On 2016-11-29 11:34, Peter Molnar wrote:
Hello! A digitalis naplonk nem elerheto bizonyos szolgaltatokbol. Igazabol felig elerheto. A bejelentkezo oldal megjelenik, de az aoznosito es jelszo beirasa utan 504-es gateway timeout van.
[...]
A 172-es cim hogyan juthat ki? Valamit itt nagyon elszurtak, vagy rosszul latom?
szerintem igen, rosszul latod.
Otletek?
eloszor is induljunk el az elejetol. Egy HTTP 504 errort masoltal be. Ez egy alkalmazasi retegbol erkezo hibauzenet. Azt jelenti, hogy az osszes alatta levo reteg (fizikai, adatkapcsolati, halozati, transzport, stb) mind rendben van. Ha nem lenne, ezt a hibauzenetet az alkalmazas nem tudna megjeleniteni szamodra.
Tehat azok utan, hogy tisztaztuk, hogy tobbek kozott a harmadik, azaz halozati retegben minden rendben van (kulonben nem latnal HTTP 504-et), egeszen pontosan miert relevans a traceroute parancs kimenete? A halozati retegben hiaba keresel hibat, ott nincs.
Ha annyira 'elszurtak' volna, hogy 172.31-es cimeket latsz a traceroute-ban (ez onmagaban meg nem elszuras, igen, tudom, RFC1918 tartomany, de akkor sem egyertelmu, hogy ez hiba) akkor eleve az 504-es HTTP hibauzenet sem juthatna el hozzad.
Fokuszaljunk inkabb a hibakodra. A HTTP hibakodok jol definialt szintaxist kovetnek. Kezdjuk ott, hogy barmi, amit 5xx hibakod, az szerver oldali hibara utal, ugyanugy, ahogy minden, ami 4xx az kliens oldali hibara.
Innen mar gondolom egyertelmu, hogy az 504, teljesen mindegy, hogy konkretan mit jelent, a szerver hibajara utal, nem pedig a koztes halozatera. Ez megerositi a kerdesem, hogy miert traceroute-tal keresunk hibat?
Altalaban 504-es hibat akkor latni, amikor egy reverse proxy van az utvonalban, vagy masneven frontend szerver es neki vannak problemai az eleressel. Ez fuggetlen attol, hogy ki probalkozik, mivel ez egy zart halozat a frontend es a backend kozott amire valoszinuleg nincs rahatasod.
A konkret rendszer ismerete nelkul azt gondolom, az autentikaciot mas rendszer valositja meg, mint a tobbit, ezert sikerul az autentikacio, de tovabb mar nem.
Visszaterve az RFC1918-as cimekre a traceroute kimenetedben: tok normalis, hogy olyan halozatokban, amelyek peldaul pont-pont halozatok, privat cimzest hasznalnak. Ezek lokalis jelentosegu halozatok, peldaul egy ISP es egy masik ISP kozotti linknek nem kotelezoen kell, hogy publikus cime legyen. Sot, biztonsagi szempontbol peldaul ellenjavalt is. Ugyanez vonatkozik peldaul berelt vonali szakaszokra is, szamtalan pelda van ilyenre a valosagban. Egeszen addig, amig a routing tablak rendben vannak a privat cimzesu szegmensek szelein, az lenyegtelen, hogy a koztes szakasz egy-egy darabjat a vilag nem fogja tudni megcimezni, a vegpontok ettol meg elerhetoek maradnak.
udv adam _______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
