, даже после того как пытаюсь отправить в теленте какую-нибуть команду. 6) tcpdump -i eth0 -n ответы от сервера приходят, так же как и запросы... 7) ничего не понимаю!!! помогите..
Ответить \| Правка \| Cообщить модератору

Оглавление

не работает nat , reader, 11:28 , 26-Янв-11, (1)

не работает nat , freeman42, 11:41 , 26-Янв-11, (2)

не работает nat , reader, 12:01 , 26-Янв-11, (3)

не работает nat , freeman42, 12:10 , 26-Янв-11, (4)

не работает nat , Дядя_Федор, 12:15 , 26-Янв-11, (5)

не работает nat , freeman42, 12:37 , 26-Янв-11, (7)

не работает nat , Alexovi4, 12:35 , 26-Янв-11, (6)

не работает nat , freeman42, 12:38 , 26-Янв-11, (8)

не работает nat , Alexovi4, 13:05 , 26-Янв-11, (9)

не работает nat , freeman42, 13:13 , 26-Янв-11, (10)

не работает nat , Alexovi4, 14:44 , 26-Янв-11, (11)

не работает nat , freeman42, 19:20 , 26-Янв-11, (13)

не работает nat , reader, 16:17 , 26-Янв-11, (12)

не работает nat , freeman42, 19:23 , 26-Янв-11, (14)
не работает nat , freeman42, 05:10 , 27-Янв-11, (15)

не работает nat , freeman42, 06:43 , 27-Янв-11, (16)

не работает nat , reader, 12:20 , 27-Янв-11, (17)
не работает nat , freeman42, 12:37 , 27-Янв-11, (18)
не работает nat , FreeMan42, 13:13 , 28-Янв-11, (19)
не работает nat , reader, 13:34 , 28-Янв-11, (20)
не работает nat , FreeMan42, 13:54 , 28-Янв-11, (22)
не работает nat , reader, 13:39 , 28-Янв-11, (21)
не работает nat , FreeMan42, 13:55 , 28-Янв-11, (23)
не работает nat , reader, 14:29 , 28-Янв-11, (24)
не работает nat , FreeMan42, 14:41 , 28-Янв-11, (25)

не работает nat , FreeMan42, 09:24 , 03-Фев-11, (26)

не работает nat , FreeMan42, 08:34 , 09-Фев-11, (27)

Сообщения по теме [Сортировка по времени | RSS]

1. "не работает nat " +/–

Сообщение от reader (ok) on 26-Янв-11, 11:28

> Добрый день.
> Столкнулся с такой проблемой: не могу настроить нат, вроде уже настраивал это
> на другом сервер, опыт есть, но не работает.
> По порядку:
> 1) echo "1" > /proc/sys/net/ipv4/ip_forward (почемуто после перезагрузки сбросилось в
> 0)
а с чего вы решили что оно там должно остаться? не хотите прописывать в ручную используйте sysctl.conf
> 2) две сети 1-я 192.168.102.0 (eth1) 2-я 192.168.100.0 (eth0)
> 3) с самого сервера инет работает, прокси пашет, инет раздается
> 4) добавляю правило: iptables -t nat -I POSTROUTING -s 192.168.102.0/24 -o eth0
> -j MASQUERADE
там еще таблицы есть, в которых можно поубивать пакеты
> 5) проверяю: ping mail.ru работает, а вот telnet mail.ru 80 вроде как
> заходит, но ответа нету, просто черный экран, даже после того как
> пытаюсь отправить в теленте какую-нибуть команду.
> 6) tcpdump -i eth0 -n ответы от сервера приходят, так же как
> и запросы...
> 7) ничего не понимаю!!! помогите..
на это еще и mtu может влиять.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "не работает nat " +/–

Сообщение от freeman42 on 26-Янв-11, 11:41

> там еще таблицы есть, в которых можно поубивать пакеты
нет, остальные таблицы пустые..
> на это еще и mtu может влиять.
а как это проверить.?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "не работает nat " +/–

Сообщение от reader (ok) on 26-Янв-11, 12:01

>> там еще таблицы есть, в которых можно поубивать пакеты
> нет, остальные таблицы пустые..
но есть правила по умолчанию и в таблице фильтров чаще всего там указано убить пакет
>> на это еще и mtu может влиять.
> а как это проверить.?
уменьшив его

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "не работает nat " +/–

Сообщение от freeman42 on 26-Янв-11, 12:10

> но есть правила по умолчанию и в таблице фильтров чаще всего там
> указано убить пакет
нет, по умолчанию стоит ACCEPT
> уменьшив его
не сочти за наглость: как это сделать?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "не работает nat " +/–

Сообщение от Дядя_Федор on 26-Янв-11, 12:15

> не сочти за наглость: как это сделать?
man ifconfig

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "не работает nat " +/–

Сообщение от freeman42 on 26-Янв-11, 12:37

нет, ничего не помогает..
у меня такая стуктура сети (все что относится к серверам):
    CISCO PIX
     ___|___
    |       |
Server1 Server2
так вот на Server1 все работает, а вот Server2 не могу запустить!!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "не работает nat " +/–

Сообщение от Alexovi4 (??) on 26-Янв-11, 12:35

> не сочти за наглость: как это сделать?
iptables -L -n -v
iptables -L -n -v -t nat
iptables -L -n -v -t mangle

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "не работает nat " +/–

Сообщение от freeman42 on 26-Янв-11, 12:38

>> не сочти за наглость: как это сделать?
> iptables -L -n -v
> iptables -L -n -v -t nat
> iptables -L -n -v -t mangle
это список правил.. я знаю это.. я как раз про mtu спрашивал.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "не работает nat " +/–

Сообщение от Alexovi4 (ok) on 26-Янв-11, 13:05

>>> не сочти за наглость: как это сделать?
>> iptables -L -n -v
>> iptables -L -n -v -t nat
>> iptables -L -n -v -t mangle
> это список правил.. я знаю это.. я как раз про mtu спрашивал.
А вы попробуйте использовать более конкретизированные правила для таблицы mangle и смотрите счетчиками появления попадание пакетов в эти правила. Может увидете на каком этапе режутся пакеты

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "не работает nat " +/–

Сообщение от freeman42 on 26-Янв-11, 13:13

> А вы попробуйте использовать более конкретизированные правила для таблицы mangle и смотрите
> счетчиками появления попадание пакетов в эти правила. Может увидете на каком
> этапе режутся пакеты
самое интересное что мне кажется правила не режутся.. а они меняются..
я слушаю порт идущий в нет tcpdump-ом, пакеты идут и с сервера на mail.pisem.net и от mail.pisem.net на сервер.. потом я слушаю tcpdump-ом и внутренний интерфейс и тут видно что данные идут от клиента на mail.pisem.net и от mail.pisem.net к клиенту:
внешний:
[root@MERCURY iptables]# tcpdump -vv -i eth0 -n |grep 62.141.94.172
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
16:12:22.440350 IP (tos 0x0, ttl 127, id 4370, offset 0, flags [DF], proto TCP (6), length 52) 192.168.100.8.49264 > 62.141.94.172.110: S, cksum 0x412e (correct), 876369629:876369629(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
16:12:22.509804 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 52) 62.141.94.172.110 > 192.168.100.8.49264: S, cksum 0x2395 (correct), 1481363133:1481363133(0) ack 876369630 win 5840 <mss 1380,nop,nop,sackOK,nop,wscale 7>
16:12:22.509921 IP (tos 0x0, ttl 127, id 4372, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49264 > 62.141.94.172.110: ., cksum 0x79e5 (correct), 1:1(0) ack 1 win 258
16:12:22.579552 IP (tos 0x0, ttl 58, id 59299, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49264: P, cksum 0xeb55 (correct), 1:18(17) ack 1 win 46
16:12:23.046194 IP (tos 0x0, ttl 127, id 4376, offset 0, flags [DF], proto TCP (6), length 41) 192.168.100.8.49264 > 62.141.94.172.110: P, cksum 0x76dc (correct), 1:2(1) ack 1 win 258
16:12:23.113985 IP (tos 0x0, ttl 58, id 59300, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.100.8.49264: ., cksum 0x7aa7 (correct), 18:18(0) ack 2 win 46
16:12:24.040132 IP (tos 0x0, ttl 59, id 41612, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49263: P, cksum 0x43fd (correct), 1462337101:1462337118(17) ack 802247734 win 46
16:12:24.701023 IP (tos 0x0, ttl 127, id 4390, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49264 > 62.141.94.172.110: F, cksum 0x79e3 (correct), 2:2(0) ack 1 win 258
16:12:24.772016 IP (tos 0x0, ttl 58, id 59301, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.100.8.49264: F, cksum 0x7aa5 (correct), 18:18(0) ack 3 win 46
16:12:24.772123 IP (tos 0x0, ttl 127, id 4392, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49264 > 62.141.94.172.110: ., cksum 0x79e3 (correct), 3:3(0) ack 1 win 258
16:12:25.580552 IP (tos 0x0, ttl 58, id 59302, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49264: P, cksum 0xeb53 (correct), 1:18(17) ack 3 win 46
Внутрений:
[root@MERCURY iptables]# tcpdump -vv -i eth1 -n |grep 62.141.94.172
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
16:12:02.898630 IP (tos 0x0, ttl 128, id 4328, offset 0, flags [DF], proto TCP (6), length 52) 192.168.102.21.49263 > 62.141.94.172.110: S, cksum 0x4637 (correct), 802247731:802247731(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
16:12:02.970321 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 52) 62.141.94.172.110 > 192.168.102.21.49263: S, cksum 0x7a31 (correct), 1462337100:1462337100(0) ack 802247732 win 5840 <mss 1380,nop,nop,sackOK,nop,wscale 7>
16:12:02.970442 IP (tos 0x0, ttl 128, id 4329, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: ., cksum 0xd081 (correct), 1:1(0) ack 1 win 258
16:12:03.808140 IP (tos 0x0, ttl 128, id 4332, offset 0, flags [DF], proto TCP (6), length 41) 192.168.102.21.49263 > 62.141.94.172.110: P, cksum 0xcd78 (correct), 1:2(1) ack 1 win 258
16:12:03.878042 IP (tos 0x0, ttl 58, id 41608, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.102.21.49263: ., cksum 0xd143 (correct), 18:18(0) ack 2 win 46
16:12:06.390178 IP (tos 0x0, ttl 128, id 4348, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: F, cksum 0xd07f (correct), 2:2(0) ack 1 win 258
16:12:06.474366 IP (tos 0x0, ttl 58, id 41610, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.102.21.49263: F, cksum 0xd141 (correct), 18:18(0) ack 3 win 46
16:12:06.474454 IP (tos 0x0, ttl 128, id 4350, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: ., cksum 0xd07f (correct), 3:3(0) ack 1 win 258

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "не работает nat " +/–

Сообщение от Alexovi4 (ok) on 26-Янв-11, 14:44

Вы бы выложили сюда команды iptables какие даете, так будет немного нагляднее...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "не работает nat " +/–

Сообщение от freeman42 on 26-Янв-11, 19:20

> Вы бы выложили сюда команды iptables какие даете, так будет немного нагляднее...
так всего одна команда.. и она в первом посте..

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "не работает nat " +/–

Сообщение от reader (ok) on 26-Янв-11, 16:17

>[оверквотинг удален]
> (correct), 18:18(0) ack 2 win 46
> 16:12:06.390178 IP (tos 0x0, ttl 128, id 4348, offset 0, flags [DF],
> proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: F, cksum 0xd07f
> (correct), 2:2(0) ack 1 win 258
> 16:12:06.474366 IP (tos 0x0, ttl 58, id 41610, offset 0, flags [DF],
> proto TCP (6), length 40) 62.141.94.172.110 > 192.168.102.21.49263: F, cksum 0xd141
> (correct), 18:18(0) ack 3 win 46
> 16:12:06.474454 IP (tos 0x0, ttl 128, id 4350, offset 0, flags [DF],
> proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: ., cksum 0xd07f
> (correct), 3:3(0) ack 1 win 258
тут все нормально отработало, показывайте когда не работает, только так что бы вся сессия была видна
вместо -i eth0(1) укажите -i any, так будет понятней

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "не работает nat " +/–

Сообщение от freeman42 on 26-Янв-11, 19:23

> тут все нормально отработало
Как раз это не отработало!!! при прохождении этих пакетов в телнете просто черный экран от маил сервера...
> вместо -i eth0(1) укажите -i any, так будет понятней
ок.. завтра выложу лог с any...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "не работает nat " +/–

Сообщение от freeman42 on 27-Янв-11, 05:10

> вместо -i eth0(1) укажите -i any, так будет понятней
tcpdump: WARNING: Promiscuous mode not supported on the "any" device
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
07:59:42.842793 IP (tos 0x0, ttl 58, id 13064, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49469: P, cksum 0x09ed (correct), 1315961758:1315961775(17) ack 1443754660 win 46
07:59:43.096974 IP (tos 0x0, ttl 128, id 29079, offset 0, flags [DF], proto TCP (6), length 52) 192.168.102.21.49470 > 62.141.94.172.110: S, cksum 0xe0a7 (correct), 2309971733:2309971733(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
07:59:43.096995 IP (tos 0x0, ttl 127, id 29079, offset 0, flags [DF], proto TCP (6), length 52) 192.168.100.8.49470 > 62.141.94.172.110: S, cksum 0xe2b4 (correct), 2309971733:2309971733(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
07:59:43.167021 IP (tos 0x0, ttl 59, id 0, offset 0, flags [DF], proto TCP (6), length 52) 62.141.94.172.110 > 192.168.100.8.49470: S, cksum 0xcf4f (correct), 1371982606:1371982606(0) ack 2309971734 win 5840 <mss 1380,nop,nop,sackOK,nop,wscale 7>
07:59:43.167038 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 52) 62.141.94.172.110 > 192.168.102.21.49470: S, cksum 0xcd42 (correct), 1371982606:1371982606(0) ack 2309971734 win 5840 <mss 1380,nop,nop,sackOK,nop,wscale 7>
07:59:43.167125 IP (tos 0x0, ttl 128, id 29081, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49470 > 62.141.94.172.110: ., cksum 0x2393 (correct), 1:1(0) ack 1 win 258
07:59:43.167143 IP (tos 0x0, ttl 127, id 29081, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49470 > 62.141.94.172.110: ., cksum 0x25a0 (correct), 1:1(0) ack 1 win 258
07:59:43.296885 IP (tos 0x0, ttl 59, id 45794, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 (correct), 1:18(17) ack 1 win 46
07:59:46.296837 IP (tos 0x0, ttl 59, id 45795, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 (correct), 1:18(17) ack 1 win 46
07:59:48.990931 IP (tos 0x0, ttl 128, id 29112, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49470 > 62.141.94.172.110: F, cksum 0x2392 (correct), 1:1(0) ack 1 win 258
07:59:48.990947 IP (tos 0x0, ttl 127, id 29112, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49470 > 62.141.94.172.110: F, cksum 0x259f (correct), 1:1(0) ack 1 win 258
07:59:49.063972 IP (tos 0x0, ttl 59, id 45796, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.100.8.49470: F, cksum 0x2661 (correct), 18:18(0) ack 2 win 46
07:59:49.063987 IP (tos 0x0, ttl 58, id 45796, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.102.21.49470: F, cksum 0x2454 (correct), 18:18(0) ack 2 win 46
07:59:49.064135 IP (tos 0x0, ttl 128, id 29114, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49470 > 62.141.94.172.110: ., cksum 0x2392 (correct), 2:2(0) ack 1 win 258
07:59:49.064147 IP (tos 0x0, ttl 127, id 29114, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49470 > 62.141.94.172.110: ., cksum 0x259f (correct), 2:2(0) ack 1 win 258
07:59:52.297099 IP (tos 0x0, ttl 59, id 45797, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x970f (correct), 1:18(17) ack 2 win 46

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "не работает nat " +/–

Сообщение от freeman42 on 27-Янв-11, 06:43

Прослушав снифером на локальной машине сетевой трафик, выяснил что не проходят покеты с флагом PUSH (PSH) в котором как раз и находится ответ от сервера. в чем косяк? что не хватает?
и в tcpdump-е тоже видно что вот эти пакеты:
07:59:43.296885 IP (tos 0x0, ttl 59, id 45794, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 (correct), 1:18(17) ack 1 win 46
07:59:46.296837 IP (tos 0x0, ttl 59, id 45795, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 (correct), 1:18(17) ack 1 win 46
не прошли внутрь сети!!!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "не работает nat " +/–

Сообщение от reader (ok) on 27-Янв-11, 12:20

>[оверквотинг удален]
> с флагом PUSH (PSH) в котором как раз и находится ответ
> от сервера. в чем косяк? что не хватает?
> и в tcpdump-е тоже видно что вот эти пакеты:
> 07:59:43.296885 IP (tos 0x0, ttl 59, id 45794, offset 0, flags [DF],
> proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710
> (correct), 1:18(17) ack 1 win 46
> 07:59:46.296837 IP (tos 0x0, ttl 59, id 45795, offset 0, flags [DF],
> proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710
> (correct), 1:18(17) ack 1 win 46
> не прошли внутрь сети!!!
интересно, показывайте тогда уж iptables-save

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "не работает nat " +/–

Сообщение от freeman42 on 27-Янв-11, 12:37

> интересно, показывайте тогда уж iptables-save
я же писал, всего одно правило:
iptables -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 192.168.100.8
и во всех цепочках по умолчанию ACCEPT

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "не работает nat " +/–

Сообщение от FreeMan42 (ok) on 28-Янв-11, 13:13

а может это изза ядра быть??
пробовал пересобрать ядро, так при загрузке на новом ядре, ругается на:
Could not resolve resume device (/dev/cciss/c0d0o5)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "не работает nat " +/–

Сообщение от reader (ok) on 28-Янв-11, 13:34

> а может это изза ядра быть??
> пробовал пересобрать ядро, так при загрузке на новом ядре, ругается на:
> Could not resolve resume device (/dev/cciss/c0d0o5)
какой дистрибутив и откуда ядро?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "не работает nat " +/–

Сообщение от FreeMan42 (ok) on 28-Янв-11, 13:54

> какой дистрибутив и откуда ядро?
Mandriva 2010 с ядром 2.6.27-0.rc8.2mnb, новое ядро(2.6.37) качал с kernel.org (скомпилил по старому конфигу), потом скачал rpm пакет для Мандивы с ядром (kernel-server-2.6.37-1mnb-1-1mnb2.i586.rpm) и все одно и тоже..

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "не работает nat " +/–

Сообщение от reader (ok) on 28-Янв-11, 13:39

> а может это изза ядра быть??
> пробовал пересобрать ядро, так при загрузке на новом ядре, ругается на:
> Could not resolve resume device (/dev/cciss/c0d0o5)
попробуйте загрузится c live-cd или live-usb и проверьте
http://mirror.yandex.ru/debian-cd/5.0.8-live/

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "не работает nat " +/–

Сообщение от FreeMan42 (ok) on 28-Янв-11, 13:55

> попробуйте загрузится c live-cd или live-usb и проверьте
> http://mirror.yandex.ru/debian-cd/5.0.8-live/
всмысле чтобы запустить систему? так у меня есть старое ядро, рабочее, эт я на новом не могу загрузиться.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "не работает nat " +/–

Сообщение от reader (ok) on 28-Янв-11, 14:29

>> попробуйте загрузится c live-cd или live-usb и проверьте
>> http://mirror.yandex.ru/debian-cd/5.0.8-live/
> всмысле чтобы запустить систему? так у меня есть старое ядро, рабочее, эт
> я на новом не могу загрузиться.
нет, что бы проверить как с ним будет, хотя с ядром от Mandriva по идее приколов не должно быть, у меня на десктопе особых нареканий к нему нет

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "не работает nat " +/–

Сообщение от FreeMan42 (ok) on 28-Янв-11, 14:41

>>> попробуйте загрузится c live-cd или live-usb и проверьте
>>> http://mirror.yandex.ru/debian-cd/5.0.8-live/
>> всмысле чтобы запустить систему? так у меня есть старое ядро, рабочее, эт
>> я на новом не могу загрузиться.
> нет, что бы проверить как с ним будет, хотя с ядром от
> Mandriva по идее приколов не должно быть, у меня на десктопе
> особых нареканий к нему нет
так вот у меня на простеньком сервере тоже все хорошо.. и ядро пересобирал нескольок раз, и iptables не глючит. а тут "крутой" сервер, а почемуто проблем и с новым ядром и с iptables.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "не работает nat " +/–

Сообщение от FreeMan42 (ok) on 03-Фев-11, 09:24

Вот что вяснилось:
оказывается дело не в флаге PSH, он проходит нормально, дело оказывается в размере пакета!, т.е. пакеты размером до 52 байт, включительно, проходят, а пакеты больше 57, включительно, нет (52 максимальный который проходил, 57 минимальный который не проходил, то что мне попалось)!!

12:10:10.638876 IP (tos 0x0, ttl 128, id 15367, offset 0, flags [DF], proto TCP (6), length 52) 192.168.102.21.55250 > 192.168.100.3.23: S, cksum 0x9cb6 (correct), 2254375079:2254375079(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
12:10:10.638900 IP (tos 0x0, ttl 127, id 15367, offset 0, flags [DF], proto TCP (6), length 52) 192.168.100.8.55250 > 192.168.100.3.23: S, cksum 0x9ec3 (correct), 2254375079:2254375079(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
12:10:10.639131 IP (tos 0x0, ttl 255, id 20959, offset 0, flags [none], proto TCP (6), length 44) 192.168.100.3.23 > 192.168.100.8.55250: S, cksum 0x6b38 (correct), 4291587267:4291587267(0) ack 2254375080 win 4096 <mss 1460>
12:10:10.639151 IP (tos 0x0, ttl 254, id 20959, offset 0, flags [none], proto TCP (6), length 44) 192.168.100.3.23 > 192.168.102.21.55250: S, cksum 0x692b (correct), 4291587267:4291587267(0) ack 2254375080 win 4096 <mss 1460>
12:10:10.639238 IP (tos 0x0, ttl 128, id 15368, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.55250 > 192.168.100.3.23: ., cksum 0x95f7 (correct), 1:1(0) ack 1 win 64240
12:10:10.639257 IP (tos 0x0, ttl 127, id 15368, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.55250 > 192.168.100.3.23: ., cksum 0x9804 (correct), 1:1(0) ack 1 win 64240
12:10:10.639557 IP (tos 0x0, ttl 255, id 20960, offset 0, flags [none], proto TCP (6), length 43) 192.168.100.3.23 > 192.168.100.8.55250: P, cksum 0x7fee (correct), 1:4(3) ack 1 win 4096 [telnet WILL SUPPRESS GO AHEAD]
12:10:10.639573 IP (tos 0x0, ttl 254, id 20960, offset 0, flags [none], proto TCP (6), length 43) 192.168.100.3.23 > 192.168.102.21.55250: P, cksum 0x7de1 (correct), 1:4(3) ack 1 win 4096 [telnet WILL SUPPRESS GO AHEAD]
12:10:10.639803 IP (tos 0x0, ttl 128, id 15369, offset 0, flags [DF], proto TCP (6), length 43) 192.168.102.21.55250 > 192.168.100.3.23: P, cksum 0x92ee (correct), 1:4(3) ack 4 win 64237 [telnet DO SUPPRESS GO AHEAD]
12:10:10.639818 IP (tos 0x0, ttl 127, id 15369, offset 0, flags [DF], proto TCP (6), length 43) 192.168.100.8.55250 > 192.168.100.3.23: P, cksum 0x94fb (correct), 1:4(3) ack 4 win 64237 [telnet DO SUPPRESS GO AHEAD]
12:10:10.639975 IP (tos 0x0, ttl 255, id 20961, offset 0, flags [none], proto TCP (6), length 40) 192.168.100.3.23 > 192.168.100.8.55250: ., cksum 0x82f2 (correct), 4:4(0) ack 4 win 4093
12:10:10.639992 IP (tos 0x0, ttl 254, id 20961, offset 0, flags [none], proto TCP (6), length 40) 192.168.100.3.23 > 192.168.102.21.55250: ., cksum 0x80e5 (correct), 4:4(0) ack 4 win 4093
12:10:10.639995 IP (tos 0x0, ttl 255, id 20962, offset 0, flags [none], proto TCP (6), length 91) 192.168.100.3.23 > 192.168.100.8.55250: P 4:55(51) ack 4 win 4093 [telnet WILL ECHO, WILL SUPPRESS GO AHEAD, WILL ECHO]
12:10:11.633301 IP (tos 0x0, ttl 255, id 20966, offset 0, flags [none], proto TCP (6), length 94) 192.168.100.3.23 > 192.168.100.8.55250: P 4:58(54) ack 4 win 4096 [telnet WILL ECHO, WILL SUPPRESS GO AHEAD, WILL ECHO]
12:10:13.633471 IP (tos 0x0, ttl 255, id 20973, offset 0, flags [none], proto TCP (6), length 94) 192.168.100.3.23 > 192.168.100.8.55250: P 4:58(54) ack 4 win 4096 [telnet WILL ECHO, WILL SUPPRESS GO AHEAD, WILL ECHO]
12:10:13.731960 IP (tos 0x0, ttl 128, id 15384, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.55250 > 192.168.100.3.23: F, cksum 0x95f3 (correct), 4:4(0) ack 4 win 64237
12:10:13.731976 IP (tos 0x0, ttl 127, id 15384, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.55250 > 192.168.100.3.23: F, cksum 0x9800 (correct), 4:4(0) ack 4 win 64237
12:10:13.732120 IP (tos 0x0, ttl 255, id 20975, offset 0, flags [none], proto TCP (6), length 40) 192.168.100.3.23 > 192.168.100.8.55250: ., cksum 0x82b8 (correct), 58:58(0) ack 5 win 4096
12:10:13.732135 IP (tos 0x0, ttl 254, id 20975, offset 0, flags [none], proto TCP (6), length 40) 192.168.100.3.23 > 192.168.102.21.55250: ., cksum 0x80ab (correct), 58:58(0) ack 5 win 4096
12:10:17.633846 IP (tos 0x0, ttl 255, id 20987, offset 0, flags [none], proto TCP (6), length 94) 192.168.100.3.23 > 192.168.100.8.55250: P 4:58(54) ack 5 win 4096 [telnet WILL ECHO, WILL SUPPRESS GO AHEAD, WILL ECHO]

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "не работает nat " +/–

Сообщение от FreeMan42 (ok) on 09-Фев-11, 08:34

все решил я задачу!!!
пересобрал ядро с CONFIG_IGB_LRO=n и все заработало!
всем спасибо!

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "не работает nat "	+/–
Сообщение от reader (ok) on 26-Янв-11, 11:28
> Добрый день. > Столкнулся с такой проблемой: не могу настроить нат, вроде уже настраивал это > на другом сервер, опыт есть, но не работает. > По порядку: > 1) echo "1" > /proc/sys/net/ipv4/ip_forward (почемуто после перезагрузки сбросилось в > 0) а с чего вы решили что оно там должно остаться? не хотите прописывать в ручную используйте sysctl.conf > 2) две сети 1-я 192.168.102.0 (eth1) 2-я 192.168.100.0 (eth0) > 3) с самого сервера инет работает, прокси пашет, инет раздается > 4) добавляю правило: iptables -t nat -I POSTROUTING -s 192.168.102.0/24 -o eth0 > -j MASQUERADE там еще таблицы есть, в которых можно поубивать пакеты > 5) проверяю: ping mail.ru работает, а вот telnet mail.ru 80 вроде как > заходит, но ответа нету, просто черный экран, даже после того как > пытаюсь отправить в теленте какую-нибуть команду. > 6) tcpdump -i eth0 -n ответы от сервера приходят, так же как > и запросы... > 7) ничего не понимаю!!! помогите.. на это еще и mtu может влиять.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "не работает nat "	+/–
	Сообщение от freeman42 on 26-Янв-11, 11:41
	> там еще таблицы есть, в которых можно поубивать пакеты нет, остальные таблицы пустые.. > на это еще и mtu может влиять. а как это проверить.?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "не работает nat "	+/–
	Сообщение от reader (ok) on 26-Янв-11, 12:01
	>> там еще таблицы есть, в которых можно поубивать пакеты > нет, остальные таблицы пустые.. но есть правила по умолчанию и в таблице фильтров чаще всего там указано убить пакет >> на это еще и mtu может влиять. > а как это проверить.? уменьшив его
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "не работает nat "	+/–
	Сообщение от freeman42 on 26-Янв-11, 12:10
	> но есть правила по умолчанию и в таблице фильтров чаще всего там > указано убить пакет нет, по умолчанию стоит ACCEPT > уменьшив его не сочти за наглость: как это сделать?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "не работает nat "	+/–
	Сообщение от Дядя_Федор on 26-Янв-11, 12:15
	> не сочти за наглость: как это сделать? man ifconfig
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "не работает nat "	+/–
	Сообщение от freeman42 on 26-Янв-11, 12:37
	нет, ничего не помогает.. у меня такая стуктура сети (все что относится к серверам): CISCO PIX ___\|___ \| \| Server1 Server2 так вот на Server1 все работает, а вот Server2 не могу запустить!!
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	6. "не работает nat "	+/–
	Сообщение от Alexovi4 (??) on 26-Янв-11, 12:35
	> не сочти за наглость: как это сделать? iptables -L -n -v iptables -L -n -v -t nat iptables -L -n -v -t mangle
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "не работает nat "	+/–
	Сообщение от freeman42 on 26-Янв-11, 12:38
	>> не сочти за наглость: как это сделать? > iptables -L -n -v > iptables -L -n -v -t nat > iptables -L -n -v -t mangle это список правил.. я знаю это.. я как раз про mtu спрашивал.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "не работает nat "	+/–
	Сообщение от Alexovi4 (ok) on 26-Янв-11, 13:05
	>>> не сочти за наглость: как это сделать? >> iptables -L -n -v >> iptables -L -n -v -t nat >> iptables -L -n -v -t mangle > это список правил.. я знаю это.. я как раз про mtu спрашивал. А вы попробуйте использовать более конкретизированные правила для таблицы mangle и смотрите счетчиками появления попадание пакетов в эти правила. Может увидете на каком этапе режутся пакеты
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "не работает nat "	+/–
	Сообщение от freeman42 on 26-Янв-11, 13:13
	> А вы попробуйте использовать более конкретизированные правила для таблицы mangle и смотрите > счетчиками появления попадание пакетов в эти правила. Может увидете на каком > этапе режутся пакеты самое интересное что мне кажется правила не режутся.. а они меняются.. я слушаю порт идущий в нет tcpdump-ом, пакеты идут и с сервера на mail.pisem.net и от mail.pisem.net на сервер.. потом я слушаю tcpdump-ом и внутренний интерфейс и тут видно что данные идут от клиента на mail.pisem.net и от mail.pisem.net к клиенту: внешний: [root@MERCURY iptables]# tcpdump -vv -i eth0 -n \|grep 62.141.94.172 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 16:12:22.440350 IP (tos 0x0, ttl 127, id 4370, offset 0, flags [DF], proto TCP (6), length 52) 192.168.100.8.49264 > 62.141.94.172.110: S, cksum 0x412e (correct), 876369629:876369629(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 16:12:22.509804 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 52) 62.141.94.172.110 > 192.168.100.8.49264: S, cksum 0x2395 (correct), 1481363133:1481363133(0) ack 876369630 win 5840 <mss 1380,nop,nop,sackOK,nop,wscale 7> 16:12:22.509921 IP (tos 0x0, ttl 127, id 4372, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49264 > 62.141.94.172.110: ., cksum 0x79e5 (correct), 1:1(0) ack 1 win 258 16:12:22.579552 IP (tos 0x0, ttl 58, id 59299, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49264: P, cksum 0xeb55 (correct), 1:18(17) ack 1 win 46 16:12:23.046194 IP (tos 0x0, ttl 127, id 4376, offset 0, flags [DF], proto TCP (6), length 41) 192.168.100.8.49264 > 62.141.94.172.110: P, cksum 0x76dc (correct), 1:2(1) ack 1 win 258 16:12:23.113985 IP (tos 0x0, ttl 58, id 59300, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.100.8.49264: ., cksum 0x7aa7 (correct), 18:18(0) ack 2 win 46 16:12:24.040132 IP (tos 0x0, ttl 59, id 41612, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49263: P, cksum 0x43fd (correct), 1462337101:1462337118(17) ack 802247734 win 46 16:12:24.701023 IP (tos 0x0, ttl 127, id 4390, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49264 > 62.141.94.172.110: F, cksum 0x79e3 (correct), 2:2(0) ack 1 win 258 16:12:24.772016 IP (tos 0x0, ttl 58, id 59301, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.100.8.49264: F, cksum 0x7aa5 (correct), 18:18(0) ack 3 win 46 16:12:24.772123 IP (tos 0x0, ttl 127, id 4392, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49264 > 62.141.94.172.110: ., cksum 0x79e3 (correct), 3:3(0) ack 1 win 258 16:12:25.580552 IP (tos 0x0, ttl 58, id 59302, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49264: P, cksum 0xeb53 (correct), 1:18(17) ack 3 win 46 Внутрений: [root@MERCURY iptables]# tcpdump -vv -i eth1 -n \|grep 62.141.94.172 tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 16:12:02.898630 IP (tos 0x0, ttl 128, id 4328, offset 0, flags [DF], proto TCP (6), length 52) 192.168.102.21.49263 > 62.141.94.172.110: S, cksum 0x4637 (correct), 802247731:802247731(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 16:12:02.970321 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 52) 62.141.94.172.110 > 192.168.102.21.49263: S, cksum 0x7a31 (correct), 1462337100:1462337100(0) ack 802247732 win 5840 <mss 1380,nop,nop,sackOK,nop,wscale 7> 16:12:02.970442 IP (tos 0x0, ttl 128, id 4329, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: ., cksum 0xd081 (correct), 1:1(0) ack 1 win 258 16:12:03.808140 IP (tos 0x0, ttl 128, id 4332, offset 0, flags [DF], proto TCP (6), length 41) 192.168.102.21.49263 > 62.141.94.172.110: P, cksum 0xcd78 (correct), 1:2(1) ack 1 win 258 16:12:03.878042 IP (tos 0x0, ttl 58, id 41608, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.102.21.49263: ., cksum 0xd143 (correct), 18:18(0) ack 2 win 46 16:12:06.390178 IP (tos 0x0, ttl 128, id 4348, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: F, cksum 0xd07f (correct), 2:2(0) ack 1 win 258 16:12:06.474366 IP (tos 0x0, ttl 58, id 41610, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.102.21.49263: F, cksum 0xd141 (correct), 18:18(0) ack 3 win 46 16:12:06.474454 IP (tos 0x0, ttl 128, id 4350, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: ., cksum 0xd07f (correct), 3:3(0) ack 1 win 258
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "не работает nat "	+/–
	Сообщение от Alexovi4 (ok) on 26-Янв-11, 14:44
	Вы бы выложили сюда команды iptables какие даете, так будет немного нагляднее...
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "не работает nat "	+/–
	Сообщение от freeman42 on 26-Янв-11, 19:20
	> Вы бы выложили сюда команды iptables какие даете, так будет немного нагляднее... так всего одна команда.. и она в первом посте..
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	12. "не работает nat "	+/–
	Сообщение от reader (ok) on 26-Янв-11, 16:17
	>[оверквотинг удален] > (correct), 18:18(0) ack 2 win 46 > 16:12:06.390178 IP (tos 0x0, ttl 128, id 4348, offset 0, flags [DF], > proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: F, cksum 0xd07f > (correct), 2:2(0) ack 1 win 258 > 16:12:06.474366 IP (tos 0x0, ttl 58, id 41610, offset 0, flags [DF], > proto TCP (6), length 40) 62.141.94.172.110 > 192.168.102.21.49263: F, cksum 0xd141 > (correct), 18:18(0) ack 3 win 46 > 16:12:06.474454 IP (tos 0x0, ttl 128, id 4350, offset 0, flags [DF], > proto TCP (6), length 40) 192.168.102.21.49263 > 62.141.94.172.110: ., cksum 0xd07f > (correct), 3:3(0) ack 1 win 258 тут все нормально отработало, показывайте когда не работает, только так что бы вся сессия была видна вместо -i eth0(1) укажите -i any, так будет понятней
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	14. "не работает nat "	+/–
	Сообщение от freeman42 on 26-Янв-11, 19:23
	> тут все нормально отработало Как раз это не отработало!!! при прохождении этих пакетов в телнете просто черный экран от маил сервера... > вместо -i eth0(1) укажите -i any, так будет понятней ок.. завтра выложу лог с any...
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	15. "не работает nat "	+/–
	Сообщение от freeman42 on 27-Янв-11, 05:10
	> вместо -i eth0(1) укажите -i any, так будет понятней tcpdump: WARNING: Promiscuous mode not supported on the "any" device tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 07:59:42.842793 IP (tos 0x0, ttl 58, id 13064, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49469: P, cksum 0x09ed (correct), 1315961758:1315961775(17) ack 1443754660 win 46 07:59:43.096974 IP (tos 0x0, ttl 128, id 29079, offset 0, flags [DF], proto TCP (6), length 52) 192.168.102.21.49470 > 62.141.94.172.110: S, cksum 0xe0a7 (correct), 2309971733:2309971733(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 07:59:43.096995 IP (tos 0x0, ttl 127, id 29079, offset 0, flags [DF], proto TCP (6), length 52) 192.168.100.8.49470 > 62.141.94.172.110: S, cksum 0xe2b4 (correct), 2309971733:2309971733(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 07:59:43.167021 IP (tos 0x0, ttl 59, id 0, offset 0, flags [DF], proto TCP (6), length 52) 62.141.94.172.110 > 192.168.100.8.49470: S, cksum 0xcf4f (correct), 1371982606:1371982606(0) ack 2309971734 win 5840 <mss 1380,nop,nop,sackOK,nop,wscale 7> 07:59:43.167038 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 52) 62.141.94.172.110 > 192.168.102.21.49470: S, cksum 0xcd42 (correct), 1371982606:1371982606(0) ack 2309971734 win 5840 <mss 1380,nop,nop,sackOK,nop,wscale 7> 07:59:43.167125 IP (tos 0x0, ttl 128, id 29081, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49470 > 62.141.94.172.110: ., cksum 0x2393 (correct), 1:1(0) ack 1 win 258 07:59:43.167143 IP (tos 0x0, ttl 127, id 29081, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49470 > 62.141.94.172.110: ., cksum 0x25a0 (correct), 1:1(0) ack 1 win 258 07:59:43.296885 IP (tos 0x0, ttl 59, id 45794, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 (correct), 1:18(17) ack 1 win 46 07:59:46.296837 IP (tos 0x0, ttl 59, id 45795, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 (correct), 1:18(17) ack 1 win 46 07:59:48.990931 IP (tos 0x0, ttl 128, id 29112, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49470 > 62.141.94.172.110: F, cksum 0x2392 (correct), 1:1(0) ack 1 win 258 07:59:48.990947 IP (tos 0x0, ttl 127, id 29112, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49470 > 62.141.94.172.110: F, cksum 0x259f (correct), 1:1(0) ack 1 win 258 07:59:49.063972 IP (tos 0x0, ttl 59, id 45796, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.100.8.49470: F, cksum 0x2661 (correct), 18:18(0) ack 2 win 46 07:59:49.063987 IP (tos 0x0, ttl 58, id 45796, offset 0, flags [DF], proto TCP (6), length 40) 62.141.94.172.110 > 192.168.102.21.49470: F, cksum 0x2454 (correct), 18:18(0) ack 2 win 46 07:59:49.064135 IP (tos 0x0, ttl 128, id 29114, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.49470 > 62.141.94.172.110: ., cksum 0x2392 (correct), 2:2(0) ack 1 win 258 07:59:49.064147 IP (tos 0x0, ttl 127, id 29114, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.49470 > 62.141.94.172.110: ., cksum 0x259f (correct), 2:2(0) ack 1 win 258 07:59:52.297099 IP (tos 0x0, ttl 59, id 45797, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x970f (correct), 1:18(17) ack 2 win 46
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	16. "не работает nat "	+/–
	Сообщение от freeman42 on 27-Янв-11, 06:43
	Прослушав снифером на локальной машине сетевой трафик, выяснил что не проходят покеты с флагом PUSH (PSH) в котором как раз и находится ответ от сервера. в чем косяк? что не хватает? и в tcpdump-е тоже видно что вот эти пакеты: 07:59:43.296885 IP (tos 0x0, ttl 59, id 45794, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 (correct), 1:18(17) ack 1 win 46 07:59:46.296837 IP (tos 0x0, ttl 59, id 45795, offset 0, flags [DF], proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 (correct), 1:18(17) ack 1 win 46 не прошли внутрь сети!!!
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "не работает nat "	+/–
	Сообщение от reader (ok) on 27-Янв-11, 12:20
	>[оверквотинг удален] > с флагом PUSH (PSH) в котором как раз и находится ответ > от сервера. в чем косяк? что не хватает? > и в tcpdump-е тоже видно что вот эти пакеты: > 07:59:43.296885 IP (tos 0x0, ttl 59, id 45794, offset 0, flags [DF], > proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 > (correct), 1:18(17) ack 1 win 46 > 07:59:46.296837 IP (tos 0x0, ttl 59, id 45795, offset 0, flags [DF], > proto TCP (6), length 57) 62.141.94.172.110 > 192.168.100.8.49470: P, cksum 0x9710 > (correct), 1:18(17) ack 1 win 46 > не прошли внутрь сети!!! интересно, показывайте тогда уж iptables-save
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "не работает nat "	+/–
	Сообщение от freeman42 on 27-Янв-11, 12:37
	> интересно, показывайте тогда уж iptables-save я же писал, всего одно правило: iptables -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 192.168.100.8 и во всех цепочках по умолчанию ACCEPT
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "не работает nat "	+/–
	Сообщение от FreeMan42 (ok) on 28-Янв-11, 13:13
	а может это изза ядра быть?? пробовал пересобрать ядро, так при загрузке на новом ядре, ругается на: Could not resolve resume device (/dev/cciss/c0d0o5)
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "не работает nat "	+/–
	Сообщение от reader (ok) on 28-Янв-11, 13:34
	> а может это изза ядра быть?? > пробовал пересобрать ядро, так при загрузке на новом ядре, ругается на: > Could not resolve resume device (/dev/cciss/c0d0o5) какой дистрибутив и откуда ядро?
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	22. "не работает nat "	+/–
	Сообщение от FreeMan42 (ok) on 28-Янв-11, 13:54
	> какой дистрибутив и откуда ядро? Mandriva 2010 с ядром 2.6.27-0.rc8.2mnb, новое ядро(2.6.37) качал с kernel.org (скомпилил по старому конфигу), потом скачал rpm пакет для Мандивы с ядром (kernel-server-2.6.37-1mnb-1-1mnb2.i586.rpm) и все одно и тоже..
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	21. "не работает nat "	+/–
	Сообщение от reader (ok) on 28-Янв-11, 13:39
	> а может это изза ядра быть?? > пробовал пересобрать ядро, так при загрузке на новом ядре, ругается на: > Could not resolve resume device (/dev/cciss/c0d0o5) попробуйте загрузится c live-cd или live-usb и проверьте http://mirror.yandex.ru/debian-cd/5.0.8-live/
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	23. "не работает nat "	+/–
	Сообщение от FreeMan42 (ok) on 28-Янв-11, 13:55
	> попробуйте загрузится c live-cd или live-usb и проверьте > http://mirror.yandex.ru/debian-cd/5.0.8-live/ всмысле чтобы запустить систему? так у меня есть старое ядро, рабочее, эт я на новом не могу загрузиться.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	24. "не работает nat "	+/–
	Сообщение от reader (ok) on 28-Янв-11, 14:29
	>> попробуйте загрузится c live-cd или live-usb и проверьте >> http://mirror.yandex.ru/debian-cd/5.0.8-live/ > всмысле чтобы запустить систему? так у меня есть старое ядро, рабочее, эт > я на новом не могу загрузиться. нет, что бы проверить как с ним будет, хотя с ядром от Mandriva по идее приколов не должно быть, у меня на десктопе особых нареканий к нему нет
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "не работает nat "	+/–
	Сообщение от FreeMan42 (ok) on 28-Янв-11, 14:41
	>>> попробуйте загрузится c live-cd или live-usb и проверьте >>> http://mirror.yandex.ru/debian-cd/5.0.8-live/ >> всмысле чтобы запустить систему? так у меня есть старое ядро, рабочее, эт >> я на новом не могу загрузиться. > нет, что бы проверить как с ним будет, хотя с ядром от > Mandriva по идее приколов не должно быть, у меня на десктопе > особых нареканий к нему нет так вот у меня на простеньком сервере тоже все хорошо.. и ядро пересобирал нескольок раз, и iptables не глючит. а тут "крутой" сервер, а почемуто проблем и с новым ядром и с iptables.
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору

26. "не работает nat "	+/–
Сообщение от FreeMan42 (ok) on 03-Фев-11, 09:24
Вот что вяснилось: оказывается дело не в флаге PSH, он проходит нормально, дело оказывается в размере пакета!, т.е. пакеты размером до 52 байт, включительно, проходят, а пакеты больше 57, включительно, нет (52 максимальный который проходил, 57 минимальный который не проходил, то что мне попалось)!! 12:10:10.638876 IP (tos 0x0, ttl 128, id 15367, offset 0, flags [DF], proto TCP (6), length 52) 192.168.102.21.55250 > 192.168.100.3.23: S, cksum 0x9cb6 (correct), 2254375079:2254375079(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 12:10:10.638900 IP (tos 0x0, ttl 127, id 15367, offset 0, flags [DF], proto TCP (6), length 52) 192.168.100.8.55250 > 192.168.100.3.23: S, cksum 0x9ec3 (correct), 2254375079:2254375079(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 12:10:10.639131 IP (tos 0x0, ttl 255, id 20959, offset 0, flags [none], proto TCP (6), length 44) 192.168.100.3.23 > 192.168.100.8.55250: S, cksum 0x6b38 (correct), 4291587267:4291587267(0) ack 2254375080 win 4096 <mss 1460> 12:10:10.639151 IP (tos 0x0, ttl 254, id 20959, offset 0, flags [none], proto TCP (6), length 44) 192.168.100.3.23 > 192.168.102.21.55250: S, cksum 0x692b (correct), 4291587267:4291587267(0) ack 2254375080 win 4096 <mss 1460> 12:10:10.639238 IP (tos 0x0, ttl 128, id 15368, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.55250 > 192.168.100.3.23: ., cksum 0x95f7 (correct), 1:1(0) ack 1 win 64240 12:10:10.639257 IP (tos 0x0, ttl 127, id 15368, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.55250 > 192.168.100.3.23: ., cksum 0x9804 (correct), 1:1(0) ack 1 win 64240 12:10:10.639557 IP (tos 0x0, ttl 255, id 20960, offset 0, flags [none], proto TCP (6), length 43) 192.168.100.3.23 > 192.168.100.8.55250: P, cksum 0x7fee (correct), 1:4(3) ack 1 win 4096 [telnet WILL SUPPRESS GO AHEAD] 12:10:10.639573 IP (tos 0x0, ttl 254, id 20960, offset 0, flags [none], proto TCP (6), length 43) 192.168.100.3.23 > 192.168.102.21.55250: P, cksum 0x7de1 (correct), 1:4(3) ack 1 win 4096 [telnet WILL SUPPRESS GO AHEAD] 12:10:10.639803 IP (tos 0x0, ttl 128, id 15369, offset 0, flags [DF], proto TCP (6), length 43) 192.168.102.21.55250 > 192.168.100.3.23: P, cksum 0x92ee (correct), 1:4(3) ack 4 win 64237 [telnet DO SUPPRESS GO AHEAD] 12:10:10.639818 IP (tos 0x0, ttl 127, id 15369, offset 0, flags [DF], proto TCP (6), length 43) 192.168.100.8.55250 > 192.168.100.3.23: P, cksum 0x94fb (correct), 1:4(3) ack 4 win 64237 [telnet DO SUPPRESS GO AHEAD] 12:10:10.639975 IP (tos 0x0, ttl 255, id 20961, offset 0, flags [none], proto TCP (6), length 40) 192.168.100.3.23 > 192.168.100.8.55250: ., cksum 0x82f2 (correct), 4:4(0) ack 4 win 4093 12:10:10.639992 IP (tos 0x0, ttl 254, id 20961, offset 0, flags [none], proto TCP (6), length 40) 192.168.100.3.23 > 192.168.102.21.55250: ., cksum 0x80e5 (correct), 4:4(0) ack 4 win 4093 12:10:10.639995 IP (tos 0x0, ttl 255, id 20962, offset 0, flags [none], proto TCP (6), length 91) 192.168.100.3.23 > 192.168.100.8.55250: P 4:55(51) ack 4 win 4093 [telnet WILL ECHO, WILL SUPPRESS GO AHEAD, WILL ECHO] 12:10:11.633301 IP (tos 0x0, ttl 255, id 20966, offset 0, flags [none], proto TCP (6), length 94) 192.168.100.3.23 > 192.168.100.8.55250: P 4:58(54) ack 4 win 4096 [telnet WILL ECHO, WILL SUPPRESS GO AHEAD, WILL ECHO] 12:10:13.633471 IP (tos 0x0, ttl 255, id 20973, offset 0, flags [none], proto TCP (6), length 94) 192.168.100.3.23 > 192.168.100.8.55250: P 4:58(54) ack 4 win 4096 [telnet WILL ECHO, WILL SUPPRESS GO AHEAD, WILL ECHO] 12:10:13.731960 IP (tos 0x0, ttl 128, id 15384, offset 0, flags [DF], proto TCP (6), length 40) 192.168.102.21.55250 > 192.168.100.3.23: F, cksum 0x95f3 (correct), 4:4(0) ack 4 win 64237 12:10:13.731976 IP (tos 0x0, ttl 127, id 15384, offset 0, flags [DF], proto TCP (6), length 40) 192.168.100.8.55250 > 192.168.100.3.23: F, cksum 0x9800 (correct), 4:4(0) ack 4 win 64237 12:10:13.732120 IP (tos 0x0, ttl 255, id 20975, offset 0, flags [none], proto TCP (6), length 40) 192.168.100.3.23 > 192.168.100.8.55250: ., cksum 0x82b8 (correct), 58:58(0) ack 5 win 4096 12:10:13.732135 IP (tos 0x0, ttl 254, id 20975, offset 0, flags [none], proto TCP (6), length 40) 192.168.100.3.23 > 192.168.102.21.55250: ., cksum 0x80ab (correct), 58:58(0) ack 5 win 4096 12:10:17.633846 IP (tos 0x0, ttl 255, id 20987, offset 0, flags [none], proto TCP (6), length 94) 192.168.100.3.23 > 192.168.100.8.55250: P 4:58(54) ack 5 win 4096 [telnet WILL ECHO, WILL SUPPRESS GO AHEAD, WILL ECHO]
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	27. "не работает nat "	+/–
	Сообщение от FreeMan42 (ok) on 09-Фев-11, 08:34
	все решил я задачу!!! пересобрал ядро с CONFIG_IGB_LRO=n и все заработало! всем спасибо!
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору