1 Temat przez phoenix (edytowany przez phoenix 2011-04-13 23:25:04)

  • Zarejestrowany: 2011-02-08
  • Posty: 28

Temat: Problem z firewallem?

Witam,
mam router z OpenWRT i podłączonego do niego m.in:
Dysk Sieciowy (linux)
PC1 (windows) (po WiFi)
PC2 (linux) (ethernet)

Gdy w przeglądarce na PC1 wywołuję dysk sieciowy, nie mam żadnego problemu. Otwiera się interfejs www z dysku sieciowego. Nie jestem natomiast w stanie zrobić tego z PC2. Bez problemu z PC2 mogę zalogować się po SSH do dysku sieciowego, ale w żaden sposób nie chcę mi się załadować interfejs www (standardowo na porcie 80).

Uruchomiłem wireshark'a na PC2 i tak to wygląda przy próbie otwarcia interfejsu www.

No.     Time        Source                Destination           Protocol Info
      1 0.000000    10.10.1.20            10.10.1.10            TCP      35557 > http [SYN] Seq=0 Win=17920 Len=0 MSS=8960 SACK_PERM=1 TSV=45795987 TSER=0 WS=7
      2 0.002939    IcpElect_8b:dc:20     Broadcast             ARP      Who has 10.10.1.20?  Tell 10.10.1.10
      3 0.002946    AsustekC_4a:17:69     IcpElect_8b:dc:20     ARP      10.10.1.20 is at 00:1b:fc:4a:17:69
      4 0.003158    10.10.1.10            10.10.1.20            TCP      http > 35557 [SYN, ACK] Seq=0 Ack=1 Win=17904 Len=0 MSS=8964 SACK_PERM=1 TSV=260029452 TSER=45795987 WS=2
      5 0.003177    10.10.1.20            10.10.1.10            TCP      35557 > http [ACK] Seq=1 Ack=1 Win=17920 Len=0 TSV=45795990 TSER=260029452
      6 0.003275    10.10.1.20            10.10.1.10            HTTP     GET / HTTP/1.1 
      7 0.003511    10.10.1.10            10.10.1.20            TCP      http > 35557 [ACK] Seq=1 Ack=400 Win=17904 Len=0 TSV=260029453 TSER=45795990
      8 2.013568    10.10.1.10            10.10.1.20            TCP      [TCP Previous segment lost] http > 35557 [FIN, ACK] Seq=4124 Ack=400 Win=17904 Len=0 TSV=260029654 TSER=45795990
      9 2.013603    10.10.1.20            10.10.1.10            TCP      [TCP Dup ACK 6#1] 35557 > http [ACK] Seq=400 Ack=1 Win=17920 Len=0 TSV=45798000 TSER=260029453 SLE=4124 SRE=4125
     10 4.909275    10.10.1.20            10.10.1.10            TCP      41341 > http [FIN, ACK] Seq=1 Ack=1 Win=140 Len=0 TSV=45800896 TSER=260005171 SLE=4124 SRE=4125
     11 4.909521    10.10.1.10            10.10.1.20            TCP      http > 41341 [RST] Seq=1 Win=0 Len=0

Podejrzewam, że może firewall na routerze coś blokuje?
Moja konfiguracja firewalla na OpenWRT wygląda następująco:

config 'defaults'
        option 'syn_flood' '1'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'zone'
        option 'name' 'lan'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'zone'
        option 'name' 'wan'
        option 'input' 'REJECT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'
        option 'masq' '1'
        option 'mtu_fix' '1'

config 'forwarding'
        option 'src' 'lan'
        option 'dest' 'wan'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'udp'
        option 'dest_port' '68'
        option 'target' 'ACCEPT'
        option 'family' 'ipv4'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'icmp'
        option 'icmp_type' 'echo-request'
        option 'target' 'ACCEPT'

config 'include'
        option 'path' '/etc/firewall.user'

config 'rule'
        option 'name' 'openvpn'
        option 'src' 'wan'
        option 'target' 'ACCEPT'
        option 'proto' 'tcp'
        option 'dest_port' '443'

config 'rule'
        option 'name' 'ssh'
        option 'src' 'wan'
        option 'target' 'ACCEPT'
        option 'proto' 'tcp'
        option 'dest_port' '22'

Nmap na dysku sieciowym pokazuje:

PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
443/tcp   open  https
445/tcp   open  microsoft-ds
981/tcp   open  unknown
1000/tcp  open  cadlock
2049/tcp  open  nfs
4000/tcp  open  remoteanything
4001/tcp  open  unknown
8080/tcp  open  http-proxy
9001/tcp  open  tor-orport
9090/tcp  open  zeus-admin
9099/tcp  open  unknown
15000/tcp open  hydap
16000/tcp open  unknown
32769/tcp open  unknown

Nmap na PC2

PORT    STATE SERVICE
22/tcp  open  ssh
111/tcp open  rpcbind

Nmap na routerze

PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
53/tcp  open  domain
443/tcp open  https

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,027

Odp: Problem z firewallem?

lan/wifi jeżeli nie rozdzieliłeś specjalnie jest jednością. Wiec jak coś działa na wifi musi i na lan; na firewallu nie masz nawet jak tego zrobić bo posługujesz się oznaczeniem bridge, nie poszczególnych interfejsów.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez phoenix

  • Zarejestrowany: 2011-02-08
  • Posty: 28

Odp: Problem z firewallem?

Cezary napisał/a:

lan/wifi jeżeli nie rozdzieliłeś specjalnie jest jednością. Wiec jak coś działa na wifi musi i na lan; na firewallu nie masz nawet jak tego zrobić bo posługujesz się oznaczeniem bridge, nie poszczególnych interfejsów.

Tylko niestety nie posunęło mnie to ani trochę do przodu jeśli chodzi o rozwiązanie problemu, a szczerze powiedziawszy skończyły mi się pomysł gdzie szukać problemu.

4 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Problem z firewallem?

Narysuj schemat sieci jak to wszystko się z czym łączy. Nie musi być ładnie byle zrozumiale

masz retransmisje

TCP Previous segment lost
TCP Dup ACK 6#1

Jak masz to podłączone?. PC2 bezpośrednio do routera ? Zmień kabel/zmień port to na początek
Może coś z kartą sieciową w PC2 ?

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

5 Odpowiedź przez phoenix

  • Zarejestrowany: 2011-02-08
  • Posty: 28

Odp: Problem z firewallem?

rpc napisał/a:

Narysuj schemat sieci jak to wszystko się z czym łączy. Nie musi być ładnie byle zrozumiale

masz retransmisje

TCP Previous segment lost
TCP Dup ACK 6#1

Jak masz to podłączone?. PC2 bezpośrednio do routera ? Zmień kabel/zmień port to na początek
Może coś z kartą sieciową w PC2 ?

Tak to wygląda:

http://i88.photobucket.com/albums/k168/phoenixqaz/siec.jpg

6 Odpowiedź przez phoenix (edytowany przez phoenix 2011-04-14 17:01:26)

  • Zarejestrowany: 2011-02-08
  • Posty: 28

Odp: Problem z firewallem?

Kolejne odkrycie. Na problematycznym PC uruchomiłem windowsa. O dziwo z windowsa potrafię otworzyć stronę www z NAS'a. Po przełączni do linuxa (Gentoo) problem nadal istnieje. Wygląda więc jak problem w samym Gentoo. Tylko gdzie? I dlaczego z ssh nie ma problemu, a po porcie 80 nie chce działać? Czy jest możliwe aby źle skonfigurowane jądro dawało takie objawy? Sam już nie wiem - takiego dziwnego przypadku jeszcze nie miałem.
Żadnego firewalla na Gentoo nie mam. IPtables jako pakiet nie jest zainstalowane nawet.

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,027

Odp: Problem z firewallem?

a czasami nie masz ipv6 domyślnie na tym gentoo?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez phoenix

  • Zarejestrowany: 2011-02-08
  • Posty: 28

Odp: Problem z firewallem?

Cezary napisał/a:

a czasami nie masz ipv6 domyślnie na tym gentoo?

Przecież wireshark pokazywał zapytania i odpowiedzi od i do 10.10.1.20 a to IPv4.

ifconfig daje takie rezultaty:

EdGeeV ~ # ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:1b:fc:4a:17:69  
          inet addr:10.10.1.20  Bcast:10.10.1.255  Mask:255.255.255.0
          inet6 addr: fe80::21b:fcff:fe4a:1769/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:9000  Metric:1
          RX packets:5997 errors:0 dropped:4 overruns:0 frame:0
          TX packets:6356 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3578270 (3.4 MiB)  TX bytes:929819 (908.0 KiB)
          Interrupt:17

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,027

Odp: Problem z firewallem?

No i masz. ipv6 zwykle pierwsze jest odpytywane i te twoje połączenia to timeouty z odpytywana 80 przez ipv6. Wyłącz ipv6 i zobacz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Problem z firewallem?

a się zapytam
jakie mtu masz ustawione na windows na tym komputerze
bo na tym PC masz jumbo frame
zrób dla testu
ifconfig eth0 mtu 1500

i daj znać czy jest lepiej

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

11 Odpowiedź przez phoenix (edytowany przez phoenix 2011-04-14 17:46:49)

  • Zarejestrowany: 2011-02-08
  • Posty: 28

Odp: Problem z firewallem?

rpc napisał/a:

a się zapytam
jakie mtu masz ustawione na windows na tym komputerze
bo na tym PC masz jumbo frame
zrób dla testu
ifconfig eth0 mtu 1500

i daj znać czy jest lepiej

Nie jest lepiej. Jest idealnie!. Ehhhh testowałem KIEDYŚ na NASie i na PC JumboFrame (żeby przyśpieszyć transfer). Później na NAS'ie wyłączyłem. Ale nie pamiętam żeby spowodowało to jakieś problemy. Widać teraz po zmianie oprogramowania na routerze już Routerowi nie pasowało, że rozmiar ramki jest inny na NAS'ie, a inny na PC.

WIELKIE DZIĘKI !!!.

Mała poprawka. Na NAS'ie nadal mam JumboFrame włączone. ifconfig pokazuje jednak nie 9000 a 9004 jako rozmiar ramki.

Co zrobiłem to zmieniłem na PC i NAS rozmiar ramki na 9000 i nie było połączenia.
9000 na NAS i 1500 na PC - jest połączenie.
Czyżby OpenWRT miał problem z JumboFrame?

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,027

Odp: Problem z firewallem?

Generalnie nie wspiera, bo to funkcja przełącznika jest.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Problem z firewallem?

możesz spróbować mniejsze mtu
np. 4500

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

14 Odpowiedź przez phoenix

  • Zarejestrowany: 2011-02-08
  • Posty: 28

Odp: Problem z firewallem?

rpc napisał/a:

możesz spróbować mniejsze mtu
np. 4500

Zostawię na 1500 bo i tak ograniczeniem była moc procesora w NAS'ie i zmiana MTU niewiele mi wtedy pomogła.