[+] Problem z otwieraniem stron (iptables?)

[WiCiO_MeDi]

Kod: Zaznacz cały

debian:~# iptables -L -t nat -nv | grep DROP
debian:~# iptables -L -nv | grep DROP
Chain INPUT (policy DROP 0 packets, 0 bytes)
    0     0 DROP       all  --  !lo    *       127.0.0.0/8          0.0.0.0/0
    0     0 DROP       all  --  ppp0   *       192.168.1.0/24       0.0.0.0/0
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
    0     0 DROP       all  --  *      ppp0    0.0.0.0/0            192.168.1.0/24
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
    0     0 DROP       all  --  *      ppp0    0.0.0.0/0            192.168.1.0/24
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

weekend przede mną to się dokształcę

Nie wiem za bardzo co mi miał dać ten pakiet tcpdump. Dowiedziałem się tylko, że nic się nie dzieje :/
Tak wygląda jak "wchodzę" na strony z komputera w sieci:

Kod: Zaznacz cały

debian:~# tcpdump host nasza-klasa.pl
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:16:07.965067 IP 192.168.1.88.50498 > nasza-klasa.pl.www: F 3612069707:3612069707(0) ack 242466884 win 4380
13:16:08.012687 IP nasza-klasa.pl.www > 192.168.1.88.50498: . ack 1 win 14
13:16:09.687216 IP 192.168.1.88.50511 > nasza-klasa.pl.www: S 268816887:268816887(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
13:16:09.723098 IP nasza-klasa.pl.www > 192.168.1.88.50511: S 1292147057:1292147057(0) ack 268816888 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 9>
13:16:09.724038 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 1 win 4380
13:16:09.724749 IP 192.168.1.88.50511 > nasza-klasa.pl.www: P 1:411(410) ack 1 win 4380
13:16:09.823267 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 1:1453(1452) ack 411 win 14
13:16:09.833603 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 1453:2905(1452) ack 411 win 14
13:16:09.834188 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 2905:2921(16) ack 411 win 14
13:16:09.835163 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 2905 win 4380
13:16:09.883112 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 2921:4373(1452) ack 411 win 14
13:16:09.883692 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 4373:4381(8) ack 411 win 14
13:16:09.884541 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 4373 win 4380
13:16:09.894224 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 4381:5833(1452) ack 411 win 14
13:16:09.895730 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 5833 win 4380
13:16:09.931216 IP nasza-klasa.pl.www > 192.168.1.88.50511: . 5833:7285(1452) ack 411 win 14
13:16:09.935972 IP nasza-klasa.pl.www > 192.168.1.88.50511: F 7285:7881(596) ack 411 win 14
13:16:09.937108 IP 192.168.1.88.50511 > nasza-klasa.pl.www: . ack 7882 win 4380
13:16:09.937270 IP 192.168.1.88.50511 > nasza-klasa.pl.www: F 411:411(0) ack 7882 win 4380
13:16:09.977091 IP nasza-klasa.pl.www > 192.168.1.88.50511: . ack 412 win 14
^C
20 packets captured
21 packets received by filter
0 packets dropped by kernel
debian:~# tcpdump host softexia.com
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:16:45.066142 IP 192.168.1.88.50532 > softexia.com.www: S 555158626:555158626(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
13:16:45.139752 IP softexia.com.www > 192.168.1.88.50532: S 2171606244:2171606244(0) ack 555158627 win 65535 <mss 1460,nop,wscale 3,sackOK,eol>
13:16:45.140615 IP 192.168.1.88.50532 > softexia.com.www: . ack 1 win 4380
13:16:45.141170 IP 192.168.1.88.50532 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:16:45.437885 IP 192.168.1.88.50532 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:16:46.037952 IP 192.168.1.88.50532 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:16:47.241230 IP 192.168.1.88.50532 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:16:47.320501 IP softexia.com.www > 192.168.1.88.50532: . ack 516 win 8212
13:17:55.134184 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:17:56.176237 IP 192.168.1.88.50534 > softexia.com.www: S 184054387:184054387(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
13:17:56.244424 IP softexia.com.www > 192.168.1.88.50534: S 1882374632:1882374632(0) ack 184054388 win 65535 <mss 1460,nop,wscale 3,sackOK,eol>
13:17:56.245329 IP 192.168.1.88.50534 > softexia.com.www: . ack 1 win 4380
13:17:56.246025 IP 192.168.1.88.50534 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:17:56.545073 IP 192.168.1.88.50534 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:17:57.145132 IP 192.168.1.88.50534 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:17:58.345220 IP 192.168.1.88.50534 > softexia.com.www: P 1:516(515) ack 1 win 4380
13:17:58.425649 IP softexia.com.www > 192.168.1.88.50534: . ack 516 win 8212
13:17:58.435976 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:18:05.036450 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:18:18.237433 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:18:44.641429 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:19:37.442291 IP 192.168.1.88.50532 > softexia.com.www: F 516:516(0) ack 1 win 4380
13:20:37.443538 IP 192.168.1.88.50532 > softexia.com.www: R 517:517(0) ack 1 win 0

A tak wygląda jak wejdę na stronę z konsoli (links2):

Kod: Zaznacz cały

debian:~# tcpdump -i ppp0 host nasza-klasa.pl
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
13:25:04.178260 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: S 1047040608:1047040608(0) win 5808 <mss 1452,sackOK,timestamp 223802 0,nop,wscale 7>
13:25:04.215203 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: S 1269051846:1269051846(0) ack 1047040609 win 5792 <mss 1460,sackOK,timestamp 61281419 223802,nop,wscale 9>
13:25:04.215241 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 1 win 46 <nop,nop,timestamp 223812 61281419>
13:25:04.215336 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: P 1:600(599) ack 1 win 46 <nop,nop,timestamp 223812 61281419>
13:25:04.309718 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . 1:1441(1440) ack 600 win 14 <nop,nop,timestamp 61281440 223812>
13:25:04.309744 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 1441 win 68 <nop,nop,timestamp 223835 61281440>
13:25:04.320296 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . 1441:2881(1440) ack 600 win 14 <nop,nop,timestamp 61281440 223812>
13:25:04.320318 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 2881 win 91 <nop,nop,timestamp 223838 61281440>
13:25:04.330401 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: P 2881:4321(1440) ack 600 win 14 <nop,nop,timestamp 61281440 223812>
13:25:04.330422 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 4321 win 113 <nop,nop,timestamp 223840 61281440>
13:25:04.351107 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . 4321:5761(1440) ack 600 win 14 <nop,nop,timestamp 61281451 223835>
13:25:04.351126 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 5761 win 136 <nop,nop,timestamp 223845 61281451>
13:25:04.361211 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . 5761:7201(1440) ack 600 win 14 <nop,nop,timestamp 61281451 223835>
13:25:04.361231 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: . ack 7201 win 158 <nop,nop,timestamp 223848 61281451>
13:25:04.367799 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: F 7201:8033(832) ack 600 win 14 <nop,nop,timestamp 61281451 223835>
13:25:04.367848 IP 87-205-219-169.adsl.inetia.pl.60297 > 195.93.178.5.www: F 600:600(0) ack 8034 win 181 <nop,nop,timestamp 223850 61281451>
13:25:04.400998 IP 195.93.178.5.www > 87-205-219-169.adsl.inetia.pl.60297: . ack 601 win 14 <nop,nop,timestamp 61281465 223850>
^C
17 packets captured
23 packets received by filter
0 packets dropped by kernel
debian:~# tcpdump -i ppp0 host softexia.com
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
13:25:33.813935 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: S 1529042092:1529042092(0) win 5808 <mss 1452,sackOK,timestamp 231211 0,nop,wscale 7>
13:25:33.883306 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: S 2768069208:2768069208(0) ack 1529042093 win 65535 <mss 1452,nop,wscale 3,sackOK,timestamp 1543524819 231211>
13:25:33.883336 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 1 win 46 <nop,nop,timestamp 231229 1543524819>
13:25:33.883594 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: P 1:598(597) ack 1 win 46 <nop,nop,timestamp 231229 1543524819>
13:25:33.997538 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 1:1441(1440) ack 598 win 8280 <nop,nop,timestamp 1543524924 231229>
13:25:33.997564 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 1441 win 68 <nop,nop,timestamp 231257 1543524924>
13:25:34.008105 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 1441:2881(1440) ack 598 win 8280 <nop,nop,timestamp 1543524924 231229>
13:25:34.008129 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 2881 win 91 <nop,nop,timestamp 231260 1543524924>
13:25:34.074635 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 2881:4321(1440) ack 598 win 8280 <nop,nop,timestamp 1543525001 231257>
13:25:34.074658 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 4321 win 113 <nop,nop,timestamp 231276 1543525001>
13:25:34.085244 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 4321:5761(1440) ack 598 win 8280 <nop,nop,timestamp 1543525001 231257>
13:25:34.085263 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 5761 win 136 <nop,nop,timestamp 231279 1543525001>
13:25:34.095328 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 5761:7201(1440) ack 598 win 8280 <nop,nop,timestamp 1543525009 231260>
13:25:34.095348 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 7201 win 158 <nop,nop,timestamp 231282 1543525009>
13:25:34.105678 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 7201:8641(1440) ack 598 win 8280 <nop,nop,timestamp 1543525009 231260>
13:25:34.105697 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 8641 win 181 <nop,nop,timestamp 231284 1543525009>
13:25:34.150303 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 8641:10081(1440) ack 598 win 8280 <nop,nop,timestamp 1543525076 231276>
13:25:34.150323 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 10081 win 203 <nop,nop,timestamp 231295 1543525076>
13:25:34.160627 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 10081:11521(1440) ack 598 win 8280 <nop,nop,timestamp 1543525076 231276>
13:25:34.160646 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 11521 win 226 <nop,nop,timestamp 231298 1543525076>
13:25:34.170980 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 11521:12961(1440) ack 598 win 8280 <nop,nop,timestamp 1543525088 231279>
13:25:34.171000 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 12961 win 248 <nop,nop,timestamp 231300 1543525088>
13:25:34.181085 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 12961:14401(1440) ack 598 win 8280 <nop,nop,timestamp 1543525088 231279>
13:25:34.181104 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 14401 win 271 <nop,nop,timestamp 231303 1543525088>
13:25:34.191673 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . 14401:15841(1440) ack 598 win 8280 <nop,nop,timestamp 1543525096 231282>
13:25:34.191694 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 15841 win 293 <nop,nop,timestamp 231306 1543525096>
13:25:34.199542 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: P 15841:16920(1079) ack 598 win 8280 <nop,nop,timestamp 1543525096 231282>
13:25:34.199562 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 16920 win 316 <nop,nop,timestamp 231308 1543525096>
13:25:36.904791 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: F 598:598(0) ack 16920 win 316 <nop,nop,timestamp 231984 1543525096>
13:25:36.970778 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: . ack 599 win 8280 <nop,nop,timestamp 1543527907 231984>
13:25:36.971470 IP softexia.com.www > 87-205-219-169.adsl.inetia.pl.60417: F 16920:16920(0) ack 599 win 8280 <nop,nop,timestamp 1543527907 231984>
13:25:36.971499 IP 87-205-219-169.adsl.inetia.pl.60417 > softexia.com.www: . ack 16921 win 316 <nop,nop,timestamp 232001 1543527907>

[arturimagda]

Wygląda na to że (jak na razie) żaden pakiet nie został "dropnięty". Może masz jakieś problemy z dnsami? Może gdzieś na styku router<>klienty windows coś jest nie tak?

[fnmirk]

arturimagda, gdybyś przeoczył to masz do przeczytania prywatną wiadomość.

[grzesiek]

Tak szczerze mówiąc to tak jak napisałem, jak działało i nagle przestało bez ruszania konfiguracji to raczej nie jest to zapora.
Domyślam się ze masz jakąś tam pulę adresów publicznych IP do użytku, 6 chyba. Przypisz dla serwera inny adres, nie używany i wtedy zobacz czy stronki działają. W tym celu musisz zmienić konfiguracje karty, albo zrobić alias i zmienić lub dodać regułę w POSTROUTING, która maskuje ruch wychodzący z sieci.

[WiCiO_MeDi]

Może masz jakieś problemy z dnsami? Może gdzieś na styku router<>klienty windows coś jest nie tak?

DNSy są na sztywno wpisane na każdym komputerze (adresy Netii) i działają jak zmieni się bramę. Z tego samego powodu wykluczam błąd po stronie rutera.

Domyślam się ze masz jakąś tam pulę adresów publicznych IP do użytku, 6 chyba. Przypisz dla serwera inny adres, nie używany i wtedy zobacz czy stronki działają. W tym celu musisz zmienić konfiguracje karty, albo zrobić alias i zmienić lub dodać regułę w POSTROUTING, która maskuje ruch wychodzący z sieci.

Internet mamy z Netii, więc pula adresów publicznych jest dość spora i zmienia się co 24h. Nie mogę przypisać innego adresu publicznego gdyż jest przydzielany automatycznie. Chyba, że masz na myśli adres w sieci lokalnej, ale nie wiem co to miałoby wspólnegoz moim problemem :/
Proszę o jaśniejsze instrukcje

[Anetka]

Wicio; czy okreslone hosty nie działają zawsze, czy też czasem działają a czasem nie? Czy w momencie gdy nie działają jakieś tam strony inne strony (na tej samej przeglądarce/windowsie) są dostępne?

[WiCiO_MeDi]

Droga Anetko,
Tak działają
Nie zaprzątałbym Wam głowy, gdyby żadna strona nie chodziła. Zawsze nie chodzą te same strony. Z pamięci powiem: nasza-klasa.pl, softexia.com, enion.pl, epson.com i kilka innych, ale nie pamiętam dokładnie. Wpisuje człowiek adres strony, wciska ENTER i czeka, a tu nic. Więc idzie taki człowiek na inny komputer, a tam dalej nic. To zgłasza w biurze, że ta strona nie działa, aby każdy (5 stanowisk) ją sprawdził. Gdy nikomu nie działa ta jedna strona to zmienia wtedy bramę (tylko) i wtedy się otwiera. Dla nas to dość uciążliwa ciekawostka.

[grzesiek]

Mamy w firmie postawiony serwer na Debian 5.0, do którego podłączony jest modem ADSL przez LAN. Wszystkie komputery są podłączone do rutera (AirLive z Tomato). W sieci mamy dwie bramy do internetu: jedna z serwera a druga bezpośrednio z AP (wifi). Wszystkie strony się otwierają w konsoli linuksa, natomiast już na komputerach w sieci jest problem. Na drugiej bramie oczywiście wszystko chodzi.

Zaraz zaraz, to jak to jest. Masz

Kod: Zaznacz cały

[font=Fixedsys]WAN ---> ADSL ---> Debian ---> Host
                                    |
                                  AP[/font]  ---> Host
                    

Teraz mnie interesuje ta linia połączenia między Debianem a AP. Jak to wygląda.
Możesz też dla ułatwienia sprawy pokazać reguły zapory (nie listing z polecenia iptables) i narysować schemat opisany adresami, bo nie wiem po co dwie bramy i jak to wygląda.

[WiCiO_MeDi]

Kod: Zaznacz cały

WAN1(adsl) ---> Debian(192.168.1.11) -
                                      |
                                       ---> Ruter(192.168.1.1) ---> Host(192.168.1.x)
                                      |
WAN2(wifi) ---> AP(port WAN) ---------

Punkt dostępowy (AP) jest podłączony do portu WAN na ruterze, nie ma adresu bo jest przeźroczysty.
O jakich regułach mówisz?

[grzesiek]

Sam tworzyłeś zaporę ogniową? Chodzi mi o taki pliczek, zapewne mieszczący się w /etc/init.d/, w którym zapisane są te reguły.
Próbowałeś na routerze wypiąć z portu WAN kabel i spróbować tylko na Debianie? Chodzi o to aby wyeliminować router na drodze - niech zadziała jako przełącznik tylko.
Na routerze jest DHCP włączony? jeżeli tak to wyłącz go na czas tych testów. Sprawdź w właściwościach połączenia jakie parametry otrzyłała karta sieciowa klienta.