lacost Опубликовано 9 августа, 2010 · Жалоба Есть 2 linux-маршрутизатора, 3 аплинка, BGP. Пакет уходит в интернет через один из маршрутизаторов, а возвращается через другой, доходит до машины-отправителя, но по каким-то причинам отбрасывается. На маршрутизаторах - iptables и quagga. Есть предположение, что ip_conntrack маршрутизатора принимающего ответный пакет из интернета вносит какие-то изменения в заголовок пакета. Есть ли какие способы отключения трассировки соединений или только пересборка ядра? Или дело вовсе не в iptables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 9 августа, 2010 · Жалоба Есть 2 linux-маршрутизатора, 3 аплинка, BGP. Пакет уходит в интернет через один из маршрутизаторов, а возвращается через другой, доходит до машины-отправителя, но по каким-то причинам отбрасывается. На маршрутизаторах - iptables и quagga. Есть предположение, что ip_conntrack маршрутизатора принимающего ответный пакет из интернета вносит какие-то изменения в заголовок пакета. Есть ли какие способы отключения трассировки соединений или только пересборка ядра? Или дело вовсе не в iptables? а ната нет нигде случаем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lacost Опубликовано 9 августа, 2010 · Жалоба Есть конечно, но не на этих маршрутизаторах, а в глубине сети. схема такая: Источник -> NAT -> BGP-роутер Но нат тут ни при чем. Пробывал то же самое проделать с NAT-сервера - картина та же самая. Пакет доходит, но игнорируется. ICMP проходит без проблем, а вот с tcp и udp - проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 9 августа, 2010 · Жалоба Оно не должно так работать, но всё же проверьте в sysctl.conf параметр rp_filter. Есть ли какие способы отключения трассировки соединений или только пересборка ядра?Цель NOTRACK в таблице raw в iptables. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lacost Опубликовано 9 августа, 2010 · Жалоба rp_filter отключен. Он нужен для отслеживания различных интерфейсов в пределе одной машины, а тут получается что пакеты либо только уходят либо только приходят... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lacost Опубликовано 9 августа, 2010 · Жалоба Цель NOTRACK в таблице raw в iptables. + iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT решили проблему. EvilShadow, спасибо за наводку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 10 августа, 2010 · Жалоба Как только не извратятся, лишь бы нормальное оборудование не покупать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...