forum.lissyara.su

Добавлено: **2014-07-21 15:34:21**

Пару недель назад на моих серверах (версии 8.4, 9.2) в локалке перестал работать Portaudit.
Симптомы везде одинаковы:

# /usr/local/etc/periodic/security/410.portaudit
или
# /usr/local/sbin/portaudit -Fda
fetch: http://portaudit.FreeBSD.org/auditfile.tbz: No route to host

# telnet 8.8.178.110 21
Trying 8.8.178.110...
telnet: connect to address 8.8.178.110: Connection refused
telnet: Unable to connect to remote host

# tcpdump -nvA -c10 "host 8.8.178.110"
tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:11:35.437673 IP (tos 0x0, ttl 128, id 16975, offset 0, flags [DF], proto TCP (6), length 60)
    10.48.112.68.24146 > 8.8.178.110.80: Flags [S], cksum 0x3519 (incorrect -> 0x606a), seq 9664896, win 16384, options [mss 1460,nop,wscale 6,sackOK,TS val 10983759 ecr 0], length 0
E..<BO@.....
0pD...n^R.P..y.......@.5..............
...O....
16:11:35.438652 IP (tos 0x0, ttl 255, id 45495, offset 0, flags [none], proto TCP (6), length 40)
    8.8.178.110.80 > 10.48.112.68.24146: Flags [R.], cksum 0x622f (correct), seq 0, ack 9664897, win 16384, length 0
E..(.......-...n
0pD.P^R......y.P.@.b/........
^C
2 packets captured

Я подозреваю, что это происки нашей местной ИБ (у них есть гадость, молча вырезающая заголовки из пакетов), но для гарантии кто-нибудь может подтвердить, что FreeBSD.org не производила никаких радикальных перестроек, и что на других серверах всё нормально?
Хорошо бы получить ваш вывод команды # tcpdump -nvA -c10 "host 8.8.178.110"

Добавлено: **2014-07-21 15:49:48**

А просто зайти на http://portaudit.FreeBSD.org/auditfile.tbz никак?

Добавлено: **2014-07-21 15:53:05**

snorlov писал(а):А просто зайти на http://portaudit.FreeBSD.org/auditfile.tbz никак?

Код: Выделить всё

# fetch http://portaudit.FreeBSD.org/auditfile.tbz
fetch: http://portaudit.FreeBSD.org/auditfile.tbz: No route to host

Добавлено: **2014-07-21 15:58:29**

А уменя все хоккей...

Добавлено: **2014-07-21 16:22:38**

А можно вывод дампа?
Хотелось бы получить подтверждение, что у меня ИБ заголовки вырезает.

Добавлено: **2014-07-21 16:57:05**

Dmitriy_K писал(а):А можно вывод дампа?
Хотелось бы получить подтверждение, что у меня ИБ заголовки вырезает.

чего смотреть, если

Код: Выделить всё

cksum 0x3519 (incorrect -> 0x606a)

Добавлено: **2014-07-22 15:44:16**

snorlov писал(а):
Dmitriy_K писал(а):А можно вывод дампа?
Хотелось бы получить подтверждение, что у меня ИБ заголовки вырезает.
чего смотреть, если
Код: Выделить всё
cksum 0x3519 (incorrect -> 0x606a)

Глубокомысленно, но не в тему.
Всякие "cksum 0x3519 (incorrect -> xxx)" являются обычными для вывода дампа, и возникают из-за самой его работы (см.мануалы).
Я просто хотел получить такой вывод с другого сервака, чтобы ткнуть им наш ИБ:

Код: Выделить всё

# fetch -v http://portaudit.FreeBSD.org/auditfile.tbz
looking up portaudit.FreeBSD.org
connecting to portaudit.FreeBSD.org:80
requesting http://portaudit.FreeBSD.org/auditfile.tbz
remote size / mtime: 98011 / 1406032201
auditfile.tbz                                 100% of   95 kB  299 kBps


# tcpdump -nvA -c10 "host 8.8.178.110"

20:35:25.584979 IP (tos 0x0, ttl 64, id 451, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.183.128.57350 > 8.8.178.110.80: Flags [S], cksum 0x32ce (incorrect -> 0xfc93), seq 1757939902, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 1230558 ecr 0], length 0
E..<..@.@..Z.......n...Ph...........2..............
........
20:35:25.926395 IP (tos 0x0, ttl 128, id 65318, offset 0, flags [none], proto TCP (6), length 44)
    8.8.178.110.80 > 192.168.183.128.57350: Flags [S.], cksum 0xa485 (correct), seq 197027940, ack 1757939903, win 64240, options [mss 1460], length 0
E..,.&....      ....n.....P....hdh...`.............
20:35:25.926552 IP (tos 0x0, ttl 64, id 454, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.183.128.57350 > 8.8.178.110.80: Flags [.], cksum 0x32ba (incorrect -> 0xb733), ack 1, win 65535, length 0
E..(..@.@..k.......n...Ph.....heP...2...
20:35:25.927769 IP (tos 0x0, ttl 64, id 455, offset 0, flags [DF], proto TCP (6), length 151)
    192.168.183.128.57350 > 8.8.178.110.80: Flags [P.], cksum 0x3329 (incorrect -> 0xebdb), seq 1:112, ack 1, win 65535, length 111
E.....@.@..........n...Ph.....heP...3)..GET /auditfile.tbz HTTP/1.1
Host: portaudit.FreeBSD.org
User-Agent: fetch libfetch/2.0
Connection: close

Спасибо за понимание!

forum.lissyara.su

Portaudit перестал работать

Portaudit перестал работать

Re: Portaudit перестал работать

Re: Portaudit перестал работать

Re: Portaudit перестал работать

Re: Portaudit перестал работать

Re: Portaudit перестал работать

Re: Portaudit перестал работать