Титла: Голям проблем с интернета
Публикувано от: bashi1 в Mar 26, 2008, 21:04
Привет! Днес ми се случи нешто много странно с интернета. Всичко си вьрвеше добре. Интернета ми е VPN. Днес нещо се случи и като се опитам да да пусна пинг кьм някои локален server ми дава:
ping: sendmsg: Operation not permitted
Обадих се на достажчика ми и се устаножи че проблема не е в него - и MAC на карата е добре.
Сега нямам и външен интернет. Какво може да съм объркал?
ping: sendmsg: Operation not permitted
Обадих се на достажчика ми и се устаножи че проблема не е в него - и MAC на карата е добре.
Сега нямам и външен интернет. Какво може да съм объркал?
Титла: Голям проблем с интернета
Публикувано от: neter в Mar 26, 2008, 22:11
За ping-а, проблемът би трябвало да се реши с
Липсата на международна свързаност ми прилича на друг проблем и ако не си слагал някакви защитни стени, то проблемът трябва да се търси при доставчика
edit: Извинявай, малко бях сбъркал командата
| Примерен код |
| chmod 4755 /bin/ping |
Липсата на международна свързаност ми прилича на друг проблем и ако не си слагал някакви защитни стени, то проблемът трябва да се търси при доставчика
edit: Извинявай, малко бях сбъркал командата
Титла: Голям проблем с интернета
Публикувано от: bashi1 в Mar 27, 2008, 07:10
Ами проблемът не се опражи с тази команда. Проблемът явно не е при моя доставчик, защото слойих кабела на един друг комп с вин и там всичко си върви. За защитна стена не съм писал никакви други правила освен за една вутрешна мрежа - за nat. Все пак има ли начин да се проверят и премахнат всички защитни стени? Забелязах и нещо друго. Ако изгася компа си и след определено време го включа и запона ръчно са си пражя настоиките всичко вурви добре докато не дам route add default gw ... . Не само, че не тръгва интернет, но се появява и този отговор на пинг към локалните сървари. Сложих кабела и на втората си лан карта - опражих МАК-а но и там проблемът си остава. Какво може да се направи по въпроса?
Титла: Голям проблем с интернета
Публикувано от: neter в Mar 27, 2008, 08:29
Виж промяната в командата, която съм направил в предния ми пост. Така трябва да бъдат зададени правата на /bin/ping. Проблемът обаче, може и да не е от това. Дай изходи от командите
Чистенето на правила в iptables става с командата
Пример
Изчистването на цялата таблица става с командата
| Примерен код |
| ifconfig route -n iptables -L -t filter iptables -L -t nat iptables -L -t mangle |
Чистенето на правила в iptables става с командата
| Примерен код |
| iptables -D ВЕРИГА НОМЕР_РЕД -t ТАБЛИЦА |
Пример
| Примерен код |
| iptables -D INPUT 2 -t filter |
Изчистването на цялата таблица става с командата
| Примерен код |
| iptables -F -t ТАБЛИЦА |
Титла: Голям проблем с интернета
Публикувано от: p3tzata_ в Mar 27, 2008, 08:56
| Цитат (bashi1 @ Март 27 2008,08:10) |
| Забелязах и нещо друго. Ако изгася компа си и след определено време го включа и запона ръчно са си пражя настоиките всичко вурви добре докато не дам route add default gw ... . Не само, че не тръгва интернет, но се появява и този отговор на пинг към локалните сървари. |
А защо трябва да даваш "route add default gw ..." аз това не мога да разбера
Aко имаш такъв ред в маршрутизиращата таблица:
| Примерен код |
| Destination Gateway Genmask Flags Metric Ref Use Iface ****** ****** ******* *** *** *** *** **** 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 ****** ****** ******* *** *** *** *** **** |
Никога няма да имаш интернет
Титла: Голям проблем с интернета
Публикувано от: Slevin_ в Mar 27, 2008, 10:57
Понеже имаш VPN, да не би проблема да се дължи на MTU (Maximum Transmission Unit).
Защото проблемите, за които говориш според мен е възможно да са за обвързани с MTU.
Windows си сетва MTU=1396 по спомен,
докато БСД и Линукс, мисля че могат да работят MTU=1496 с PPTP.
Може да пробваш директно да сетнеш MTU=1396 или с windows ping -а да
вдигнеш флага Don't Fragment и да променяш размера на пакета.
Когато спре да минава, значи е достигнато MTU на трасето.
След това сетни това MTU в конфига на ppp интерфейса.
В идеалния случай ако се изпрати по голям пакет би трябвало да върне ICMP MTU грешка с размера на MTU, които трябва да бъде.
Това при полжение, че доставчика не е филтрирал ICMP, примерно заради червеите, които се разпространяват в windows, чрез ICMP echo request
Следствие на това филтриране се чупи и механизма на Path MTU Discovery -то, което въобще не е препоръчително.
М/у другото в windows този механизъм e изключен по подразбиране.
Та докато сис-админите се чудим как да "озъптим" Windows машините в мрежите ни, се случва да си докараме и повече главоболия.
Защото проблемите, за които говориш според мен е възможно да са за обвързани с MTU.
Windows си сетва MTU=1396 по спомен,
докато БСД и Линукс, мисля че могат да работят MTU=1496 с PPTP.
Може да пробваш директно да сетнеш MTU=1396 или с windows ping -а да
вдигнеш флага Don't Fragment и да променяш размера на пакета.
Когато спре да минава, значи е достигнато MTU на трасето.
След това сетни това MTU в конфига на ppp интерфейса.
В идеалния случай ако се изпрати по голям пакет би трябвало да върне ICMP MTU грешка с размера на MTU, които трябва да бъде.
Това при полжение, че доставчика не е филтрирал ICMP, примерно заради червеите, които се разпространяват в windows, чрез ICMP echo request
Следствие на това филтриране се чупи и механизма на Path MTU Discovery -то, което въобще не е препоръчително.
М/у другото в windows този механизъм e изключен по подразбиране.
Та докато сис-админите се чудим как да "озъптим" Windows машините в мрежите ни, се случва да си докараме и повече главоболия.
Титла: Голям проблем с интернета
Публикувано от: bashi1 в Mar 27, 2008, 16:58
Така - не знам от къде да започна. Що се отнася до ifconfig и iptables в момента не мога да копирам изхода от командите, понеже на компа няма ев мометна нито ЦД нито флопи. Ще се опитам да намеря една флаш карта и ще ги копирам. От iptables ми показа пражила само в filter но едва ли е от това, понеже не съм ги слагал аз а и ако ги махна и се опитам да пусна интернета резултата е същия. Това с MTU не можах много да го разбера но навсякъде е 1500. Ако си изключа компа и след тожа го включа и започна да правя настроиките ръчно всичко е наред до пускането на външния интернет. Опитах се да вляза в спасителния режим на ядрото и там се случи нещо, което не разбрах. След като вдигнах външния интернет изведнъж започнаха да се появяват едни редове без да съм писал нищо. Успях да препиша малко от тях - те се повтарят с малки изманения - [268.577127] IN= OUT= eth0 SRC = 10.26.20.76 DST= 10.0.0.7 LEN=56 TOS=0x00 PREC=0x00 TTL=64 ID=25324 DF PROTO=TCPSPPT=56770 DPT=1723 WINDOW=6432 RES=0x00 56770 DPT=1723 ACK PSH FIN URGP=0
Това има ли някаква връзка с проблема?
Това има ли някаква връзка с проблема?
Титла: Голям проблем с интернета
Публикувано от: neter в Mar 27, 2008, 17:43
Опа, чакай сега. Как така "до пускането на външния интернет"? Кой външен интернет? Отделни доставчици ли имаш за peering и за международен? Или става дума за друго? Обясни по-подробно картинката.
Титла: Голям проблем с интернета
Публикувано от: Slevin_ в Mar 27, 2008, 17:51
| Цитат (bashi1 @ Март 27 2008,17:58) |
| Това с MTU не можах много да го разбера но навсякъде е 1500. |
Да приемем, че интeрфейса на VPN-а ти е ppp0
Сетването на MTU става така:
| Примерен код |
| ifconfig ppp0 mtu 1396 |
Ако не стане, намали още mtu-то 1380 примерно
За да ти се запазят настройките след рестарт, ще трябва да откриеш options.pptp
на ppp0 интерфейса и да нанесеш корекцията там. Обикновено се намира в /etc/ppp/options.pptp
| Цитат (neter @ Март 27 2008,18:43) |
| Опа, чакай сега. Как така "до пускането на външния интернет"? Кой външен интернет? Отделни доставчици ли имаш за peering и за международен? Или става дума за друго? Обясни по-подробно картинката. |
С гадателските си способности, мисля че се ориентирах в ситуацията му, но нека да обясни точно.
Титла: Голям проблем с интернета
Публикувано от: bashi1 в Mar 27, 2008, 20:33
Ами ето за какво става дума - имам локален интернет - мрежа 10.0.0.0 - там са всички локални сържари - ето командите, с които го пускам
ifconfig eth0 10.26.20.76 netmask 255.255.255.0 up
route add -net 10.0.0.0 netmask 255.224.0.0 gw 10.26.20.1
с това всичко е наред. Като дам pon neta ми се появява това ppp0 но само за няколко секунди или вобще не се появява и идва проблема с пинга и разпадането на цялата мрежа.
ifconfig eth0 10.26.20.76 netmask 255.255.255.0 up
route add -net 10.0.0.0 netmask 255.224.0.0 gw 10.26.20.1
с това всичко е наред. Като дам pon neta ми се появява това ppp0 но само за няколко секунди или вобще не се появява и идва проблема с пинга и разпадането на цялата мрежа.
Титла: Голям проблем с интернета
Публикувано от: neter в Mar 27, 2008, 20:56
Подозирам, че целият проблем се дължи на защитна стена. И грешката при ping е такава, каквато излиза при блокирам icmp порт... Намери начин да ни покажеш изходите от
За да огледаме точно какво е въвела защитната ти стена в iptables и да решим какво трябва да се направи. Кажи и какъв софтуер използваш за защитна стена (защото явно не си си я изграждал сам), а погледни и конфигурационния файл на pppoe-то, защото в зависимост от нивото на сигурност, най-вероятно от там се вкарват някои или всички правила в iptables
| Примерен код |
| iptables -L -t filter iptables -L -t nat iptables -L -t mangle |
За да огледаме точно какво е въвела защитната ти стена в iptables и да решим какво трябва да се направи. Кажи и какъв софтуер използваш за защитна стена (защото явно не си си я изграждал сам), а погледни и конфигурационния файл на pppoe-то, защото в зависимост от нивото на сигурност, най-вероятно от там се вкарват някои или всички правила в iptables
Титла: Голям проблем с интернета
Публикувано от: bashi1 в Mar 27, 2008, 21:44
Ами nat i mangle са празни таблици. Ще препиша filter
Chain INPUT (policy DROP)
target port opt source destination
ACCEPT 0 - - anywhere anywhere
LOG 0 - - 127.0.0.0/8 anywhere LOG lewel waring
DROP 0 - - 127.0.0.0/8 anywhere
ACCEPT 0 - - anywhere 255.255.255.255
ACCEPT 0 - - anywhere 10.26.20.76
ACCEPT 0 - - anywhere 10.26.20.255
DROP 0 - - anywhere ALL.SYSTEMS.MCAST.NET
LOG 0 - - anywhere anywhere LOG lewel waring
DROP 0 - - anywhere anywhere
Chain FORWARD (policy DROP)
target port opt source destination
DROP 0 - - anywhere ALL.SYSTEMS.MCAST.NET
LOG 0 - - anywhere anywhere LOG lewel waring
DROP 0 - - anywhere anywhere
Chain OUTPUT (policy DROP)
target port opt source destination
ACCEPT 0 - - anywhere anywhere
ACCEPT 0 - - anywhere 255.255.255.255
ACCEPT 0 - - 10.26.20.76 anywhere
ACCEPT 0 - - 10.26.20.255 anywhere
DROP 0 - - anywhere ALL.SYSTEMS.MCAST.NET
LOG 0 - - anywhere anywhere LOG lewel waring
DROP 0 - - anywhere anywhere
Дано не съм объркал нещо
Chain INPUT (policy DROP)
target port opt source destination
ACCEPT 0 - - anywhere anywhere
LOG 0 - - 127.0.0.0/8 anywhere LOG lewel waring
DROP 0 - - 127.0.0.0/8 anywhere
ACCEPT 0 - - anywhere 255.255.255.255
ACCEPT 0 - - anywhere 10.26.20.76
ACCEPT 0 - - anywhere 10.26.20.255
DROP 0 - - anywhere ALL.SYSTEMS.MCAST.NET
LOG 0 - - anywhere anywhere LOG lewel waring
DROP 0 - - anywhere anywhere
Chain FORWARD (policy DROP)
target port opt source destination
DROP 0 - - anywhere ALL.SYSTEMS.MCAST.NET
LOG 0 - - anywhere anywhere LOG lewel waring
DROP 0 - - anywhere anywhere
Chain OUTPUT (policy DROP)
target port opt source destination
ACCEPT 0 - - anywhere anywhere
ACCEPT 0 - - anywhere 255.255.255.255
ACCEPT 0 - - 10.26.20.76 anywhere
ACCEPT 0 - - 10.26.20.255 anywhere
DROP 0 - - anywhere ALL.SYSTEMS.MCAST.NET
LOG 0 - - anywhere anywhere LOG lewel waring
DROP 0 - - anywhere anywhere
Дано не съм объркал нещо
Титла: Голям проблем с интернета
Публикувано от: neter в Mar 27, 2008, 21:52
Само като видях напълно противоречащите си първи и последен ред от INPUT и OUTPUT, а и този policy DROP, след който внимателно трябва да се опишат всички нужни позволения, а както се вижда това не е направено и ме домързя да чета останалото. Махни тези правила (както ти казах, най-вероятно са описани в конфигурационния файл на pppoe-то) и си задай policy ACCEPT, след което най-вероятно няма да имаш проблеми, освен ако нямаш някъде и някакъв друг проблем. Защитната стена си я изгради сам. Няма лошо, а дори е полезно да е policy DROP, но правилата трябва да са описани точно, защото ще е позволено само описаното в правилата, но когато си изградиш защитната стена сам, ще знаеш точно кое защо е така и ще знаеш точно какви ограничения си наложил както на себе си, така и на другите, които се опитват да се вържат към машината ти
Титла: Голям проблем с интернета
Публикувано от: bashi1 в Mar 27, 2008, 22:08
След като вдигнах интернета тези таблици се попромениха
В първата се добави още един ред
ACCEPT 0 - - anywhere 255.255.255.255
Ето още други редове
ACCEPT 0 - - 10.26.20.0/24 anywhere
ACCEPT 0 - - 212.233.255.5 anywhere
ACCEPT !tcp - - anywhere 224.0.0.0/4
ACCEPT !tcp - - anywhere 224.0.0.0/4
DROP 0 -- anywhere 224.0.0.1
Втората таблица също има други редове
В нея само последните редове са сущите - ето първите
ACCEPT 0 -- 212.233.255.5 10.26.20.0/24
ACCEPT 0 -- anywhere 212.233.255.5
ACCEPT 0 -- 172.26.20.76 10.26.20.0/24
ACCEPT 0 - - 10.26.20.0/24 172.26.20.76
DROP 0 -- anywhere 224.0.0.1
В Третата таблица първите и последните редове са еднакви - ето другите
ACCEPT 0 - - anywhere 255.255.255.255
ACCEPT 0 - - anywhere 10.26.20.0/24
ACCEPT 0 - - anywhere 212.233.255.5
ACCEPT !tcp - - anywhere 224.0.0.0/4
ACCEPT !tcp - - anywhere 224.0.0.0/4
DROP 0 -- anywhere 224.0.0.1
В първата се добави още един ред
ACCEPT 0 - - anywhere 255.255.255.255
Ето още други редове
ACCEPT 0 - - 10.26.20.0/24 anywhere
ACCEPT 0 - - 212.233.255.5 anywhere
ACCEPT !tcp - - anywhere 224.0.0.0/4
ACCEPT !tcp - - anywhere 224.0.0.0/4
DROP 0 -- anywhere 224.0.0.1
Втората таблица също има други редове
В нея само последните редове са сущите - ето първите
ACCEPT 0 -- 212.233.255.5 10.26.20.0/24
ACCEPT 0 -- anywhere 212.233.255.5
ACCEPT 0 -- 172.26.20.76 10.26.20.0/24
ACCEPT 0 - - 10.26.20.0/24 172.26.20.76
DROP 0 -- anywhere 224.0.0.1
В Третата таблица първите и последните редове са еднакви - ето другите
ACCEPT 0 - - anywhere 255.255.255.255
ACCEPT 0 - - anywhere 10.26.20.0/24
ACCEPT 0 - - anywhere 212.233.255.5
ACCEPT !tcp - - anywhere 224.0.0.0/4
ACCEPT !tcp - - anywhere 224.0.0.0/4
DROP 0 -- anywhere 224.0.0.1
Титла: Голям проблем с интернета
Публикувано от: neter в Mar 27, 2008, 22:16
Приеми съвета ми, изчисти си таблиците и си изгради сам защитната стена. Временно можеш да изчистиш таблиците с командата
а policy-то можеш да го смениш с последователни команди
след което провери как стоят нещата. Ако проблемът ти е изчезнал, то намери къде са описани всички тези правила и ги махни, за да не се зареждат със системата и с вдигането на ppp0 и си изгради сам стената.
| Примерен код |
| iptables -F |
а policy-то можеш да го смениш с последователни команди
| Примерен код |
| iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT |
след което провери как стоят нещата. Ако проблемът ти е изчезнал, то намери къде са описани всички тези правила и ги махни, за да не се зареждат със системата и с вдигането на ppp0 и си изгради сам стената.
Титла: Голям проблем с интернета
Публикувано от: bashi1 в Mar 28, 2008, 06:57
А кога трябва да махна правилата - преди да вдигна ппп0 ли? Защото пробвах да махна тези правила след като вдигнах този интерфеис. Много благодаря за помощта!
EDIT: Поразрових се из настроиките на интернета във вина и забелязах, че на ВПН като адрес на сървара дава 212.233.255.4, а на мен ми дава 212.233.255.5 - възмойно ли е да е до това проблема?
EDIT: Поразрових се из настроиките на интернета във вина и забелязах, че на ВПН като адрес на сървара дава 212.233.255.4, а на мен ми дава 212.233.255.5 - възмойно ли е да е до това проблема?
Титла: Голям проблем с интернета
Публикувано от: neter в Mar 28, 2008, 08:24
Временното изчистване на правилата трябваше да го направиш след вдигането на ppp0, защото, ако проблемът е в правилата, след като се вдигне ppp0 и се изчистят правилата, всички ограничения трябва да паднат. Иначе, може да изчистиш всички ограничения и след вдигането на ppp0 да се добавят нови. Но... не разбрах, какво стана след като изчисти правилата? Все още ли имаше проблем? А иначе, по въпроса с адреса на сървъра, тази разлика може да се дължи на някакъв филтър от страна на доставчика или различните SERVICENAME и ACNAME, които поради някаква причина си ги избрал различни под Windows и Linux. Дай да ти видим конфигурационния файл. Отдавна не съм ползвал pppoe и говоря малко наизуст, не знам до какво развитие са стигнали инструментите, но конфигурационният файл най-вероятно се казва pppoe.conf и трябва да е някъде в /etc.
Титла: Голям проблем с интернета
Публикувано от: bashi1 в Mar 28, 2008, 13:49
Каквото и да направя си остава без ефект. Преди да вдигна интернета чистя всичко и след като го вдигна отново. Резултатът е нулев. Мисля, че ще трябва да преинсталирам цялата система. Има ли начин да си запазя поне част от информацията и настроиките?