[Sysadmins] Блокировка IP

Dank Bagryantsev 4alt на mail.ru
Пн Июн 18 20:46:30 MSK 2012 

Здравствуйте.

Вы писали 18 июня 2012 г., 10:35:55:

R> 05.06.2012 15:16, Dank Bagryantsev пишет:
>> Я ведь не зря сказал о tcpdump'ах на роутере(ах).
>> Судя по traceroute, то от проблемного компьютера до сервера должно быть 2 роутера, так?
>> Пока видно только то, что с компьютера пакеты куда-то якобы отсылаются.

R> Возвращаясь к проблеме. tcpdump'а на роутерах нет (там вообще крайне 
R> урезанная bsd-фигня от фсб), проверить не получается.

В этом случае, есть 3 варианта, как минимум :
1.  Если у вас коммутаторы управляемые, то на многих из них есть режим
"зеркалирования" трафика порта на другой порт (у разных производителей
этот   режим  называется  по  разному).  Тогда настраиваем, подключаем
к порту, на который дублируется трафик, свой ноутбук/компьютер и смотрим
на пакеты в tcpdump или другом анализаторе трафика.

2.   Если   вдруг   есть   хаб/концентратор  (именно  хаб,  а не
свитч/коммутатор),   то  вставляем его в  разрыв между роутерами и/или
компьютерами в  нужном  месте,  и тоже смотрим.

3.   Если   нет,   ни   1,   ни   2,   то  можно попробовать перевести
какой-нибудь  дешевый коммутатор в режим хаба, например перенасыщением
памяти коммутатора, содержащей таблицу коммутации. И далее уже п.2

R> Но что интересно: я включил логирование в iptables, и если я делаю пинг с
R> клиента на сервер, то в логах значится, что пакет принят и послан 
R> возврат. А раз tcpdump на сервере показывает только пришедший
R> icmp-пакет, выходит, что возвращаемый пакет убивается прямо на сервере
R> уже ПОСЛЕ файрвола. Куда копать, вообще непонятно.

Проверьте в логе iptables MAC-адреса на входящих пакетах и исходящих.
Т.е.   на   входящих  пакетах  у  вас  SOURCE  MAC  должен быть MAC-ом
ближайшего  к  серверу  роутера,  а DESTINATION MAC должен быть MAC-ом
сетевой карты, на которой висит tcpdump.
Соответственно,   на   исходящих  пакетах  должно  быть  наоборот.  (я
предполагаю,  что  пакеты  у  вас  должны  ходить  в прямом и обратном
направлении по одному и тому же маршруту).
Если  нет,  то  выясняйте  куда  на  самом деле уходят ответные пакеты
пинга.  Возможно  они  просто  уходят  через  другой интерфейс сервера
(повесьте на всех интерфейсах по tcpdump'у).


-- 
С уважением,
 Dank

Подробная информация о списке рассылки Sysadmins