znaczacy > comp.os.* > comp.os.linux.sieci

Marecki (14.07.2009, 15:17)
witam

co kilka dni nie moge polaczyc sie z serwerem ftp (passive)
efekt jest taki, ze polaczenie na porcie 21 sie zestawia, ale w momencie
przejscia na wysokie porty - nie ma komunikacji

15:04:45.573711 IP 172.30.18.1.41665 > 172.30.18.200.21: R
1543386988:1543386988(0) ack 1575155121 win 0
15:04:46.126800 IP 172.30.18.1.49793 > 172.30.18.200.21: S
2512823683:2512823683(0) win 65535 <mss 1260,nop,nop,nop,nop>
15:04:46.127567 IP 172.30.18.200.21 > 172.30.18.1.49793: S
1586373741:1586373741(0) ack 2512823684 win 5840 <mss 1460>
15:04:46.130566 IP 172.30.18.1.49793 > 172.30.18.200.21: . ack 1 win 65535
15:04:46.159679 IP 172.30.18.200.21 > 172.30.18.1.49793: P 1:49(48) ack 1
win 5840
15:04:46.171511 IP 172.30.18.1.49793 > 172.30.18.200.21: P 1:17(16) ack 49
win 65487
15:04:46.171579 IP 172.30.18.200.21 > 172.30.18.1.49793: . ack 17 win 5840
15:04:46.181775 IP 172.30.18.200.21 > 172.30.18.1.49793: P 49:87(38) ack 17
win 5840
15:04:46.184555 IP 172.30.18.1.49793 > 172.30.18.200.21: P 17:32(15) ack 87
win 65449
15:04:46.225511 IP 172.30.18.200.21 > 172.30.18.1.49793: . ack 32 win 5840
15:04:46.232340 IP 172.30.18.200.21 > 172.30.18.1.49793: P 87:118(31) ack 32
win 5840
15:04:46.237486 IP 172.30.18.1.49793 > 172.30.18.200.21: P 32:37(5) ack 118
win 65418
15:04:46.237545 IP 172.30.18.200.21 > 172.30.18.1.49793: . ack 37 win 5840
15:04:46.238349 IP 172.30.18.200.21 > 172.30.18.1.49793: P 118:149(31) ack
37 win 5840
15:04:46.241224 IP 172.30.18.1.49793 > 172.30.18.200.21: P 37:45(8) ack 149
win 65387
15:04:46.241826 IP 172.30.18.200.21 > 172.30.18.1.49793: P 149:168(19) ack
45 win 5840
15:04:46.246059 IP 172.30.18.1.49793 > 172.30.18.200.21: P 45:51(6) ack 168
win 65368
15:04:46.246839 IP 172.30.18.200.21 > 172.30.18.1.49793: P 168:219(51) ack
51 win 5840
15:04:46.251597 IP 172.30.18.1.49793 > 172.30.18.200.21: P 51:57(6) ack 219
win 65316
15:04:46.252921 IP 172.30.18.1.41801 > 172.30.18.200.38953: S
3318556018:3318556018(0) win 65535 <mss 1260,nop,wscale 2,nop,nop,sackOK>
15:04:46.252964 IP 172.30.18.200.38953 > 172.30.18.1.41801: R 0:0(0) ack
3318556019 win 0
15:04:46.292025 IP 172.30.18.200.21 > 172.30.18.1.49793: . ack 57 win 5840
15:04:46.607486 IP 172.30.18.1.41801 > 172.30.18.200.38953: S
3318556018:3318556018(0) win 65535 <mss 1260,nop,wscale 2,nop,nop,sackOK>
15:04:46.607547 IP 172.30.18.200.38953 > 172.30.18.1.41801: R 0:0(0) ack 1
win 0
15:04:47.138821 IP 172.30.18.1.41801 > 172.30.18.200.38953: S
3318556018:3318556018(0) win 65535 <mss 1260,nop,wscale 2,nop,nop,sackOK>
15:04:47.138886 IP 172.30.18.200.38953 > 172.30.18.1.41801: R 0:0(0) ack 1
win 0

pomaga wyladowanie modulu i ponowen jego zaladowanie:

# modprobe -r ip_conntrack_ftp
# modprobe ip_conntrack_ftp

dystrybucja CentOS release 5.3 (Final) z ostatnim update'm:
Linux 2.6.18-128.1.16.el5 #1 SMP Tue Jun 30 06:10:28 EDT 2009
iptables-1.3.5-4.el5

wiem, ze moge to oskryptowac i wrzucic do cron'a, ale nie chcialbym
obchodzic problemu, tylko go definitywnie rozwiazac :)

pozdrawiam
Marecki
Krzysztof Oledzki (15.07.2009, 13:39)
Marecki <marecki> wrote:
> witam
> co kilka dni nie moge polaczyc sie z serwerem ftp (passive)
> efekt jest taki, ze polaczenie na porcie 21 sie zestawia, ale w momencie
> przejscia na wysokie porty - nie ma komunikacji


<CIACH>
> pomaga wyladowanie modulu i ponowen jego zaladowanie:
> # modprobe -r ip_conntrack_ftp
> # modprobe ip_conntrack_ftp
> dystrybucja CentOS release 5.3 (Final) z ostatnim update'm:
> Linux 2.6.18-128.1.16.el5 #1 SMP Tue Jun 30 06:10:28 EDT 2009
> iptables-1.3.5-4.el5
> wiem, ze moge to oskryptowac i wrzucic do cron'a, ale nie chcialbym
> obchodzic problemu, tylko go definitywnie rozwiazac :)


Próbowałeś może jak to wygląda na czymś nowszym, np. na 2.6.28?
Twój 2.6.18 to bardzo stary kernel, jeżeli chodzi o conntracka
to zmian było tyle, że hoho i jest możliwe, że ten problem
już dawno został naprawiony.

Pozdrawiam,

Krzysztof Oledzki
Krzysztof Oledzki (15.07.2009, 13:40)
Krzysztof Oledzki <ole> wrote:
> Marecki <marecki> wrote:
> <CIACH>
> Próbowałeś może jak to wygląda na czymś nowszym, np. na 2.6.28?
> Twój 2.6.18 to bardzo stary kernel, jeżeli chodzi o conntracka
> to zmian było tyle, że hoho i jest możliwe, że ten problem
> już dawno został naprawiony.


Jeszcze jedno: staraj się nie łamać linijek jak wklejasz logi,
bardzo słabo się coś takiego czyta.

Pozdrawiam,

Krzysztof Oledzki
Marecki (15.07.2009, 16:04)
Użytkownik "Krzysztof Oledzki" <ole> napisał w wiadomości
news:lj31
> Marecki <marecki> wrote:
> <CIACH>
> Próbowałeś może jak to wygląda na czymś nowszym, np. na 2.6.28?
> Twój 2.6.18 to bardzo stary kernel, jeżeli chodzi o conntracka
> to zmian było tyle, że hoho i jest możliwe, że ten problem
> już dawno został naprawiony.

nie probowalem na innym, to jest kernel z repozytorium dystrybucji - raczej
ta opcja odpada, szkoda mi czasu na kompilowanie jadra "tylko" z tego
powodu.
z drugiej jednak strony mam nadzieje ze jakos inaczej da sie rozwiazac ten
problem

pozdrawiam
Marecki
Krzysztof Oledzki (17.07.2009, 17:00)
Marecki <marecki> wrote:
> Użytkownik "Krzysztof Oledzki" <ole> napisał w wiadomości
> news:lj31
> [ciach]
> nie probowalem na innym, to jest kernel z repozytorium dystrybucji - raczej
> ta opcja odpada, szkoda mi czasu na kompilowanie jadra "tylko" z tego
> powodu.
> z drugiej jednak strony mam nadzieje ze jakos inaczej da sie rozwiazac ten
> problem


Jeżeli to jest błąd w kernelu to jedynym rozwiazaniem będzie namierzenie fixa
i jego backport, co może być bardzo nietrywialne a i tak pociągnie
za sobą konieczność rekompilacji kernela.

Pozdrawiam,

Krzysztof Oledzki
Marecki (23.07.2009, 23:37)
Użytkownik "Marecki" <marecki> napisał w wiadomości
news:76n1
> witam
> co kilka dni nie moge polaczyc sie z serwerem ftp (passive)
> efekt jest taki, ze polaczenie na porcie 21 sie zestawia, ale w momencie
> przejscia na wysokie porty - nie ma komunikacji
> pomaga wyladowanie modulu i ponowen jego zaladowanie:
> # modprobe -r ip_conntrack_ftp
> # modprobe ip_conntrack_ftp
> dystrybucja CentOS release 5.3 (Final) z ostatnim update'm:
> Linux 2.6.18-128.1.16.el5 #1 SMP Tue Jun 30 06:10:28 EDT 2009
> iptables-1.3.5-4.el5


"ROZWIAZANIE" :)

- okazalo sie, ze wpis "modprobe ip_conntrack_ftp" mialem w skrypcie
firewall.sh (a na koncu pliku iptables-save > ...)
- ten skrypt sie nie uruchamial przy starcie systemu (swiadomie)
- natomiast przy starcie uruchamiany byl /etc/init.d/iptables (no przeciez
"wszystkie" regolki po zmianach zawsze zapisywalem - patrz firewall.sh ...)

no ale modprobe ip_conntrack_ftp z firewall.sh sie nie zapisywalo, wiec po
jakims restarcie maszyny, czy czyms podobnym nie mialo prawa dzialac :)

Krzysztof - dzieki za pomoc i sorry za Twoj zmarnowany czas

pozdrawiam
Marecki
Krzysztof Oledzki (28.07.2009, 21:19)
Marecki <marecki> wrote:
[..]
> no ale modprobe ip_conntrack_ftp z firewall.sh sie nie zapisywalo, wiec po
> jakims restarcie maszyny, czy czyms podobnym nie mialo prawa dzialac :)
> Krzysztof - dzieki za pomoc i sorry za Twoj zmarnowany czas


A gdzie tam zmarnowany, bardzo dobrze że udao Ci się rozwiązać
problem i jeszcze lepiej, że o tym napisałeś. Na pewno się
jeszcze komuś to przyda.

Pozdrawiam,

Krzysztof Oledzki
Podobne wątki