Üdv Mindenkinek! Egy számomra érdekes, és kicsit érthetelen problémával kerültem szembe. Magár a problémát elhárítottuk, de hogy miért úgy működött ahogy, azt nem tudom. Ebben várnék némi segítséget. (Igazán nem tudom megmagyarázni a jelenséget) Felállás: szerver ]----[(eth1) tűzfal (iptables) (ppp0-adsl)]--[Internet]-- Zorp -- kliens Jelenség: ZORP mögötti kliensről: -a kliensről a szerverre jól lehetet másolni (pl. scp), upload működött. -a szerverről a kliensre viszont nem -ha bessháztunk és egy "hosszabb" listát kértünk (pl. ls -al / ) akkor egyszerűen fel akadt az ssh kliens -a kliens semmilyen nagyobb csomagokat (pl. http) nem tudodd letölteni a szerverről -ugyan ez volt a jelenség minden olyan gépről, aki nem volt nat-olás mögött -mtu/mss jól volt beállítva BÁRMILYEN NAT-olós tűzfal (pl. LinkSys) mögül tökéletesen működött (legalábbis látszólag) Ezért -majdenm- mindenki a Zorp-ban kereste a híbát. :( A hiba (persze nem a Zorpban :)) az volt hogy a tűzfalon az iptablesben a postrouting így nézet ki: -A POSTROUTING -j MASQUERADE Szóval minden interfacere volt masquerade. Kijavítottuk, hogy csak kifele legyen SNAT. Így minde O.K. Előre is kösz, ha van ötlet: Kucsera
On Fri, 2007-02-23 at 21:19 +0100, Qcsera wrote:
Üdv Mindenkinek!
Egy számomra érdekes, és kicsit érthetelen problémával kerültem szembe. Magár a problémát elhárítottuk, de hogy miért úgy működött ahogy, azt nem tudom. Ebben várnék némi segítséget. (Igazán nem tudom megmagyarázni a jelenséget)
Felállás:
szerver ]----[(eth1) tűzfal (iptables) (ppp0-adsl)]--[Internet]-- Zorp -- kliens
Jelenség: ZORP mögötti kliensről: -a kliensről a szerverre jól lehetet másolni (pl. scp), upload működött. -a szerverről a kliensre viszont nem -ha bessháztunk és egy "hosszabb" listát kértünk (pl. ls -al / ) akkor egyszerűen fel akadt az ssh kliens -a kliens semmilyen nagyobb csomagokat (pl. http) nem tudodd letölteni a szerverről -ugyan ez volt a jelenség minden olyan gépről, aki nem volt nat-olás mögött -mtu/mss jól volt beállítva
hmm.. ez pedig tipikusan valamilyen mss/mtu problema. Esetleg az ICMP fragmentation needed csomagok nincsenek szurve?
BÁRMILYEN NAT-olós tűzfal (pl. LinkSys) mögül tökéletesen működött (legalábbis látszólag) Ezért -majdenm- mindenki a Zorp-ban kereste a híbát. :(
A hiba (persze nem a Zorpban :)) az volt hogy a tűzfalon az iptablesben a postrouting így nézet ki: -A POSTROUTING -j MASQUERADE
Szóval minden interfacere volt masquerade. Kijavítottuk, hogy csak kifele legyen SNAT. Így minde O.K.
Sajnos ez igy nem eleg informacio. Kellene egy pontosabb leiras a felallasrol. Ha jol ertem, valahogy igy nez ki: kliens -- NAT-olo router -- Zorp -- internet Elkepzelheto, hogy az ICMP frag needed csomagot a fenti MASQ rule elnatolta, mikozben nem kellett neki vagy vmi hasonlo. -- Bazsi
participants (2)
-
Balazs Scheidler
-
Qcsera