Главная » Форум » Gentoo Linux » Системное администрирование

[SOLVED] Hardened Gentoo перестал гуглить

ReinForce 10 апреля, 2011 - 12:59

С gentoo работаю уже очень долго, но с такими косяками не сталкивался никогда.
Имеется hardened gentoo-сервер, на нем крутится веб-сервер. + ко всему, этот же сервер работает в качестве маршрутизатора и файрвола между небольшой сетью и интернетом.
С одной стороны pppoe провайдера, с другой локальная сеть. Все это дело было настроено мною полтора года назад и работало до недавнего времени как часы. Обновлялся еженедельно, все было хорошо.
Но! Недавно провайдер начал менять оборудование, для меня как бы ничего не изменилось, разве что адрес сервера pppoe у провайдера сменился.
В общем ситуация такова, что при неизменных настройках при попытке зайти на google.com/google.ru происходит затык. Причем затык очень интересный.
Сначала грешил на недавнее обновление - откат не помог. Потом сниферил tcpdump-ом, пакеты уходят, идет обмен пакетами, потом от меня уходит пакет и ответа на него уже не приходит.
Ловил на разных интерфейсах, везде одинаково.
Далее загрузился с лайвсиди, быстро поднял pppoe-сессию, накатил правила iptables. И снова такой же затык. Работает все, кроме гугла. При чем icmp-пакеты до гугла идут, 11 хопов отсчитываются до гугла. А вот коннект на 80 порт гугла не работает.
Правила iptables пробовал как свои, так и простые, мол пропускать все, ip_forwarding не забыл.

Далее взял первый попавшийся на глаза роутер dir-320, поднял на нем pppoe-сессию и о чудо! Гугл заработал, пакеты ходят.
Либо лыжи не едут, либо лыжник тупит? Конфигурация, которая работала больше года вдруг становится неработоспособной для гугла.

Был момент, когда грешил на железо. Но другая машина и лайвсиди дали такой же результат.
Пробовал и телнетиться на 80 порт гугла, а в ответ тишина. Само собой линкс тоже был пущен в ход.

Да, еще один момент: с самого сервера линксом гугл открывается, не работают только машины, сидящие за сервером.
Есть подозрение, что сие дело рук ФСБ, так как они сейчас вроде как хотят закрыть скайп и гмэйл. При всем этом на skype.com тоже не пускает. Ситуация такая же, как с гуглом.
И в добавок для выноса мозга добавлю что не работает только основной домен гугла. Поддомены, типа translate.gogle.com работают. Это уже совсем вынос мозга.

В общем, с таким сталкиваюсь в первый раз, и не думаю что кто-то из вас сталкивался, но может чего посоветуете? А то я уже на стену лезу.

‹ Проблемы с VPN iptables / iproute2 - балансировка нагрузки между провайдерами ›
»

ReinForce написал(а): Да, еще

Автор sspphheerraa, дата создания 10 апреля, 2011 - 13:12.
ReinForce написал(а):
Да, еще один момент: с самого сервера линксом гугл открывается, не работают только машины, сидящие за сервером.

первое что приходит в голову - ttl
мой первый провайдер строго следил за тем, чтобы никто из пользователей не раздавал интернет другим (т.е. только один компьютер на абонента), и делал это через ttl, по умолчанию для винды оно равно 128, следовательно, если на шлюз приходил пакет с другим числом - значит этот пакет принадлежит компьютеру, находящемуся за NATом, поднятым пользователем (пользователь раздает через себя интернет)
линуксоидов это правда не останавливало, т.к. iptables умеет менять значение ttl

возможно у вас проблема совсем в другом, єто так жизненный опыт

»

Ладно бы не работала вся

Автор ReinForce, дата создания 10 апреля, 2011 - 13:27.

Ладно бы не работала вся сеть, та ведь только основной домен гугла не работает и только по 80 порту. Через роутер dir-320 все работает. Кстати, в локалке за сервером нет ни одной виндовой машины, там на всех генту, при чем одна из них не обновлялась вот уже 2 месяца. На ней тоже не работает.

»

Есть подозрение, что сие дело

Автор slepnoga, дата создания 10 апреля, 2011 - 13:14.
Есть подозрение, что сие дело рук ФСБ, т

Эк тебя перекосило то на почве профессиональной шизы :)
а ну как grep -i clam /var/lib/iptables/* ;)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Просто недавно на работе

Автор ReinForce, дата создания 10 апреля, 2011 - 13:31.

Просто недавно на работе ФСБшная проверка была, на той неделе закончилась... Вот мысли всякие в голову и лезут.
У меня shorewall, как обвязка к iptables, в /var/lib/iptables/ пусто.

»

Если: MTU на ppp0 не равно

Автор mortnx, дата создания 10 апреля, 2011 - 14:03.

Если:
MTU на ppp0 не равно MTU на ethx то решение здесь http://www.gentoo.ru/node/22535#comment-166108

»

Да, mtu на ppp0 1492, как и

Автор ReinForce, дата создания 10 апреля, 2011 - 14:10.

Да, mtu на ppp0 1492, как и должно быть для pppoe(если не ошибаюсь - 8 байт на енкапсуляцию). На eth0 - 1500, стандартное для Ethernet.
Решение вида

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1500 -j TCPMSS --clamp-mss-to-pmtu -o ppp0

исправило проблему. Спасибо.
Однако остается вопрос - почему же раньше все работало? Новое оборудование провайдера виновато?

»

Пожалуйста. Цитата: Однако

Автор mortnx, дата создания 10 апреля, 2011 - 14:23.

Пожалуйста.

Цитата:
Однако остается вопрос - почему же раньше все работало? Новое оборудование провайдера виновато?

Для меня это тоже загадка.
Когда столкнулись, всем отделом прикалывались про бан в гугле))

»

Мне почему то вспомнился

Автор ReinForce, дата создания 10 апреля, 2011 - 18:22.

Мне почему то вспомнился Великий Китайский Файрвол, который забанил яндекс.
Решением для shorewall стало следующим:
В конфиге нужно сказать
CLAMPMSS=Yes
http://www.opennet.ru/base/net/pppoe_mtu.txt.html

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".