Re: Маскарадинг и некоторые сервера в интернет

To: Владимир Скубриев <vladimir@skubriev.ru>
Cc: Debian-russian@lists.debian.org
Subject: Re: Маскарадинг и некоторые сервера в интернет
From: "Dmitry E. Oboukhov" <unera@debian.org>
Date: Mon, 12 Aug 2013 12:27:40 +0400
Message-id: <[🔎] 20130812082740.GF6854@vdsl.uvw.ru>
In-reply-to: <[🔎] 52088EDB.1020807@skubriev.ru>
References: <[🔎] 20130810082521.GB32496@vdsl.uvw.ru> <[🔎] 52088EDB.1020807@skubriev.ru>

> у меня домашний сервак много лет работает в примерно такой
> конфигурации:

> локалкочный IP eth0: 10.0.0.1/24

> iptables -s 10.0.0.1/24 -t nat -A POSTROUTING -j MASQUERADE
> iptables -A INPUT -p ALL -m state --state  ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -p ALL -i eth0 -j ACCEPT

> полный доступ из локалки в интернет в итоге есть, кроме одного сайта:
> github.com.

> на него любое обращение "зависает".
> с сервера работает curl https://github.com, а вот из локалки нет.
> netstat'ом вижу что curl открыл соединение на github.com:443 и все.
> на этом висит.

> в чем может быть проблема? чего-то я забыл промаскарадить?
> проблема началась с того, что на сервере вышла из строя материнская
> плата и вследствие этого сервер переехал на новое железо, куда
> поставили wheezy/linux 3.2 (до этого 2.6.сколько-то там) + взяли
> старые конфиги.

> на новом ядре такого маскарадинга/форвардина недостаточно?
> чего не хватает? пинговать пингует, только https не открывает.
> все прочие сайты работают.

> у меня последний раз была похожая проблема.
> у меня не открывались mirror.yandex.ru и speedtest.net

> кстати у вас эти сайты открываются ?

> помогло правило вычисления и установки mtu на сервере

> iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
> --clamp-mss-to-pmtu

> http://habrahabr.ru/post/136871/
> http://www.opennet.ru/base/net/pppoe_mtu.txt.html

> еще мне помогло правило

> Запись пакетов для последующего анализа wireshark
> tcpdump -lnni eth0 -w dump -s 65535 port 80

> там где запустите появится файлик когда будете делать запросы к гитхабу и после
> уже проанализируете этот дамп на другой машине с установленным ваершарком

да спасибо всем, разобрался

вкратце - разные MTU на ppp и lan интерфейсе и из за этого не работали
некоторые сайты.
далее нужно для решения проблемы правило в iptables (вышеприведенное),
это причем описано в man iptables
+ обязательно надо донастроить ppp добавив опцию CLAMPMSS


-- 

. ''`.                               Dmitry E. Oboukhov
: :’  :   email: unera@debian.org jabber://UNera@uvw.ru
`. `~’              GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537

Attachment: signature.asc
Description: Digital signature

Reply to:

References:
- Маскарадинг и некоторые сервера в интернет
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: Маскарадинг и некоторые сервера в интернет
  - From: Владимир Скубриев <vladimir@skubriev.ru>

Prev by Date: Re: Маскарадинг и некоторые сервера в интернет
Next by Date: Fwd: Причина пробуждения ноутбука из ждущего режима
Previous by thread: Re: Маскарадинг и некоторые сервера в интернет
Next by thread: Fwd: Причина пробуждения ноутбука из ждущего режима
Index(es):
- Date
- Thread