On 7/10/13, Eugene Berdnikov <[email protected]> wrote: > Насколько я вижу, пакет > > 13:39:29.950920 IP (tos 0x0, ttl 56, id 58211, offset 0, flags [DF], proto > TCP (6), length 1492) > 68.232.34.223.80 > gateway.49336: Flags [.], cksum 0xd33d (correct), seq > 7261:8713, ack 215, win 15872, length 1452 > > не был передан на внутренний интерфейс. Поэтому возникает подозрение, > что причиной генерации RST является содержимое именно этого пакета. > Нет ли в настройках iptables шлюза правил, которые могут приводить > к генерации RST?
Нет. Если бы было так просто, я бы к коллективному разуму не обращался. По крайней мере, явных таких правил нет. > Если правил больше одного, то интересно, где именно теряется тот > недоставленный клиенту пакет. Предлагаю включить трассировку для пакетов, > которые интересны (через iptables -t raw ... -j TRACE) и попытаться > понять, где ломается нормальная последовательность прохождения пакетов > по цепочкам iptables. Странно, но ни в man iptables (1.4.18, sid, домашняя машина), ни в http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html про TRACE ни слова. Зато в http://linux.die.net/man/8/iptables есть. Надеюсь, ядро в lenny уже поддерживало TRACE (да у нас такой древний софт на шлюзе, но я в этом не виноват). Спасибо за подсказку. И пока писал, скачалось ядро из ленни, там всё есть! :) > В данном случае это кажется невозможным из-за срабатывания правила > в OUTPUT, но если на шлюзе где-то есть бридж, то вероятность наступить > на какой-то баг ядра мне кажется немаленькой. Нет, бриджа там тоже нет.
