имитация стека TCP/IP Windows

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

имитация стека TCP/IP Windows

Непрочитанное сообщение aemon » 2010-11-23 21:31:50

Всем доброго времени суток!
Возникла очень интересная проблема.При заходе на сайт https://ibank.fortbank.com.ua/ возникает интересная проблема.
Если по пути пакета есть хоть один гейт на Юниксах или хоть на одном гейте под Windows установлен Керио фаервол, то пакеты на 443 порту дропаются, т.е. на сайт зайти нельзя.
Ответ сервера простой:

Код: Выделить всё

"connection refused"
В то же время если NAT производится с помощью Cisco или DLink, или коннект идет напрямую с виндовой машины (без гейта), то все нормально (на сайт попадаю).

Вопрос: сталкивался ли кто-то с такой проблемой? И как можно на FreeBSD сымитировать стек TCP/IP Windows?

Дополнительная информация: Пробовал с трех разных подсетей. Тестируемый сервак: OS FreeBSD 8.1, NAT с помощью pf.
На другие сайты по https заходит нормально.
Всем спасибо за внимание.
Последний раз редактировалось f_andrey 2010-11-23 23:35:39, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение Гость » 2010-11-23 21:59:06

сдается мне это проблема фрагментации
для этого tcpdump придумали
что бы не угадывать от чего и почему

в PF scrumb включен?

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение aemon » 2010-11-23 23:49:06

включен scrub in all.
Пробовал даже scrub in all no-df.
ПРи чем что странно пробовал зайти с debian, которая находится совсем в другой сети. И смотрит напрямую на циску. Эффект тот же. В данном случае pf отсутствует... Странно все это )))
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

Гость
проходил мимо

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение Гость » 2010-11-23 23:54:51

я не думаю что там прям таки стоит определение оси с которой заходится
а проблема tcpmss видна обычно через tcpdump, если навыки конечно есть

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение aemon » 2010-11-24 0:56:25

завтра попробую посмотреть поток и уменьшить tcpmss
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

Гость
проходил мимо

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение Гость » 2010-11-24 1:00:27

а вы клиент ? или вы от владельца https://ibank.fortbank.com.ua/ ?

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение aemon » 2010-11-24 1:31:42

я от клиента. Поставили сервак вместо точки доступа и единственный сайт на который зайти нельзя это именно сайт этого банка ))) В суппорте сказали, что мне проще купить еще одну железку, чем им разбираться с серверным приложением.
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

Гость
проходил мимо

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение Гость » 2010-11-24 1:36:08

ну опять же больше на фрагментацию похоже
которая tcpmss зовется
NAT на внешнем интерфейсе сервера должен быть
и на внешнем интерфейсе должен scrub стоять
это при условии что с внутренеего интерфейса у вас клиент

клиен к бсд ни покаким vpn не подключается случаем?

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение aemon » 2010-11-24 10:14:12

клиент сидит за чистым натом.

Вот конфиг pf:


/etc/pf/>catl pf.conf

Код: Выделить всё

LAN="vr0"    # NEW ifconfig_vr1="inet 192.168.0.1  netmask 255.255.255.0"
NET="re0"    # NEW ifconfig_re0="inet 62.216.xxx.xxx netmask 255.255.255.252"
LO="lo0"     # OLD localhost
set skip on $LO
scrub in all
scrub on $NET max-mss 400

nat on $NET           from $LAN:network    to any                  -> $NET
antispoof log quick for {$LO , $LAN , $NET}
pass out quick on $LAN
pass out quick on $LO
pass out quick on $NET
block in log quick on $NET proto tcp from <ssh-brut> to $NET port ssh
pass in quick on $LO           # ALLOW EVERUTHING ON LOOPBACK
block in on $NET
pass  in on $NET proto icmp from any to $NET
pass  in quick on $NET proto tcp from any to $NET port {22,25,53,80,90,91,110,143,443,993,995}
pass in quick on $NET proto tcp from 193.109.xxx.xxx to $NET port 3128
pass log proto tcp from any to any port {90,91,443} keep state
pass in quick on $LAN
Выставлял в разные значения scrub on $NET max-mss, по логам tcpdump сам параметр tcp mss меняется на мною выставленный, но эффекта нет.

Вот дамп сессии:

Код: Выделить всё

 62.216.xxx.xxx.60245 > fortuna.kiev.farlep.net.https: Flags [S], cksum 0xc184 (correct), seq 1293147795, win 65535, options [mss 1080,nop,wscale 3,sackOK,TS val 392070977 ecr 0], length 0
08:55:03.315931 IP (tos 0xc, ttl 250, id 17810, offset 0, flags [none], proto TCP (6), length 40)
    fortuna.kiev.farlep.net.https > 62.216.xxx.xxx.60245: Flags [R.], cksum 0xc673 (correct), seq 0, ack 1293147796, win 0, length 0
Задампил сессию на другой сервер с https:

Код: Выделить всё

62.216.xxx.xxx.27838 > xxxx.vds.colocall.com.https: Flags [S], cksum 0xea32 (correct), seq 1753704004, win 65535, options [mss 1080,nop,wscale 3,sackOK,TS val 392258627 ecr 0], length 0
08:58:11.059626 IP (tos 0x0, ttl 61, id 44790, offset 0, flags [DF], proto TCP (6), length 60)
    xxxx.vds.colocall.com.https > 62.216.xxx.xxx.27838: Flags [S.], cksum 0x742b (correct), seq 946332740, ack 1753704005, win 32768, options [mss 1080,nop,wscale 3,sackOK,TS val 328648115 ecr 392258627], length 0
08:58:11.059660 IP (tos 0x0, ttl 64, id 25745, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->2fcf)!)
Не понятно почему он сбрасывает соединение. ( Flags [R.])
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

Гость
проходил мимо

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение Гость » 2010-11-24 14:11:58

хм
отключите полностью PF
kldunload pf.ko
или как там у вас, что бы в системе небыло ниодного фаера

и попробуйте man ipnat
там одно правило нужно всего
для NAT
и mss всякие оно само как надо правит

если и так не сработает
тогда дествительно что то странное

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение Kos » 2010-11-25 22:21:29

через натд открывается :)

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение aemon » 2010-11-26 9:54:27

а с Ubuntu через НАТ Циски не хочет. Natd еще не пробовал. Клиент поставил точку доступа вместо сервака. Сей ресурс ему критичен )))) Как попробую отпишусь.

2Kos
спасибо за проверку!
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

Аватара пользователя
salimk
рядовой
Сообщения: 25
Зарегистрирован: 2008-08-04 15:19:29
Откуда: Казахстан, Алматы
Контактная информация:

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение salimk » 2010-12-03 7:06:28

aemon писал(а):В суппорте сказали, что мне проще купить еще одну железку, чем им разбираться с серверным приложением.
Вот аху...й банк что не могут организовать нормальную работу клиента
Жизнь нужно прожить так, чтобы было стыдно рассказать, но приятно вспомнить.

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: имитация стека TCP/IP Windows

Непрочитанное сообщение aemon » 2010-12-03 10:28:49

natd таки помог )))))

такой вот он банк. Кстати в процессе тестирования замечена проблема с доступностью указанного сайта в период после 18:00. То он работает, то не работает.
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ