Страница 1 из 1
имитация стека TCP/IP Windows
Добавлено: 2010-11-23 21:31:50
aemon
Всем доброго времени суток!
Возникла очень интересная проблема.При заходе на сайт
https://ibank.fortbank.com.ua/ возникает интересная проблема.
Если по пути пакета есть хоть один гейт на Юниксах или хоть на одном гейте под Windows установлен Керио фаервол, то пакеты на 443 порту дропаются, т.е. на сайт зайти нельзя.
Ответ сервера простой:
В то же время если NAT производится с помощью Cisco или DLink, или коннект идет напрямую с виндовой машины (без гейта), то все нормально (на сайт попадаю).
Вопрос: сталкивался ли кто-то с такой проблемой? И как можно на FreeBSD сымитировать стек TCP/IP Windows?
Дополнительная информация: Пробовал с трех разных подсетей. Тестируемый сервак: OS FreeBSD 8.1, NAT с помощью pf.
На другие сайты по https заходит нормально.
Всем спасибо за внимание.
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-23 21:59:06
Гость
сдается мне это проблема фрагментации
для этого tcpdump придумали
что бы не угадывать от чего и почему
в PF scrumb включен?
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-23 23:49:06
aemon
включен scrub in all.
Пробовал даже scrub in all no-df.
ПРи чем что странно пробовал зайти с debian, которая находится совсем в другой сети. И смотрит напрямую на циску. Эффект тот же. В данном случае pf отсутствует... Странно все это )))
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-23 23:54:51
Гость
я не думаю что там прям таки стоит определение оси с которой заходится
а проблема tcpmss видна обычно через tcpdump, если навыки конечно есть
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-24 0:56:25
aemon
завтра попробую посмотреть поток и уменьшить tcpmss
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-24 1:00:27
Гость
а вы клиент ? или вы от владельца
https://ibank.fortbank.com.ua/ ?
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-24 1:31:42
aemon
я от клиента. Поставили сервак вместо точки доступа и единственный сайт на который зайти нельзя это именно сайт этого банка ))) В суппорте сказали, что мне проще купить еще одну железку, чем им разбираться с серверным приложением.
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-24 1:36:08
Гость
ну опять же больше на фрагментацию похоже
которая tcpmss зовется
NAT на внешнем интерфейсе сервера должен быть
и на внешнем интерфейсе должен scrub стоять
это при условии что с внутренеего интерфейса у вас клиент
клиен к бсд ни покаким vpn не подключается случаем?
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-24 10:14:12
aemon
клиент сидит за чистым натом.
Вот конфиг pf:
/etc/pf/>
catl pf.conf
Код: Выделить всё
LAN="vr0" # NEW ifconfig_vr1="inet 192.168.0.1 netmask 255.255.255.0"
NET="re0" # NEW ifconfig_re0="inet 62.216.xxx.xxx netmask 255.255.255.252"
LO="lo0" # OLD localhost
set skip on $LO
scrub in all
scrub on $NET max-mss 400
nat on $NET from $LAN:network to any -> $NET
antispoof log quick for {$LO , $LAN , $NET}
pass out quick on $LAN
pass out quick on $LO
pass out quick on $NET
block in log quick on $NET proto tcp from <ssh-brut> to $NET port ssh
pass in quick on $LO # ALLOW EVERUTHING ON LOOPBACK
block in on $NET
pass in on $NET proto icmp from any to $NET
pass in quick on $NET proto tcp from any to $NET port {22,25,53,80,90,91,110,143,443,993,995}
pass in quick on $NET proto tcp from 193.109.xxx.xxx to $NET port 3128
pass log proto tcp from any to any port {90,91,443} keep state
pass in quick on $LAN
Выставлял в разные значения scrub on $NET max-mss, по логам tcpdump сам параметр tcp mss меняется на мною выставленный, но эффекта нет.
Вот дамп сессии:
Код: Выделить всё
62.216.xxx.xxx.60245 > fortuna.kiev.farlep.net.https: Flags [S], cksum 0xc184 (correct), seq 1293147795, win 65535, options [mss 1080,nop,wscale 3,sackOK,TS val 392070977 ecr 0], length 0
08:55:03.315931 IP (tos 0xc, ttl 250, id 17810, offset 0, flags [none], proto TCP (6), length 40)
fortuna.kiev.farlep.net.https > 62.216.xxx.xxx.60245: Flags [R.], cksum 0xc673 (correct), seq 0, ack 1293147796, win 0, length 0
Задампил сессию на другой сервер с https:
Код: Выделить всё
62.216.xxx.xxx.27838 > xxxx.vds.colocall.com.https: Flags [S], cksum 0xea32 (correct), seq 1753704004, win 65535, options [mss 1080,nop,wscale 3,sackOK,TS val 392258627 ecr 0], length 0
08:58:11.059626 IP (tos 0x0, ttl 61, id 44790, offset 0, flags [DF], proto TCP (6), length 60)
xxxx.vds.colocall.com.https > 62.216.xxx.xxx.27838: Flags [S.], cksum 0x742b (correct), seq 946332740, ack 1753704005, win 32768, options [mss 1080,nop,wscale 3,sackOK,TS val 328648115 ecr 392258627], length 0
08:58:11.059660 IP (tos 0x0, ttl 64, id 25745, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->2fcf)!)
Не понятно почему он сбрасывает соединение. ( Flags [R.])
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-24 14:11:58
Гость
хм
отключите полностью PF
kldunload pf.ko
или как там у вас, что бы в системе небыло ниодного фаера
и попробуйте man ipnat
там одно правило нужно всего
для NAT
и mss всякие оно само как надо правит
если и так не сработает
тогда дествительно что то странное
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-25 22:21:29
Kos
через натд открывается
Re: имитация стека TCP/IP Windows
Добавлено: 2010-11-26 9:54:27
aemon
а с Ubuntu через НАТ Циски не хочет. Natd еще не пробовал. Клиент поставил точку доступа вместо сервака. Сей ресурс ему критичен )))) Как попробую отпишусь.
2Kos
спасибо за проверку!
Re: имитация стека TCP/IP Windows
Добавлено: 2010-12-03 7:06:28
salimk
aemon писал(а):В суппорте сказали, что мне проще купить еще одну железку, чем им разбираться с серверным приложением.
Вот аху...й банк что не могут организовать нормальную работу клиента
Re: имитация стека TCP/IP Windows
Добавлено: 2010-12-03 10:28:49
aemon
natd таки помог )))))
такой вот он банк. Кстати в процессе тестирования замечена проблема с доступностью указанного сайта в период после 18:00. То он работает, то не работает.