RE: Problém s NFS
Ahoj, > > Máte někdo nějakou teorii, proč je tato funkce problém? Díky! > > Trochu odvazny, ptat se ve FreeBSD konferenci na to proc/jak se chova > Linux v tvym TP-Linku (a jeste ani nerict jakej TP-LINK to tam mas, > takze i kdyby tu nahodou nejakej expert byl, pomoct nemuze) ;-) To ano, čekal jsem spíš odpověď ve stylu "ano, protože RPC chrlí SYN pakety jak o život a takto nastavený limit je tedy nedostačující" nebo něco v tom smyslu. :-) > Jestli i ostatni limity pojal TP-LINK podobne kreativne ... Je to na TL-SL5428E. Dík za nabídku pomoci, teď na to zase nebudu mít čas (státnice), jsem rád že to funguje a tak to nechám. :-) Milan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
On 14.7.2016 6:09, Milan Cizek wrote: tak jsem na to přišel, využil jsem utilitu rpcinfo [ip] a postupně sledoval port 111, kame až mi to dojde. Nekdy je pro zakladni orientaci rychlejsi pouzit traceroute -e -P TCP -p 111 Mimochodem, musim dodatecne hrube nesouhlasit s autorem vyroku "A RPC je vzdycky UDP, i kdyz samotne NFS pak uz je (na vyzadani) TCP.", ktery jsem tu pronesl ja sam 16. kvetna Treba zrovna rpcinfo pouziva defaultne TCP. Netusil jsem, ze se TCP realne pouziva. Jsme si skoro jisty, ze kdysi davno to tak nebyvalo ... Uz vsechny ty novinky nejak nestiham sledovat ;-) Pak jsem pokusem omylem přišel na to, že traffic požírá switch TP-LINK, a to konkrétně zapnutá funkce "DoS Defend". Po vypnutí této funkce NFS začalo šlapat. Defend Config: Enable Ping Limiting: 512Kbps SYN Limiting: 512Kbps Defend Table Select Defend Type Attack Count SYN sPort less 1024 868616 SYN/SYN-ACK Flooding 7439229 Máte někdo nějakou teorii, proč je tato funkce problém? Díky! Trochu odvazny, ptat se ve FreeBSD konferenci na to proc/jak se chova Linux v tvym TP-Linku (a jeste ani nerict jakej TP-LINK to tam mas, takze i kdyby tu nahodou nejakej expert byl, pomoct nemuze) ;-) Rozhodne me v dokumentaci od TP-LINKu zaujal tenhle popis: -- SYN sPort less 1024: The attacker sends the illegal packet with its TCP SYN field set to 1 and source port less than 1024. -- Nevedel jsem, ze navazovat TCP spojeni z "nizkych cisel portu" je ilegalni. A zrovna rpcinfo to, zrejme, nevi taky, protoze to navazuje odchozi spojeni prave takhle. Jestli i ostatni limity pojal TP-LINK podobne kreativne ... Ale dost TP-LINKu tady. Muzu ti nabidnout asi jedinou pomoc - pokud jsi schopen dodat simultanni dump paketu na port 111 "pred TP-LINKem" a "za TP-LINKem", ze ktereho bude videt jak nektere pokusy o navazani spojeni neprochazeji, pak s timhle se ja uz dokazu optat ceskeho zastoupeni TP-LINKu (aniz bych se musel dohadovat s first-level supportem). Ale to uz nebudeme resit tady v konferenci. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Problém s NFS
Ahoj, tak jsem na to přišel, využil jsem utilitu rpcinfo [ip] a postupně sledoval port 111, kame až mi to dojde. Pak jsem pokusem omylem přišel na to, že traffic požírá switch TP-LINK, a to konkrétně zapnutá funkce "DoS Defend". Po vypnutí této funkce NFS začalo šlapat. Defend Config: Enable Ping Limiting: 512Kbps SYN Limiting: 512Kbps Defend Table Select Defend Type Attack Count Land Attack 1728 Scan SYNFIN --- Xmascan --- NULL Scan --- SYN sPort less 1024 868616 Smurf Attack --- Blat Attack 66 Ping Flooding 2422947 SYN/SYN-ACK Flooding 7439229 winNuke Attack --- Máte někdo nějakou teorii, proč je tato funkce problém? Díky! NFS zdá se funguje také při navýšení SYN limitu na 1M. To vysvětluje, proč občas na cílový server přeci jen něco dorazilo. Milan > -Original Message- > From: Users-l [mailto:users-l-boun...@freebsd.cz] On Behalf Of Cizek Milan > Sent: Tuesday, May 17, 2016 9:41 AM > To: FreeBSD mailing list > Subject: Re: Problém s NFS > > > Ahoj, ověřil jsem, mám na obou stranách definovaný dopředný i reverzní. > Nicméně zkusím to ještě pokusně napat do hosts, kdyby náhodou... > > -- > Milan Čížek > > > > -- Původní zpráva -- > Od: Miroslav Lachman <000.f...@quip.cz> > Komu: FreeBSD mailing list <users-l@freebsd.cz> > Datum: 17. 5. 2016 1:28:53 > Předmět: Re: Problém s NFS > > "Radek Krejča wrote on 05/17/2016 01:14: > > Ahoj, > > > > K čemu to? Přistupuji na IP. > > M. > > [Radek Krejca] No, ja bych preci jen do toho souboru hosts ty zaznamy > pridal, hodne kdysi davno jsem mel problem, ze nfsd chtelo za kazdou cenu > resit dns a reverzy a nedalo se to vypnout. Treba je to porad, ten timeout > by na to i ukazoval. > > Myslim, ze to plati porad. Pri upgradech pouzivam /usr/src a /usr/obj > mountovany pres NFS na cilovych strojich a kdyz nektery stroj nemel > korektni dopredny a reverzni zaznam v DNS (neho hosts), tak to NFS > spojeni ruzne timeoutovalo - i kdyz se server mountuje pres IP a v > exports se take pouzivaji jen IP adresy. > (zkusenost pri upgrade z 10.2 na 10.3 - takze relativne nedavno) > > Mirek > -- > FreeBSD mailing list (users-l@freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l; > -- > FreeBSD mailing list (users-l@freebsd.cz) > http://www.freebsd.cz/listserv/listinfo/users-l -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Ahoj, ověřil jsem, mám na obou stranách definovaný dopředný i reverzní. Nicméně zkusím to ještě pokusně napat do hosts, kdyby náhodou... -- Milan Čížek -- Původní zpráva -- Od: Miroslav Lachman <000.f...@quip.cz> Komu: FreeBSD mailing list <users-l@freebsd.cz> Datum: 17. 5. 2016 1:28:53 Předmět: Re: Problém s NFS "Radek Krejča wrote on 05/17/2016 01:14: > Ahoj, > > K čemu to? Přistupuji na IP. > M. > [Radek Krejca] No, ja bych preci jen do toho souboru hosts ty zaznamy pridal, hodne kdysi davno jsem mel problem, ze nfsd chtelo za kazdou cenu resit dns a reverzy a nedalo se to vypnout. Treba je to porad, ten timeout by na to i ukazoval. Myslim, ze to plati porad. Pri upgradech pouzivam /usr/src a /usr/obj mountovany pres NFS na cilovych strojich a kdyz nektery stroj nemel korektni dopredny a reverzni zaznam v DNS (neho hosts), tak to NFS spojeni ruzne timeoutovalo - i kdyz se server mountuje pres IP a v exports se take pouzivaji jen IP adresy. (zkusenost pri upgrade z 10.2 na 10.3 - takze relativne nedavno) Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l; -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Radek Krejča wrote on 05/17/2016 01:14: Ahoj, K čemu to? Přistupuji na IP. M. [Radek Krejca] No, ja bych preci jen do toho souboru hosts ty zaznamy pridal, hodne kdysi davno jsem mel problem, ze nfsd chtelo za kazdou cenu resit dns a reverzy a nedalo se to vypnout. Treba je to porad, ten timeout by na to i ukazoval. Myslim, ze to plati porad. Pri upgradech pouzivam /usr/src a /usr/obj mountovany pres NFS na cilovych strojich a kdyz nektery stroj nemel korektni dopredny a reverzni zaznam v DNS (neho hosts), tak to NFS spojeni ruzne timeoutovalo - i kdyz se server mountuje pres IP a v exports se take pouzivaji jen IP adresy. (zkusenost pri upgrade z 10.2 na 10.3 - takze relativne nedavno) Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Problém s NFS
Ahoj, K čemu to? Přistupuji na IP. M. [Radek Krejca] No, ja bych preci jen do toho souboru hosts ty zaznamy pridal, hodne kdysi davno jsem mel problem, ze nfsd chtelo za kazdou cenu resit dns a reverzy a nedalo se to vypnout. Treba je to porad, ten timeout by na to i ukazoval. Radek > Dne 15.5.2016 v 19:13 Milan Cizek napsal(a): > > showmount -e remote_ip vrací správně, ale až cca po 40s. > > Na obou stranách zdá se vše běží, mountd, rpcbind, nfsd > > Vzájemný telnet na nfsd 2049 je průchozí, firewallem nic meblokuji. > > Něco jako /etc/hosts máš v pohodě? -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Problém s NFS
:-) Já s tím také problém nemám, Danovy kroky jsou logické... Nicméně i když se může zdát, že to pořád obcházím je to spíš tak, že člověk neznalý věci zkouší napřed ty jednodušší věci, které třeba zná nebo se mu na první pohled zdají jednodušší vyzkoušet. :-) Takže zatím kroužení kolem. Až bude chvilka, udělám si tcp dumpy na mikrotikách v cestě, už vím jak. :-) Díky oběma Milan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
> To si zcela spatne k textu emailu predstavujes ton hlasu. > > To nebyla vycitka "prestan se patlat s hloupostma", ale ciste > racionalni rada kam dal, kdyz tenhle smer analyzy nevedl k cili. > > Dan > To sedi, proste jsem asi zbytecne paranoidni. Omlouva :-) Vilem -- S pozdravem Vilem Kebrt email: vilem.ke...@gmail.com -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Vilem Kebrt wrote: Prestan to analyzovat na simulovane komunikaci, ktera funguje a analyzuj tu realnou, ktera evidentne neprochazi. Dane, tohle delal na muj popud ... Chapej, ... ;-) To si zcela spatne k textu emailu predstavujes ton hlasu. To nebyla vycitka "prestan se patlat s hloupostma", ale ciste racionalni rada kam dal, kdyz tenhle smer analyzy nevedl k cili. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Ahoj, On 05/16/2016 02:28 PM, Dan Lukes wrote: > Cizek Milan wrote: Mezi stroji jsou asi 3 mikrotiky. >>> Nekde se tam deje neco sitove velmi nepatricneho. > >> vyzkoušel jsem netcat po portu 2049 a 111 jak v tcp tak udp. Tady mi >> komunikace funguje bez problému a poslaný řetězec mam okamžitě na druhé >> straně. > > Prestan to analyzovat na simulovane komunikaci, ktera funguje a > analyzuj tu realnou, ktera evidentne neprochazi. > Dane, tohle delal na muj popud, mohlo se to ztracet nekde po ceste ze sitovych duvodu, pokud se tak nedeje , nastupuje tvoje analyza realny komunikace. Chapej, uz sem vickrat zazil ze problem byl nekde daleko jinde nez se predpokladalo. To se timhle vyloucilo, takze jdeme dal. Vilem -- S pozdravem Vilem Kebrt email: vilem.ke...@gmail.com -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Cizek Milan wrote: Mezi stroji jsou asi 3 mikrotiky. Nekde se tam deje neco sitove velmi nepatricneho. vyzkoušel jsem netcat po portu 2049 a 111 jak v tcp tak udp. Tady mi komunikace funguje bez problému a poslaný řetězec mam okamžitě na druhé straně. Prestan to analyzovat na simulovane komunikaci, ktera funguje a analyzuj tu realnou, ktera evidentne neprochazi. Zrejme se problem tyka jen komunikace s nejakymi konkretnimi vlastnostmi, kterou ta tvoje simulace nesplnuje. Sam tam v tech dumpech (cos posilal minule) vidis, ze se jedna strana zoufale a neuspesne pokousi navazat spojeni. Odpoved druhe strany nedorazi. Tak nejdriv zjisti, jestli SYN paket dorazi kam ma, pokud ne tak kde se ztrati, pokud ano tak jestli mu cil odpovi a jestli ta odpoved taky dorazi zpatky jestli ne (jako, ze ne) tak kde se ztrati. A az zjistis kde se ztraci ten request nebo odpoved na nej tak budes vedet, kde mas problem. Pak muzem zacit hledat jakej problem tam je. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Ahoj, >> Mezi stroji jsou asi 3 mikrotiky. >Nekde se tam deje neco sitove velmi nepatricneho. vyzkoušel jsem netcat po portu 2049 a 111 jak v tcp tak udp. Tady mi komunikace funguje bez problému a poslaný řetězec mam okamžitě na druhé straně. Ještě nějaký nápad co vyzkoušet? -- Milan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Pokud tam mas prisktup, zkontroluj routovaci tabulky na mikrotikach, pripadne ze ti ta adresa nevisi jinde (pokud mas dynamiku, nejlip to v MK uvidis opet v routovaci tabuli). Ty 3 s jsou imho celkem hodne v takovemhle pripade. Prijde mi to jako by se ti nekde duplikovala adresa. Dalsi vec ktera dokaze zabezpecit podobne chovani na MK, je kdyz mas na nekterem z interface zapnuty proxy arp (napriklad kvuli bridgovane vpn). VIlem On 05/16/2016 02:04 AM, Dan Lukes wrote: > Milan Cizek wrote: >> Na 111 komunikace probíhá obousměrně (UDP). > > No, pak je dost divny ten timeout. Zrejem by to chtelo tcpdump na > pozadi, poslouchajici veskerou relevantni komunikaci, a nad tim pustit > treba ten showmout. > > Neco to tech 40 sekund, nez to odpovi, dela. > >> Na 889 nechytnu vůbec nic, tedy ani ze stroje kde se snažím NFS >> mountovat nic neodchází. > > Priznam se, ze tohle cislo portu mi nic nerika. > >> Na 2049 se mi to chová zajímavě. Tam kde moutuju to odejde, ale na druhé >> straně se to objeví až s prodlevou cca 3s. >> Pak se objevují jen některé pakety, třeba každý 4tý. > > To naznacuje nejaky velmi vazny sitovy potize nekde mezi tema dvema > strojema. > > Takze mozna problem nepusobi firewall - pakety jsou dorucovany natolik > nespolehlive pripadne s tak ohromnymi prodlevami, ze se vubec nedari > udrzet dialog mezi klintem a serverem, coz nakonec skonci vyhlasenim > timeoutu. > >> 01:26:19.709857 IP (tos 0x0, ttl 64, id 38628, offset 0, flags [DF], >> proto >> TCP (6), length 60, bad cksum 0 (->9387)!) >> bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f >> (incorrect >> -> 0xad13), seq 2969779157, win 65535, options [mss 1460,nop,wscale >> 6,sackOK,TS val 28348844 ecr 0], length 0 >> 01:26:22.709390 IP (tos 0x0, ttl 64, id 38659, offset 0, flags [DF], >> proto >> TCP (6), length 60, bad cksum 0 (->9368)!) >> bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f >> (incorrect >> -> 0xa15b), seq 2969779157, win 65535, options [mss 1460,nop,wscale >> 6,sackOK,TS val 28351844 ecr 0], length 0 >> 01:26:25.909375 IP (tos 0x0, ttl 64, id 38739, offset 0, flags [DF], >> proto >> TCP (6), length 60, bad cksum 0 (->9318)!) >> bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f >> (incorrect >> -> 0x94db), seq 2969779157, win 65535, options [mss 1460,nop,wscale >> 6,sackOK,TS val 28355044 ecr 0], length 0 >> 01:26:29.109387 IP (tos 0x0, ttl 64, id 38756, offset 0, flags [DF], >> proto >> TCP (6), length 60, bad cksum 0 (->9307)!) >> bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f >> (incorrect >> -> 0x885b), seq 2969779157, win 65535, options [mss 1460,nop,wscale >> 6,sackOK,TS val 28358244 ecr 0], length 0 > > Napriklad tohle jsou ctyri pokusy o navazani TCP spojeni. Podle vseho > marne pokusy, odpoved od protistrany zrejme neprichazi (nejen proto, > ze zadna odpoved neni videt, ale taky proto, ze kdyby prisla, > neopakoval by se dokola inicialni SYN paket). > >> Mezi stroji jsou asi 3 mikrotiky. > > Nekde se tam deje neco sitove velmi nepatricneho. > > Dan > > -- S pozdravem Vilem Kebrt email: vilem.ke...@gmail.com -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Milan Cizek wrote: Na 111 komunikace probíhá obousměrně (UDP). No, pak je dost divny ten timeout. Zrejem by to chtelo tcpdump na pozadi, poslouchajici veskerou relevantni komunikaci, a nad tim pustit treba ten showmout. Neco to tech 40 sekund, nez to odpovi, dela. Na 889 nechytnu vůbec nic, tedy ani ze stroje kde se snažím NFS mountovat nic neodchází. Priznam se, ze tohle cislo portu mi nic nerika. Na 2049 se mi to chová zajímavě. Tam kde moutuju to odejde, ale na druhé straně se to objeví až s prodlevou cca 3s. Pak se objevují jen některé pakety, třeba každý 4tý. To naznacuje nejaky velmi vazny sitovy potize nekde mezi tema dvema strojema. Takze mozna problem nepusobi firewall - pakety jsou dorucovany natolik nespolehlive pripadne s tak ohromnymi prodlevami, ze se vubec nedari udrzet dialog mezi klintem a serverem, coz nakonec skonci vyhlasenim timeoutu. 01:26:19.709857 IP (tos 0x0, ttl 64, id 38628, offset 0, flags [DF], proto TCP (6), length 60, bad cksum 0 (->9387)!) bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f (incorrect -> 0xad13), seq 2969779157, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 28348844 ecr 0], length 0 01:26:22.709390 IP (tos 0x0, ttl 64, id 38659, offset 0, flags [DF], proto TCP (6), length 60, bad cksum 0 (->9368)!) bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f (incorrect -> 0xa15b), seq 2969779157, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 28351844 ecr 0], length 0 01:26:25.909375 IP (tos 0x0, ttl 64, id 38739, offset 0, flags [DF], proto TCP (6), length 60, bad cksum 0 (->9318)!) bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f (incorrect -> 0x94db), seq 2969779157, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 28355044 ecr 0], length 0 01:26:29.109387 IP (tos 0x0, ttl 64, id 38756, offset 0, flags [DF], proto TCP (6), length 60, bad cksum 0 (->9307)!) bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f (incorrect -> 0x885b), seq 2969779157, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 28358244 ecr 0], length 0 Napriklad tohle jsou ctyri pokusy o navazani TCP spojeni. Podle vseho marne pokusy, odpoved od protistrany zrejme neprichazi (nejen proto, ze zadna odpoved neni videt, ale taky proto, ze kdyby prisla, neopakoval by se dokola inicialni SYN paket). Mezi stroji jsou asi 3 mikrotiky. Nekde se tam deje neco sitove velmi nepatricneho. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Problém s NFS
Zkouším, ale příliš do NFS nevidím, jakým způsobem komunikuje. Testováno s showmount a mount_nfs. Na 111 komunikace probíhá obousměrně (UDP). Na 889 nechytnu vůbec nic, tedy ani ze stroje kde se snažím NFS mountovat nic neodchází. Na 2049 se mi to chová zajímavě. Tam kde moutuju to odejde, ale na druhé straně se to objeví až s prodlevou cca 3s. Pak se objevují jen některé pakety, třeba každý 4tý. 01:26:19.709857 IP (tos 0x0, ttl 64, id 38628, offset 0, flags [DF], proto TCP (6), length 60, bad cksum 0 (->9387)!) bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f (incorrect -> 0xad13), seq 2969779157, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 28348844 ecr 0], length 0 01:26:22.709390 IP (tos 0x0, ttl 64, id 38659, offset 0, flags [DF], proto TCP (6), length 60, bad cksum 0 (->9368)!) bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f (incorrect -> 0xa15b), seq 2969779157, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 28351844 ecr 0], length 0 01:26:25.909375 IP (tos 0x0, ttl 64, id 38739, offset 0, flags [DF], proto TCP (6), length 60, bad cksum 0 (->9318)!) bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f (incorrect -> 0x94db), seq 2969779157, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 28355044 ecr 0], length 0 01:26:29.109387 IP (tos 0x0, ttl 64, id 38756, offset 0, flags [DF], proto TCP (6), length 60, bad cksum 0 (->9307)!) bsd-ap2.sco-inetmgr > bsd-igw.nfsd: Flags [S], cksum 0x107f (incorrect -> 0x885b), seq 2969779157, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 28358244 ecr 0], length 0 ... 01:26:23.740329 IP (tos 0x0, ttl 64, id 38383, offset 0, flags [DF], proto TCP (6), length 60) bsd-igw.846 > bsd-ap2.nfsd: Flags [S], cksum 0x107f (incorrect -> 0xc9f5), seq 4037172380, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 24777651 ecr 0], length 0 01:26:24.997378 IP (tos 0x0, ttl 64, id 38394, offset 0, flags [DF], proto TCP (6), length 60) bsd-igw.dhcp-failover2 > bsd-ap2.nfsd: Flags [S], cksum 0x107f (incorrect -> 0xf566), seq 3592963771, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 24778908 ecr 0], length 0 Mezi stroji jsou asi 3 mikrotiky. Milan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Milan Cizek wrote: To je neuplny test. To co jsi vyzkousel je "vlastni NFS" - ale aby to takhle daleko vubec doslo, je treba nejprve namountovat, a to vyzaduje RPC komunikaci s mountd a tu jsi nevyzkousel. Respektive, tim showmount do jiste miry ano - s negativnim vysledkem testu. Telnet na port 111 z obou stran je v pořádku a odpovídá. Telnetem UDP neozkusis. A RPC je vzdycky UDP, i kdyz samotne NFS pak uz je (na vyzadani) TCP. Nicméně firewally neobsahují žádná blokovací pravidla. Neznam celkovou topologii mezi temi dvema stroji - muze to byt preklad mezi nimi, muze to byt firewall na nejakem routeru mezi nimi, muze to byt problem s prekladem, pokud mezi nimi je, problem s MTU, problem s IP adresami (odpoved jde z jine nez na jakou sel request) ... Moznosti je prilis mnoho. Ale nejak mi unika proc proste tcpdumpem neoveris, ze na odeslany RPC request prijde na klienta od serveru RPC response - a to z te IP na kterou sel request. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Problém s NFS
Ahoj, > To je neuplny test. To co jsi vyzkousel je "vlastni NFS" - ale aby to > takhle daleko vubec doslo, je treba nejprve namountovat, a to vyzaduje > RPC komunikaci s mountd a tu jsi nevyzkousel. Respektive, tim showmount > do jiste miry ano - s negativnim vysledkem testu. Telnet na port 111 z obou stran je v pořádku a odpovídá. Telnet na port 843 z obou stran "Connection refused", ale možná je to standardní chování. > > Při pokusu o ruční mount_nfs po delší době vyskočí: > > [tcp] 10.0.0.1:/usr/backup: nfsd: RPCPROG_NFS: RPC: Remote system error - > > Operation timed out > > Text je relativne jasny - ztimeoutovala RPC komunikace, takze to NFS se > vubec nemountlo. Druhy bod pro "zablokovana RPC komunikace". Ano. Nicméně firewally neobsahují žádná blokovací pravidla. Milan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Milan Cizek wrote: mám problém vzájemně propojit bsd 10.0 a 10.1 pomocí NFS. Viz dale, nemyslim, ze je to otazka verzi systemu. showmount -e remote_ip vrací správně, ale až cca po 40s. Takze az po nejakem timeoutu. A protoze ten prikaz nejprve komunikuje RPC a pote komunikuje s nfsd a jelikoz ti neco vrati, rekl bych, ze selhava ta prvni cast. Tedy prvni bod pro "zablokovana RPC komunikace". Na obou stranách zdá se vše běží, mountd, rpcbind, nfsd Vzájemný telnet na nfsd 2049 je průchozí To je neuplny test. To co jsi vyzkousel je "vlastni NFS" - ale aby to takhle daleko vubec doslo, je treba nejprve namountovat, a to vyzaduje RPC komunikaci s mountd a tu jsi nevyzkousel. Respektive, tim showmount do jiste miry ano - s negativnim vysledkem testu. Při pokusu o ruční mount_nfs po delší době vyskočí: [tcp] 10.0.0.1:/usr/backup: nfsd: RPCPROG_NFS: RPC: Remote system error - Operation timed out Text je relativne jasny - ztimeoutovala RPC komunikace, takze to NFS se vubec nemountlo. Druhy bod pro "zablokovana RPC komunikace". tcpdumpem ověřeno na cílovém stroji příchozí komunikace na nfs. Nevim uplne jiste, kterou z tech komunikaci, ktera je pro namountovani potreba myslis, ale pokud vsechny, tak dobry, vime, ze s timhle smerem to firewall neblokuje. Takze to asi blokujem v tom druhem smeru. Dan -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
RE: Problém s NFS
K čemu to? Přistupuji na IP. M. > Dne 15.5.2016 v 19:13 Milan Cizek napsal(a): > > showmount -e remote_ip vrací správně, ale až cca po 40s. > > Na obou stranách zdá se vše běží, mountd, rpcbind, nfsd > > Vzájemný telnet na nfsd 2049 je průchozí, firewallem nic meblokuji. > > Něco jako /etc/hosts máš v pohodě? -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Problém s NFS
Dne 15.5.2016 v 19:13 Milan Cizek napsal(a): showmount -e remote_ip vrací správně, ale až cca po 40s. Na obou stranách zdá se vše běží, mountd, rpcbind, nfsd Vzájemný telnet na nfsd 2049 je průchozí, firewallem nic meblokuji. Něco jako /etc/hosts máš v pohodě? -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
