kirush Опубликовано 19 июля, 2010 (изменено) · Жалоба Добрый день! OS: FreeBSD 7.3 Схема узла: Internet ----[ em0 -------router -----em1] ------switch------[em0 ------- nas ------- em1] ---------clients на НАСе: # tcptraceroute -i em0 -p 1024 -s 91.207.115.127 80.252.144.196 3333 Selected device em0, address 91.207.115.27, port 1024 for outgoing packets Tracing the path to 80.252.144.196 on TCP port 3333, 30 hops max 1 192.168.0.254 (192.168.0.254) 10.015 ms 10.052 ms 10.204 ms 2 PROTVINO-NET-gw.prime-line.ru (77.91.64.45) 10.118 ms 10.033 ms 10.088 ms 3 noname.prime-line.ru (77.91.65.71) 10.108 ms 10.159 ms 10.179 ms 4 m9-ix.flex.ru (193.232.244.222) 10.126 ms 9.961 ms 10.168 ms 5 80.252.141.235 (80.252.141.235) 10.171 ms 10.075 ms 10.158 ms Если любой порт < 1024 вижу такую картину: # tcptraceroute -i em0 -p 20 -s 91.207.115.127 80.252.144.196 3333 Selected device em0, address 91.207.115.127, port 20 for outgoing packets Tracing the path to 80.252.144.196 on TCP port 3333, 30 hops max 1 * * и т.д. tcpdumpом во втором случае на em1 routerа, пакетов не вижу, т.е. пакеты не уходят с NASа. ipfw не закрыто. Может где то в ядре по умолчанию закрыто или в sysctl? Как выйти из ситуации? Необходимо открыть 20/21 порты для работы клиента. На роутере стоит zebra. С НАСа делаю: tcptraceroute -i em0 -p 1000 -s 91.207.115.127 80.252.144.196 3333 трейс не идет, в дампе на этом же интерфейсе вижу: # tcpdump -i em0 -n -vv host 80.252.144.196 tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes 12:58:54.002172 IP (tos 0x0, ttl 5, id 51060, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.1000 > 80.252.144.196.3333: S, cksum 0xede6 (correct), 0:0(0) win 0 12:58:57.049849 IP (tos 0x0, ttl 5, id 51342, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.1000 > 80.252.144.196.3333: S, cksum 0xede6 (correct), 0:0(0) win 0 12:59:00.095034 IP (tos 0x0, ttl 6, id 52649, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.1000 > 80.252.144.196.3333: S, cksum 0xede6 (correct), 0:0(0) win 0 ^C 3 packets captured Но на роутере на внешнем интерфейсе em0 не вижу этих пакетов. если делаю tcptraceroute -i em0 -p 2000 -s 91.207.115.127 80.252.144.196 3333 трейс идет, в дампе на этом же интерфейсе NAS'a вижу: # tcpdump -i em0 -n -vv host 80.252.144.196 tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes 12:59:12.299283 IP (tos 0x0, ttl 2, id 20716, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.2000 > 80.252.144.196.3333: S, cksum 0xe9fe (correct), 0:0(0) win 0 12:59:12.301204 IP (tos 0x0, ttl 3, id 55205, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.2000 > 80.252.144.196.3333: S, cksum 0xe9fe (correct), 0:0(0) win 0 12:59:12.312012 IP (tos 0x0, ttl 3, id 62155, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.2000 > 80.252.144.196.3333: S, cksum 0xe9fe (correct), 0:0(0) win 0 12:59:12.322114 IP (tos 0x0, ttl 3, id 17139, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.2000 > 80.252.144.196.3333: S, cksum 0xe9fe (correct), 0:0(0) win 0 12:59:12.332350 IP (tos 0x0, ttl 4, id 62321, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.2000 > 80.252.144.196.3333: S, cksum 0xe9fe (correct), 0:0(0) win 0 12:59:12.343368 IP (tos 0x0, ttl 4, id 33632, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.2000 > 80.252.144.196.3333: S, cksum 0xe9fe (correct), 0:0(0) win 0 12:59:12.353393 IP (tos 0x0, ttl 4, id 13314, offset 0, flags [none], proto TCP (6), length 40) 91.207.115.127.2000 > 80.252.144.196.3333: S, cksum 0xe9fe (correct), 0:0(0) win 0 на роутере на внешнем интерфейсе em0 вижу эти пакеты. Изменено 20 июля, 2010 пользователем kirush Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 19 июля, 2010 (изменено) · Жалоба хост вообще достижим? я склоняюсь, у них там фаерволл. # nmap -p 3333 80.252.144.196 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-07-19 15:44 YEKST Interesting ports on 80.252.144.196: PORT STATE SERVICE 3333/tcp filtered dec-notes Изменено 20 июля, 2010 пользователем Giga-Byte Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 19 июля, 2010 · Жалоба дык ясно, что проблема у меня, если в качестве source порта ставлю любой порт <1025 трейс идет, если >1024 то нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 19 июля, 2010 · Жалоба С каких пор клиенты начали открывать соединение с портов ftp/ftp-data ? Или у клиента реальник и свой ftp ? Клиенты обычно открывают исходящие соединения с портов выше 1024... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 19 июля, 2010 (изменено) · Жалоба У клиента реальник и он хочет active ftp как сервер так и клиент (91.207.115.127 именно его ИП). Изменено 20 июля, 2010 пользователем kirush Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 20 июля, 2010 · Жалоба У клиента реальник и он хочет active ftp как сервер так и клиент (91.207.114.127 именно его ИП). Ну затык у вас где-то 5 cat06.Moscow.gldn.net (194.186.157.130) 30.955 ms 52.989 ms 30.930 ms 6 mail.landactive.ru (194.154.71.38) 31.513 ms 31.483 ms 31.398 ms 7 PROTVINO-NET.prime-line.ru (77.91.64.46) 32.496 ms 32.673 ms 32.661 ms 8 * * * 9 * * * У вас там 192.168. в трейсе светится, нет ли ната, и случайно не натит ли он все ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 20 июля, 2010 (изменено) · Жалоба На роутере стоит NAT. router: 00040 allow ip from 91.207.115.112/28 to any 00040 allow ip from any to 91.207.115.112/28 а потом только идут правила НАТа. Т.е. эти реальники должны пропускаться без НАТа Изменено 20 июля, 2010 пользователем kirush Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 20 июля, 2010 · Жалоба На роутере стоит NAT.router: 00040 allow ip from 91.207.115.112/28 to any 00040 allow ip from any to 91.207.115.112/28 а потом только идут правила НАТа. Т.е. эти реальники должны пропускаться без НАТа Это в случае one.pass Если у вас natd то там есть хороший ключик -u. Ну просканьте клиента nmap-ом c роутера - будут ли у него порты 20/21 открыты ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirush Опубликовано 21 июля, 2010 · Жалоба Не очень понимаю как может это мне помочь: -unregistered_only | -u Only alter outgoing packets with an unregistered source address. According to RFC 1918, unregistered source addresses are 10.0.0.0/8, 172.16.0.0/12 and 192.168.0.0/16. firewall ядренный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...