Re: Непонятные RST
On 7/10/13, Eugene Berdnikov <bd4@protva.ru> wrote:
> Насколько я вижу, пакет
>
> 13:39:29.950920 IP (tos 0x0, ttl 56, id 58211, offset 0, flags [DF], proto
> TCP (6), length 1492)
> 68.232.34.223.80 > gateway.49336: Flags [.], cksum 0xd33d (correct), seq
> 7261:8713, ack 215, win 15872, length 1452
>
> не был передан на внутренний интерфейс. Поэтому возникает подозрение,
> что причиной генерации RST является содержимое именно этого пакета.
> Нет ли в настройках iptables шлюза правил, которые могут приводить
> к генерации RST?
Нет. Если бы было так просто, я бы к коллективному разуму не обращался.
По крайней мере, явных таких правил нет.
> Если правил больше одного, то интересно, где именно теряется тот
> недоставленный клиенту пакет. Предлагаю включить трассировку для пакетов,
> которые интересны (через iptables -t raw ... -j TRACE) и попытаться
> понять, где ломается нормальная последовательность прохождения пакетов
> по цепочкам iptables.
Странно, но ни в man iptables (1.4.18, sid, домашняя машина), ни в
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html про TRACE ни
слова. Зато в http://linux.die.net/man/8/iptables есть. Надеюсь, ядро в lenny
уже поддерживало TRACE (да у нас такой древний софт на шлюзе, но я в этом не
виноват). Спасибо за подсказку. И пока писал, скачалось ядро из ленни, там всё
есть! :)
> В данном случае это кажется невозможным из-за срабатывания правила
> в OUTPUT, но если на шлюзе где-то есть бридж, то вероятность наступить
> на какой-то баг ядра мне кажется немаленькой.
Нет, бриджа там тоже нет.
Reply to: