Re: lug-bg: iptables SNAT --to pool ...

[Danail Petrov]

Аз все още немога да разреша този проблем :)
ето още малко инфо (в случай че на някой му е интересно:))
undertown:~# iptables -t nat -I POSTROUTING -p tcp -d 212.5.145.42 
--dport 80 -j SNAT --to 212.5.155.101

/правя снат на всичко което излиза към ип 212.5.145.42:80 да излиза със 
сорс адрес 212.5.155.101/

undertown:~# tcptraceroute 212.5.145.42 80
Selected device eth0, address 212.5.155.100, port 33414 for outgoing packets
Tracing the path to 212.5.145.42 on TCP port 80, 30 hops max
1  * * *
2  * * *
3  * * *
4  * * *
5  * * *
<кръц>
(Тук се случва нещо странно , което ще опша малко по надолу )
</кръц>
30 * * *
Същият tcptrace минава когато твърдо задам ип-то с което искам да излезна
undertown:~# tcptraceroute -s 212.5.155.101 212.5.145.42
Selected device eth0, address 212.5.155.101, port 33519 for outgoing packets
Tracing the path to 212.5.145.42 on TCP port 80, 30 hops max
1  zora.inetg.bg (212.5.155.97)  0.531 ms  0.350 ms  0.321 ms
2  Suny-DS-ether2-to-Zora2.PPPoE-leased (212.116.134.13)  2.188 ms  
3.426 ms  1.858 ms
3  rszl-ether-2-RadioLAN.inetg.bg (212.116.134.129)  1.924 ms  1.734 
ms  2.643 ms
4  big.inetg.bg (212.5.145.20)  9.340 ms  2.696 ms  3.170 ms
5  crew.inetg.bg (212.5.145.42) [open]  6.045 ms  2.721 ms  6.754 ms

та ... говорих за странните неща който се случват по време на първия 
tcptraceroute . Ето какво се случва на машината  в същия момент ...

undertown:~# tethereal -i eth0 dst host 212.5.145.42 and src host 
212.5.155.101
Capturing on eth0
 0.000000 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
 3.006024 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
 6.007149 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
 9.007678 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
12.008212 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
15.008759 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
18.009313 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
21.009841 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
24.011898 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
27.012430 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
30.013497 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
33.014027 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
36.014575 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
-------- от тук нататък ., след като бъде изпратен TCP с повдигнат RST 
бит , машината 212.5.145.42 започва да получава ---
36.017318 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0
39.015101 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
39.018119 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0
42.015636 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
42.018897 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0

Това е output от 212.5.145.42 , и всичката информация започва да се 
появява след първия  TCP-RST bit

 0.000000 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
 0.003112 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0
 3.000455 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
 3.003957 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0
 6.000934 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
 6.003924 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0
 9.000905 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
 9.003998 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0
12.001539 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
12.004478 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0
15.000999 212.5.155.101 -> 212.5.145.42 TCP [TCP ZeroWindow] 33737 > 
www [SYN] Seq=0 Ack=0 Win=0 Len=0
15.003903 212.5.155.101 -> 212.5.145.42 TCP 33737 > www [RST] Seq=1 
Ack=0 Win=0 Len=0

В началото си помислих че най-вероятно става въпрос за нещо свързано със 
syn-cookie support-a в кърнала , но не е това ...

undertown:~# cat /proc/net/ip_conntrack |egrep 212.5.155.101 |grep 
dport=80|head
tcp      6 92 TIME_WAIT src=192.168.0.23 dst=128.242.237.107 sport=1052 
dport=80 src=212.5.155.101 dst=192.168.0.23 sport=8080 dport=1052 
[ASSURED] use=1
tcp      6 53 CLOSE_WAIT src=192.168.0.81 dst=62.73.113.248 sport=1353 
dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1353 
[ASSURED] use=1
tcp      6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 
sport=1956 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 
dport=1956 [ASSURED] use=1
tcp      6 68 TIME_WAIT src=192.168.0.81 dst=195.149.248.133 sport=2073 
dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=2073 
[ASSURED] use=1
tcp      6 13 TIME_WAIT src=192.168.0.110 dst=213.226.6.10 sport=3524 
dport=80 src=212.5.155.101 dst=192.168.0.110 sport=8080 dport=3524 
[ASSURED] use=1
tcp      6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 
sport=1821 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 
dport=1821 [ASSURED] use=1
tcp      6 431984 ESTABLISHED src=192.168.0.118 dst=80.72.67.8 
sport=1147 dport=80 src=212.5.155.101 dst=192.168.0.118 sport=8080 
dport=1147 [ASSURED] use=1
tcp      6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 
sport=1500 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 
dport=1500 [ASSURED] use=1
tcp      6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 
sport=1823 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 
dport=1823 [ASSURED] use=1
tcp      6 53 CLOSE_WAIT src=192.168.0.81 dst=62.73.113.248 sport=1853 
dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1853 
[ASSURED] use=1

undertown:~# cat /proc/net/ip_conntrack |egrep 212.5.155.100 |grep 
dport=80|head
tcp      6 102 TIME_WAIT src=195.34.96.5 dst=212.5.155.100 sport=2769 
dport=80 src=212.5.155.100 dst=195.34.96.5 sport=80 dport=2769 [ASSURED] 
use=1
tcp      6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248 
sport=32779 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80 
dport=32779 [ASSURED] use=1
tcp      6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248 
sport=34295 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80 
dport=34295 [ASSURED] use=1
tcp      6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 
sport=2271 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080 
dport=2271 [ASSURED] use=1
tcp      6 431996 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 
sport=2091 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080 
dport=2091 [ASSURED] use=1
tcp      6 102 TIME_WAIT src=212.5.155.100 dst=212.5.145.7 sport=34364 
dport=80 src=212.5.145.7 dst=212.5.155.100 sport=80 dport=34364 
[ASSURED] use=1
tcp      6 431996 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 
sport=1999 dport=80 src=212.5.155.100 dst=192.168.0.81 sport=8080 
dport=1999 [ASSURED] use=1
tcp      6 431999 ESTABLISHED src=212.5.155.100 dst=62.73.113.248 
sport=34095 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80 
dport=34095 [ASSURED] use=1
tcp      6 33 TIME_WAIT src=212.5.155.100 dst=213.16.55.67 sport=34328 
dport=80 src=213.16.55.67 dst=212.5.155.100 sport=80 dport=34328 
[ASSURED] use=1
tcp      6 431998 ESTABLISHED src=212.5.155.100 dst=62.73.113.248 
sport=33922 dport=80 src=62.73.113.248 dst=212.5.155.100 sport=80 
dport=33922 [ASSURED] use=1

Oт тук се вижда че нещата са наред ..... ДА АМА НЕ! , след като видях 
това "tcp      6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 
sport=1500 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 
dport=1500 [ASSURED] use=1" веднага се логнах на машинаата 62.73.113.248 
и видях че такъв ESTABLISHED connection просто НЯМА .... всички конекций 
бяха от ИП 212.5.155.100 ...... (това ме разби ..)

Значи ето малко ино за машината с 2-те ипта /212.5.155.100-101/
undertown:~# uname -a
Linux undertown 2.6.7-1-386 #1 Thu Jul 8 05:08:04 EDT 2004 i686 GNU/Linux
Дебиан 3.1
net.ipv4.conf.eth1.arp_filter = 0
net.ipv4.conf.eth1.rp_filter = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.tcp_syncookies = 0

До преди 2 дена когато нещата работиха със същите конфигураций машината 
беше същата ,
но кернел-а беше 2.4.22 .и дистрибуцията беше Слак 9.х

Незнам дали да не пробвам и тук да сложа 2.4. ..... вече се ошашавих 
..... и нищо не ми идва на ум ....

Та .... някой да има някаква представа защо се случва това нещо? :):)
Поздрави,
Данаил Петров
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================