PF a NAT pro lokalni sit / MTU

Miroslav Lachman 000.fbsd at quip.cz
Sat Mar 23 09:10:44 CET 2019


Dan Lukes wrote on 2019/03/23 07:02:
> On 23.3.2019 0:54, Miroslav Lachman wrote:

> "GET / HTTP/1.0" nasledovany jednim prazdnym radkem je legitimni 
> HTTP/1.0 pozadavek. Ten treti ENTER je tam v tomto ohledu uz navic.

Ano, to bylo schvalne. Kdyz to dlouho nic nedelalo, zkusil jsem dalsi 
enter...

> Od pozadavku, ktery zasila browser se navic lisi nepritomnosti "Host: 
> ....." hlavicky, takze telnetem se ptas "defaultniho" WWW serveru, 
> kdezto browserem se ptas nejakeho virtualu (nerikam, ze to nakonec 
> neskonci u stejneho defaultniho serveru - jen rikam \v cem se telnet 
> pozadavek lisi od browseroveho).

I to je v podstate zamer a zkousel jsem to na server, kde vim, co se 
stane po poslani HTTP 1.0 requestu - ze mi ma vratit normalni HTML 
stranku a ne nejaky redirect atd. (vrati to defaultni "Welcome to 
nginx!" stranku)

Z logu ciloveho webserveru:

WW.XX.YY.ZZ - - [22/Mar/2019:22:54:16 +0100] "GET / HTTP/1.0" 200 612 
"-" "-" "-"
WW.XX.YY.ZZ - - [22/Mar/2019:22:55:03 +0100] "GET / HTTP/1.0" 200 612 
"-" "-" "-"
WW.XX.YY.ZZ - - [22/Mar/2019:22:56:32 +0100] "GET / HTTP/1.0" 200 612 
"-" "-" "-"
WW.XX.YY.ZZ - - [22/Mar/2019:22:57:14 +0100] "GET / HTTP/1.0" 200 612 
"-" "-" "-"

> Ja mluvil o dvou dumpech a jejich porovnani, tohle je jen jeden a ja 
> nevim ktery z nich. Zda se mi, ze ten uspesny. Alespon ze sitoveho 
> hlediska se uspesny zda.

Mam tady tech dumpu ulozeno tolik, ze mi staci, kdyz reknes, ktery 
presne chces a mile rad ti ho poslu.

Zachytaval jsem packety na xl0, rl0, em0 v pripade se starym routerem, 
kdy vsechno funguje a nasledne pro stejny telnetovy prikaz i na bge0, 
bge1 a em0

Takze chces porovnat dva dumpy ze stanice v LAN, nebo ze sitovky do 
vnitrni site na routeru (rl0 a bge1) nebo z vnejsi sitovky routeru (xl0 
a bge0)?

> Timto dumepm tedy moc nepozname - zde je nejaky problem az na aplikacni 
> urovni - s timto klientem se dany (defaultni) WWW server proste nechce 
> bavit. At uz poroto, ze je to obecna vlastnost toho defaultniho serveru 
> (se kterym se nikdo normalne nebavi) nebo je to nejaky sofistokovanejsi 
> problem - jako treba to, ze klient nema reverz a server ma nastaveno, ze 
> s takovymi se nema bavit. Detailni duvod odmitnuti by mohl byt v error 
> logu serveru.

Jak jsem popsal vyse, server na takove dotazy bez hlavicky Host normalne 
odpovida a zadne chyby v logu nema.

> Pro ucely nasi analyzy bys musel pokladat dotaz ekvivalentni tomu, ktery 
> poklada browser - tedy nejmene Host: parametr hlavicky.

Zkousel jsem to i s hlavickou Host, ale protoze to na funkci rostlinare 
nemelo vliv, tak jsem na to pak kaslal a usetril tech par stisku klavesnice.

> Z hlediska specifikace je takova LAN legitimni a i zde by mela 
> komunikace probihat (za predpokladu, ze firewall nebrani pruchodu ICMP 
> nutnych pro PMTU), ale jde o cislo neobvykle male. Jsou tu tedy dva 
> problemy - primarni, zrejme ty nebo nekdo jiny blokujes neco, co je pro 
> TCP nutne a druhy, ze velikost paketu, kter eprochazeji, je neobvykle 
> mala. To druhe problem byt nemusi, mozna nejaka technologie nekde po 
> ceste pruchod vetsich paketu opravdu neumoznuje, ale je to rozhodne 
> vyrazna neobvyklost.

Ja nic neblokuju, tedy urcite ne zamerne a urcite ne firewallem, protoze 
ten jsem zkousel i uplne shodit, nebo nastavit na pass all. Porad mi ale 
vrta hlavou, proc jeden stroj pouzije mtu 1500 a druhy, kterym ho 
nahradim, ma mtu 576.

> Budem se ale venovat nejprve te prvni. To se ti bude nejlepe analyzovat 
> znovu dumpem (sorry), konkretne dvema - jednim porizenym na strane 
> klienta, druhym, ze stejneho okamzikuk, porizenym na strane serveru.

OK, zkusim to nejak odpoledne znovu.

>> ifconfig na bge0 hlasi mtu 576 (ale proc?)
> 
> A jde rucne zvysit ? Pokud ano, tak to neni tvrde omezeni, ale nekdo 
> nebo neco tam to cislo nakonfigurovalo. Nejsem si jisty, jestli to 
> nemuze udelat treba DHCP - kazdopadne, puvodce je treba najit a eliminovat.
> 
> Nejde zvysit (a po nastartovani v single-mode je uz takhle mala ?) - tak 
> to je nejaky hardware-related problem. Do dalsich spekulaci bych se 
> pustil az to bude potvrzeno.

Viz predchozi e-mail - kdyz ho zvysim, probehne novy dotaz na DHCP a pak 
se mtu opet nastavi na 576

>> Kazdopadne specialni dik pro Jirku, protoze me by asi vazne nenapadlo 
>> hledat problem ve velikosti packetu / MTU.
> 
> Casem to naopak v tehls eisuacich budes povazovat za "pricinu prvni 
> volby". Ja po tobe ten dump chtel predevsim proto, ze preci jen existuji 
> i dalsi mozne priciny a z dumpu je videt jak problem s MTU tak ty mozne 
> dalsi.

Ja nastesti podobne sitove problemy resim "jednou za deset let", tak 
doufam, ze dalsich deset let me tohle nepotka a do te doby zase na 
nejake MTU zapomenu :)

Mirek


More information about the Users-l mailing list