давняя проблема с NAT

[tes+or]

незнаю как на других дистрибутивах, но на дженту у меня с давних времен периодически вылазит непонятно от чего зависящий баг - иногда не открываются некоторые сайты, при том пинг есть и он отличный и всех системных ресурсов хватает. проблема иногда есть, иногда ее нет. один раз помогла замена всего железа - заработало идеально. во всех случаях используется iptables с SNAT, в половине случаев - tc.

что очень примечательно, эта проблема вылазит со многими сайтами, но чаще всего однозначно с mail.ru

надо как-то бороться. вот конкретно сейчас в одной небольшой сетке поставил роутер, конфигурация как описано выше + pppoe, все работает идеально кроме mail.ru, юзеры воют а я даже незнаю с какого конца к проблеме подойти

[IceMan]

pppoe говоришь... я бы:
1) начал играть с ping -s <size> (clamp mss)
2) потом вырубил на время tc
3) icmp на роутере не режется?

SNAT тебе для чего? Чем MASQUERADE не угодило? Что tcpdump кажет?

[leave]

IceMan, меня на этом самом форуме с полгода назад уверяли, что маскарадинг жрет ресурсы как безумный, и вообще удел неудачников, которые предпочитают писать одно правило вместо двух

[tes+or]

в том конкретном случае именно маскарадинг, но такое было и с обычным натом

пинговать пробывал разными размерами - результат изофалический

tc вырубал - тоже самое

icmp не режется и более того, отдельно подчеркиваю, пинги идут, а http не идет

а на предмет чего смотреть в tcpdump? чесговоря я не особо умею им пользоватся, но можно попытаться, если нет более конкретных предложений

[leave]

глупо, конечно, но... mtu?

[tes+or]

хм, логично. получается модем не пропускает такие пакеты чтоли? но точно такое было и на оптическом эзернете до прова, причем вылечилось заменой роутера.

ну допустим что дело в этом, а существует ли какая-либо методика грамотного подбора mtu, а не от балды?

[tes+or]

mtu пробывал менять - не влияет. дело в том, что не влияет даже перезагрузка, т.е. это особенности данных конкретных вебсерверов, их как выяснилось довольно много, но в качестве примера возьмем mail.ru, вот вывод tcpdump, в нем есть что-то странное? мануал читать пробывал, так сходу разобратся тяжело, скажите с какими опциями запустить, я скопирую сюда вывод и попробуем выяснить в чем дело, потому что проблема повторяется давно и упорно.

Код: Выделить всё

tcpdump -i ppp0 -A host mail.ru
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
00:23:33.849999 IP 192.168.0.51.10489 > mail.ru.http: R 1923816369:1923816369(0) ack 3634099572 win 0
E..(..@...9....3.E.+(..Pr......tP.......
00:23:34.343332 IP mm-12-190-84-93.dynamic.pppoe.mgts.by.11197 > mail.ru.http: S 4189194594:4189194594(0) win 65535 <mss 1460,nop,nop,sackOK>
E..0..@....I]T...E.++..P..      b....p....+..........
00:23:34.436666 IP mail.ru.http > mm-12-190-84-93.dynamic.pppoe.mgts.by.11197: S 694742271:694742271(0) ack 4189194595 win 5840 <mss 1460,nop,nop,sackOK>
E..0..@...
..E.+]T...P+.)h....     cp...............
00:23:34.436666 IP mm-12-190-84-93.dynamic.pppoe.mgts.by.11197 > mail.ru.http: . ack 1 win 65535
E..(..@....M]T...E.++..P..      c)h..P....v..
00:23:34.436666 IP mm-12-190-84-93.dynamic.pppoe.mgts.by.11197 > mail.ru.http: P 1:591(590) ack 1 win 65535
E..v..@.....]T...E.++..P..      c)h..P...vF..GET / HTTP/1.1
Accept: image/gif, image
00:23:34.533332 IP mail.ru.http > mm-12-190-84-93.dynamic.pppoe.mgts.by.11197: . ack 591 win 6490
E..(#b@......E.+]T...P+.)h......P..Z....
00:23:34.559999 IP mail.ru.http > mm-12-190-84-93.dynamic.pppoe.mgts.by.11197: FP 21901:22953(1052) ack 591 win 6490
E..D#r@....o.E.+]T...P+.)iB.....P..Z..............BQ^/o..rZy.V.2......o.........
00:23:34.559999 IP mm-12-190-84-93.dynamic.pppoe.mgts.by.11197 > mail.ru.http: . ack 1 win 65535 <nop,nop,sack 1 {21901:22954}>
E..4..@....:]T...E.++..P....)h.......   .....
)iB.)iF.

[leave]

дык ответ же есть от удаленного хоста. причем не только TCP-handshake, но и http-ответ.

Код: Выделить всё

00:23:34.533332 IP mail.ru.http > mm-12-190-84-93.dynamic.pppoe.mgts.by.11197: . ack 591 win 6490
E..(#b@......E.+]T...P+.)h......P..Z....
00:23:34.559999 IP mail.ru.http > mm-12-190-84-93.dynamic.pppoe.mgts.by.11197: FP 21901:22953(1052) ack 591 win 6490
E..D#r@....o.E.+]T...P+.)iB.....P..Z..............BQ^/o..rZy.V.2......o.........
00:23:34.559999 IP mm-12-190-84-93.dynamic.pppoe.mgts.by.11197 > mail.ru.http: . ack 1 win 65535 <nop,nop,sack 1 {21901:22954}>
E..4..@....:]T...E.++..P....)h.......   .....
)iB.)iF.

единственное - меня смущает размер окна.
добавь tcpdump'у параметр -v(vv/vvv), посмотрим подробнее.

[IceMan]

IceMan, меня на этом самом форуме с полгода назад уверяли, что маскарадинг жрет ресурсы как безумный, и вообще удел неудачников, которые предпочитают писать одно правило вместо двух

У MASQUERADE и SNAT суть одна, но в первом случае не нужно думать про текущий ip на интерфейсе. Про "безумное" пожирание ресурсов слышу впервые (если не лень - сбрось линк на тред, где обсуждали) У MASQUERADE скорее разница проявляется в момент смены состояния интерфейса в районе таблицы NAT.

mm-12-190-84-93.dynamic.pppoe.mgts.by - у товарища судя по всему ip не статический, так что в этом контексте придумывать себе лишний геморрой с SNAT - ИМХО лишнее.

[Llama]

говноциски с "противихаккерскими" фильтрами нет?

[tes+or]

только если на провайдере, но ситуация на удивление повторяема в самых разных местах, даже на очень коммерческом оптическом ethernet канале, причем на практике лечится заменой всего железа и полной переустановкой ОС, так что мне довольно трудно судить в чем дело, есть только эксперементальные данные и их результаты широки до бессмысленности, почему и спрашиваю

единственное что могу сказать - баг был только в gentoo.

сейчас нет возможности протестить с опцией -v, -vv или -vvv, но по результатам наблюдений - проблема имеет отношение к какому-то виду редиректа, причем, что примечательно, в дефолтном конфиге sysctl в gentoo есть некие опции имеющие отношение к редиректам, природу которых я пока не прояснил для себя. стоит ли копать в этом направлении?

т.е. было замечено что проблемы возникают на сайтах в обилии использующих редиректы, вроде как, хотя я пока не уверен.

[leave]

У генту вообще весьма странная сетевая подсистема. Я детально не разбирался, но временами создается впечатление, что у них там патчей на ядро не меньше, чем у шапки. Вот как сейчас помню, на СвиссХосте была проблема: с клиентской генты через шлюз на ipfw не проходил первый ICMP echo-request; с винды проходил, с дебиана, с хакинтоша даже. Так что, тестор, выкидывай ты генту со шлюзов

[tes+or]

ну вообще у меня почти все машины роутеры, причем до определенных пор вроде как и проблемы то небыло, возможно проблема началась с какой-то версии, но я не уверен что с какой-то конкретной, тем более что есть как минимум одна свежая инсталляция гентовского роутера работающая идеально под большой нагрузкой и со сложной конфигурацией, я бы даже сказал с очень сложной.

ну да ладно, ближе к делу, вот:

Код: Выделить всё

tcpdump -i ppp0 -vvv -A host mail.ru
tcpdump: listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
23:54:26.909999 IP (tos 0x0, ttl 127, id 55420, offset 0, flags [DF], proto TCP (6), length 48) mm-28-189-84-93.dynamic.pppoe.mgts.by.17079 > mail.ru.http: S, cksum 0x22cd (correct), 24881136:24881136(0) win 65535 <mss 1460,nop,nop,sackOK>
E..0.|@....k]T...E.)B..P.{......p..."...........
23:54:26.989999 IP (tos 0x0, ttl 251, id 0, offset 0, flags [DF], proto TCP (6), length 48) mail.ru.http > mm-28-189-84-93.dynamic.pppoe.mgts.by.17079: S, cksum 0x6fc3 (correct), 4228882456:4228882456(0) ack 24881137 win 5840 <mss 1460,nop,nop,sackOK>
E..0..@......E.)]T...PB......{..p...o...........
23:54:26.989999 IP (tos 0x0, ttl 127, id 55426, offset 0, flags [DF], proto TCP (6), length 40) mm-28-189-84-93.dynamic.pppoe.mgts.by.17079 > mail.ru.http: ., cksum 0xb357 (correct), 1:1(0) ack 1 win 65535
E..(..@....m]T...E.)B..P.{......P....W..
23:54:26.989999 IP (tos 0x0, ttl 127, id 55427, offset 0, flags [DF], proto TCP (6), length 814) mm-28-189-84-93.dynamic.pppoe.mgts.by.17079 > mail.ru.http: P 1:775(774) ack 1 win 65535
E.....@....f]T...E.)B..P.{......P....1..GET / HTTP/1.1
Accept: image/gif, image
23:54:27.079999 IP (tos 0x0, ttl 251, id 47889, offset 0, flags [DF], proto TCP (6), length 40) mail.ru.http > mm-28-189-84-93.dynamic.pppoe.mgts.by.17079: ., cksum 0x951b (correct), 1:1(0) ack 775 win 6966
E..(..@...P..E.)]T...PB......{..P..6....
23:54:27.106666 IP (tos 0x0, ttl 251, id 47904, offset 0, flags [DF], proto TCP (6), length 760) mail.ru.http > mm-28-189-84-93.dynamic.pppoe.mgts.by.17079: FP 20441:21161(720) ack 775 win 6966
E.... @...M..E.)]T...PB......{..P..6H......U
...w......XU.fo.. h..W....E...H..Q.
23:54:27.106666 IP (tos 0x0, ttl 127, id 55433, offset 0, flags [DF], proto TCP (6), length 52) mm-28-189-84-93.dynamic.pppoe.mgts.by.17079 > mail.ru.http: ., cksum 0x9f65 (correct), 775:775(0) ack 1 win 65535 <nop,nop,sack 1 {20441:21162}>
E..4..@....Z]T...E.)B..P.{...........e.....
........
^C
7 packets captured
15 packets received by filter
0 packets dropped by kernel

[leave]

Ну tcp-соединение же устанавливается нормально, даже GET-запрос уходит. А есть какие результаты ответа на этот гет?

[tes+or]

все, на этом месте всякий обмен данными прекращается