Телеграмм чат группы linkmeup

2021 March 02

k

так что следует посмотреть вывод команды iptables-save -c -t nat для начала.

дело в том, что у меня для этой подсети вообще правил нету, единственное что насторожило это:

[90995:5459684] -A POSTROUTING ! -s 10.112.105.64/26 ! -d 10.112.105.64/26 -m ipvs --vdir ORIGINAL --vmethod MASQ -m comment --comment "" -j SNAT --to-source 10.36.20.4

источник

18:29пожаловаться #1

k

kvaps in linkmeup_chat

но я так понимаю, что до POSTROUTING пакет даже не доходит

источник

18:30пожаловаться #2

AD

Anton Danilov in linkmeup_chat

kvaps

но я так понимаю, что до POSTROUTING пакет даже не доходит

пакеты, адресованные непосредственно хосту, не доходят до этой цепочки. значит следующий этап - разбираться с таблицей filter:

iptables-save -c -t filter

источник

18:31пожаловаться #3

k

kvaps in linkmeup_chat

Anton Danilov

пакеты, адресованные непосредственно хосту, не доходят до этой цепочки. значит следующий этап - разбираться с таблицей filter:

iptables-save -c -t filter

и странно что другие адреса работают как ни в чём не бывало

источник

18:33пожаловаться #4

k

kvaps in linkmeup_chat

Anton Danilov

пакеты, адресованные непосредственно хосту, не доходят до этой цепочки. значит следующий этап - разбираться с таблицей filter:

iptables-save -c -t filter

Собственно я сейчас вообще все правила удалил из iptables:

# Generated by iptables-save v1.8.2 on Tue Mar  2 16:33:06 2021
*mangle
:PREROUTING ACCEPT [554724797:845322980547]
:INPUT ACCEPT [526020752:841677109567]
:FORWARD ACCEPT [24530549:3312885289]
:OUTPUT ACCEPT [464329197:1316213539757]
:POSTROUTING ACCEPT [487179094:1318927439186]
:KUBE-KUBELET-CANARY - [0:0]
COMMIT
# Completed on Tue Mar  2 16:33:06 2021
# Generated by iptables-save v1.8.2 on Tue Mar  2 16:33:06 2021
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Tue Mar  2 16:33:06 2021
# Generated by iptables-save v1.8.2 on Tue Mar  2 16:33:06 2021
*raw
:PREROUTING ACCEPT [554724859:845322987787]
:OUTPUT ACCEPT [464329348:1316213555500]
COMMIT
# Completed on Tue Mar  2 16:33:06 2021
# Generated by iptables-save v1.8.2 on Tue Mar  2 16:33:06 2021
*filter
:INPUT ACCEPT [136188:111172492]
:FORWARD ACCEPT [496:2950043]
:OUTPUT ACCEPT [155218:480567505]
COMMIT
# Completed on Tue Mar  2 16:33:06 2021

ситуация не поменялась

источник

18:33пожаловаться #5

AD

Anton Danilov in linkmeup_chat

не забудь коннтрак почистить conntrack -F

источник

18:35пожаловаться #6

k

kvaps in linkmeup_chat

Anton Danilov

не забудь коннтрак почистить conntrack -F

сделал, не помогло

источник

18:36пожаловаться #7

k

kvaps in linkmeup_chat

вот так это выглядит:

# tcpdump -nn port 1234 -i vmbr0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:36:06.535868 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885861412 ecr 0,nop,wscale 7], length 0
16:36:07.559569 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885862436 ecr 0,nop,wscale 7], length 0
16:36:09.575526 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885864452 ecr 0,nop,wscale 7], length 0
16:36:13.767537 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885868644 ecr 0,nop,wscale 7], length 0
^C
4 packets captured
582 packets received by filter
489 packets dropped by kernel

меня настораживает количество пакетов dropped by kernel🤔

источник

18:37пожаловаться #8

AD

Anton Danilov in linkmeup_chat

kvaps

вот так это выглядит:

# tcpdump -nn port 1234 -i vmbr0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:36:06.535868 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885861412 ecr 0,nop,wscale 7], length 0
16:36:07.559569 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885862436 ecr 0,nop,wscale 7], length 0
16:36:09.575526 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885864452 ecr 0,nop,wscale 7], length 0
16:36:13.767537 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885868644 ecr 0,nop,wscale 7], length 0
^C
4 packets captured
582 packets received by filter
489 packets dropped by kernel

меня настораживает количество пакетов dropped by kernel🤔

покажи вывод команды ip l ls master vmbr0

источник

18:41пожаловаться #9

k

kvaps in linkmeup_chat

Anton Danilov

покажи вывод команды ip l ls master vmbr0

там бонд в LACP

8: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue master vmbr0 state UP mode DEFAULT group default qlen 1000
    link/ether 90:e2:ba:c4:68:c4 brd ff:ff:ff:ff:ff:ff

А за ним ещё два интерфейса

источник

18:42пожаловаться #10

ML

Mike Lyashenko in linkmeup_chat

Alex

Есть вопрос от неопытного сетевика.
У нас стоит Cisco 2911, которая занимается маршрутизацией между vlan'ами и смотрит в интернет. На ней настроен NAT. На интерфейсах '''ip nat inside/outside'''. И '''ip nat inside source static ...'''
Проблема с доступам из внутренней сети на внешний ip. Как понял нужно настраивать NAT hairpin.
Вопрос можно ли совмещать имеющиеся уже настройки NAT и просто добавить к нужным интерфейсам '''ip nat enable''' и '''ip nat source static tcp...''' или старые настройки нужно полностью заменить на NAT hairpin?
NAT на внешнем интерфейсе.

Матерые черти проигнорили, так что отвечу я. В nat enable совсем другой механизм относительно legacy nat и вместе они будут работать. Во всяком случае год назад у меня в лабе на15 и на XE работали. Если правила трансляции напишешь норм, то и работать будет норм)

источник

18:43пожаловаться #11

AD

Anton Danilov in linkmeup_chat

kvaps

вот так это выглядит:

# tcpdump -nn port 1234 -i vmbr0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmbr0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:36:06.535868 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885861412 ecr 0,nop,wscale 7], length 0
16:36:07.559569 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885862436 ecr 0,nop,wscale 7], length 0
16:36:09.575526 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885864452 ecr 0,nop,wscale 7], length 0
16:36:13.767537 IP 10.36.20.5.49998 > 10.36.20.0.1234: Flags [S], seq 3085246482, win 64240, options [mss 1460,sackOK,TS val 2885868644 ecr 0,nop,wscale 7], length 0
^C
4 packets captured
582 packets received by filter
489 packets dropped by kernel

меня настораживает количество пакетов dropped by kernel🤔

ок. ещё следующая диагностическая тулза nstat -a TcpExtIPReversePathFilter счётчик, случаем, не прибавляется?

источник

18:44пожаловаться #12

A

Anton Klochkov in linkmeup_chat

Как перестать орать?

источник

18:46пожаловаться #13

A

Anton Klochkov in linkmeup_chat

Альфа-банк поручил малевать новое ипотечное предложение каким-то дизайнерам-наркоманам. Не встречали еще таких способов стыдливо прикрыть свои процентные ставки. Смысловой посыл тоже радует - обозвать "свободой" настоящую каторгу 21 века мог себе позволить только старик Оруэлл.

источник

18:46пожаловаться #14

k

kvaps in linkmeup_chat

Anton Danilov

ок. ещё следующая диагностическая тулза nstat -a TcpExtIPReversePathFilter счётчик, случаем, не прибавляется?

Хм, у меня там только такое:

# nstat -a TcpExtIPReversePathFilter
#kernel

но ты прав, сейчас для чистоты эксперимента попробую его отключить

источник

18:46пожаловаться #15

AD

Anton Danilov in linkmeup_chat

kvaps

Хм, у меня там только такое:

# nstat -a TcpExtIPReversePathFilter
#kernel

но ты прав, сейчас для чистоты эксперимента попробую его отключить

ну значит он по нулям. ещё может быть ты не видишь в дампе ответные пакеты, потому что они являются icmp отлупами.

источник

18:48пожаловаться #16

ML

Mike Lyashenko in linkmeup_chat

Anton Klochkov

Альфа-банк поручил малевать новое ипотечное предложение каким-то дизайнерам-наркоманам. Не встречали еще таких способов стыдливо прикрыть свои процентные ставки. Смысловой посыл тоже радует - обозвать "свободой" настоящую каторгу 21 века мог себе позволить только старик Оруэлл.

Оруелл много че мог, например написать за госзаказ сатиру на комми, которая оказалась сатирой на современность)

источник

18:48пожаловаться #17

k

kvaps in linkmeup_chat

kvaps

Хм, у меня там только такое:

# nstat -a TcpExtIPReversePathFilter
#kernel

но ты прав, сейчас для чистоты эксперимента попробую его отключить

неа, и в dmesg пусто🤷

источник

18:48пожаловаться #18

IP

Ilya Pupkin in linkmeup_chat

Anton Klochkov

Альфа-банк поручил малевать новое ипотечное предложение каким-то дизайнерам-наркоманам. Не встречали еще таких способов стыдливо прикрыть свои процентные ставки. Смысловой посыл тоже радует - обозвать "свободой" настоящую каторгу 21 века мог себе позволить только старик Оруэлл.

интересное мнение о величине ставки. а какой она должна быть?

источник

18:49пожаловаться #19

A

Anton Klochkov in linkmeup_chat

Mike Lyashenko

Оруелл много че мог, например написать за госзаказ сатиру на комми, которая оказалась сатирой на современность)

Хорошее замечание) ахха

источник

18:49пожаловаться #20