Alexandr Rakhmanin -> debian-russian@lists.debian.org @ Fri, 20 Oct 2006 17:17:19 +0700:
>> >> AR> Что необходимо: >> >> AR> Корректная работа с 2мя провами, т.е. входящие пакеты с сети >> одного прова на >> >> AR> интерфейс другого уходили с него же, а также для экономии трафика >> исходящие >> >> AR> новый сессии чтобы уходили с соответствующих интерфейсов в >> зависимости от сети >> >> AR> провайдера. >> >> AR> Также чтобы DMZ было доступно с обоих провов и глобала. >> >> >> >> AR> В чём проблема: >> >> AR> Проблема с DMZ, при обращении к серверам находящимся в нём (ping >> из сети >> >> AR> любого из провайдеров) пакеты идут какое-то время, а после этого >> затык. >> >> AR> Смотрю пакеты tcpdump'ом на интерфесах и на роутере и на том >> сервере что >> >> AR> пингую, видно что icmp реквесты приходят, а ответов назад нет. >> >> AR> Связь полностью затыкается до того компьютера который пингую, не >> только icmp, >> >> AR> останавливаю, через несколько секунд пробую, работает и снова >> затык. В DMZ >> >> AR> серваки стоят как с Sargeм так и 1ин есть с AltLinux Master 2.2, >> т.е. ядра >> >> AR> разные. >> >> AR> ------------------------------- >> >> AR> ping 83.246.136.37 >> >> AR> PING 83.246.136.37 (83.246.136.37) 56(84) bytes of data. >> >> AR> 64 bytes from 83.246.136.37: icmp_seq=1 ttl=56 time=32.8 ms >> >> AR> 64 bytes from 83.246.136.37: icmp_seq=2 ttl=56 time=25.7 ms >> >> AR> 64 bytes from 83.246.136.37: icmp_seq=3 ttl=56 time=26.7 ms >> >> AR> 64 bytes from 83.246.136.37: icmp_seq=4 ttl=56 time=26.2 ms >> >> AR> 64 bytes from 83.246.136.37: icmp_seq=5 ttl=56 time=25.2 ms >> >> AR> 64 bytes from 83.246.136.37: icmp_seq=6 ttl=56 time=25.1 ms >> >> AR> 64 bytes from 83.246.136.37: icmp_seq=7 ttl=56 time=27.3 ms >> >> AR> 64 bytes from 83.246.136.37: icmp_seq=8 ttl=56 time=25.5 ms >> >> >> >> AR> --- 83.246.136.37 ping statistics --- >> >> AR> 12 packets transmitted, 8 received, 33% packet loss, time 11005ms >> >> AR> rtt min/avg/max/mdev = 25.160/26.855/32.816/2.368 ms >> >> AR> ------------------------------- >> >> AR> tcpdump -i eth0 -n -p icmp >> >> >> >> [...] >> >> >> >> AR> Интерфейсы: >> >> AR> 1-провайдер Интелби. >> >> AR> eth0 Link encap:Ethernet HWaddr 00:11:2F:CF:74:71 >> >> AR> inet addr:83.246.130.141 Bcast:83.246.130.255 >> Mask:255.255.255.0 >> >> AR> 2-провайдер Телеком. >> >> AR> eth3 Link encap:Ethernet HWaddr 00:02:B3:CD:58:8F >> >> AR> inet addr:212.94.107.189 Bcast:212.94.107.255 >> Mask:255.255.255.0 >> >> AR> DMZ. >> >> AR> eth2 Link encap:Ethernet HWaddr 00:02:B3:CD:59:48 >> >> AR> inet addr:83.246.136.33 Bcast:83.246.136.47 >> Mask:255.255.255.240 >> >> >> >> А на eth2 ответы на эти пинги видны? А лимита на количество ICMP в >> >> единицу времени на роутере нет? >> >> >> >> AR> Нет ответов нету. >> AR> Лимитов тоже нет, пробовал вообще файрволлы отрубать однофигственно, >> тем более >> AR> это всё работало прекрасно с 1им провайдером Интелби, на роутере >> добавил >> AR> только теже правила для Телекома. >> >> AR> Вот ещё раз сделал: >> AR> С кого пигнгую. >> AR> ping 83.246.136.37 >> AR> PING 83.246.136.37 (83.246.136.37) 56(84) bytes of data. >> AR> 64 bytes from 83.246.136.37: icmp_seq=1 ttl=56 time=142 ms >> AR> 64 bytes from 83.246.136.37: icmp_seq=2 ttl=56 time=242 ms >> AR> 64 bytes from 83.246.136.37: icmp_seq=3 ttl=56 time=159 ms >> AR> 64 bytes from 83.246.136.37: icmp_seq=4 ttl=56 time=171 ms >> AR> 64 bytes from 83.246.136.37: icmp_seq=5 ttl=56 time=172 ms >> AR> 64 bytes from 83.246.136.37: icmp_seq=6 ttl=56 time=207 ms >> AR> 64 bytes from 83.246.136.37: icmp_seq=7 ttl=56 time=154 ms >> AR> 64 bytes from 83.246.136.37: icmp_seq=8 ttl=56 time=228 ms >> >> AR> --- 83.246.136.37 ping statistics --- >> AR> 14 packets transmitted, 8 received, 42% packet loss, time 13006ms >> AR> rtt min/avg/max/mdev = 142.125/184.970/242.827/34.336 ms >> >> AR> Роутер. >> AR> gw1:/etc# tcpdump -i eth2 -n -p icmp >> AR> tcpdump: verbose output suppressed, use -v or -vv for full protocol >> decode >> AR> listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes >> AR> 15:55:44.142766 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 1 >> AR> 15:55:44.143514 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 1 >> AR> 15:55:45.253486 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 2 >> AR> 15:55:45.255030 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 2 >> AR> 15:55:46.206656 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 3 >> AR> 15:55:46.208211 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 3 >> AR> 15:55:47.170953 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 4 >> AR> 15:55:47.171423 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 4 >> AR> 15:55:48.146627 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 5 >> AR> 15:55:48.148158 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 5 >> AR> 15:55:49.189849 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 6 >> AR> 15:55:49.190315 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 6 >> AR> 15:55:50.168219 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 7 >> AR> 15:55:50.169745 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 7 >> AR> 15:55:51.201215 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 8 >> AR> 15:55:51.201683 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 8 >> AR> 15:55:52.143682 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 9 >> AR> 15:55:53.213786 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 10 >> AR> 15:55:54.141908 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 11 >> AR> 15:55:55.212808 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 12 >> AR> 15:55:56.234610 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 13 >> AR> 15:55:57.161394 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 14 >> >> AR> 22 packets captured >> AR> 22 packets received by filter >> AR> 0 packets dropped by kernel >> >> AR> Пингуемый сервак. >> AR> tcpdump -i eth0 -n -p icmp >> AR> tcpdump: verbose output suppressed, use -v or -vv for full protocol >> decode >> AR> listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes >> AR> 15:55:48.117003 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 1 >> AR> 15:55:48.117214 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 1 >> AR> 15:55:49.227689 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 2 >> AR> 15:55:49.227720 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 2 >> AR> 15:55:50.180980 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 3 >> AR> 15:55:50.181024 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 3 >> AR> 15:55:51.145403 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 4 >> AR> 15:55:51.145428 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 4 >> AR> 15:55:52.121201 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 5 >> AR> 15:55:52.121219 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 5 >> AR> 15:55:53.164564 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 6 >> AR> 15:55:53.164583 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 6 >> AR> 15:55:54.143057 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 7 >> AR> 15:55:54.143075 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 7 >> AR> 15:55:55.176189 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 8 >> AR> 15:55:55.176210 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply >> seq 8 >> AR> 15:55:56.118777 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq 9 >> AR> 15:55:57.189023 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 10 >> AR> 15:55:58.117264 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 11 >> AR> 15:55:59.188304 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 12 >> AR> 15:56:00.210237 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 13 >> AR> 15:56:01.137143 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo >> request seq >> AR> 14 >> >> Судя по этому логу, искать проблему надо на пингуемой машине. Она >> получает запросы, но не выдает ответов. Интерфейс у нее один? >> >> AR> Да если по логу смотреть то в ней, но такая грабля и с остальными серверами AR> что в DMZ. AR> Причём даже с тем у которого только 1ин интерфейс в DMZ. AR> У 83.246.136.37 интерфейсов 2а, 1ин в DMZ - на него шлюз по умолчанию и 2ой в AR> локалку там 192.168.0.0 сегмент. Чудес в IT не бывает. Варианта два - либо на серверах в DMZ стоят свои файрволы с (плюс-минус) одинаковыми настройками, либо в приходящих пакетах есть разница. Первое вероятнее. Второе исследуется путем сохранения пакетов как есть (tcpdump -w) и последующего анализа их каким-нибудь ethereal'ом. -- Artem Chuprina RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED] Любой инструмент, используемый не по назначению, имеет свойство превращаться в грабли. Andrey Sverdlichenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]