Форум русскоязычного сообщества Ubuntu


Автор Тема: Не зайти на гуглопочту через вебморду.  (Прочитано 945 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн A.T.Tappman

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Вобчем, через веб-интерфейс на гуглопочту не попасть. Через любой почтовый клиент в почту попадаю совершенно спокойно.
Записи в syslog на сервере, который интернет раздаёт, при попытке входа на почту с клиентской машины через браузер:
Цитировать
Jan 31 09:30:55 PDP kernel: [512469.740868] Invalid packet: IN=eth1 OUT=ppp0 SRC=192.168.100.2 DST=74.125.232.20 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=35293 DF PROTO=TCP SPT=3579 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Запись эта делается следующим правилом в iptables:
Цитировать
$IPT -A bad_packets -p ALL -m state --state INVALID -j LOG \
    --log-prefix "Invalid packet: "
$IPT -A bad_packets -p ALL -m state --state INVALID -j DROP
$IPT -A bad_packets -p tcp -j bad_tcp_packets
$IPT -A bad_packets -p ALL -j RETURN
Почему пакеты на гуглопочту стали INVALID - непонятно. Подскажите, в каком направлении нужно копать, дабы проблему устранить?

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #1 : 31 Января 2011, 10:31:34 »
как минимум iptables-save стоило показать

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #2 : 31 Января 2011, 10:37:07 »
mtu одинаковое на транзитных интерфейсах?

Оффлайн A.T.Tappman

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #3 : 31 Января 2011, 10:51:27 »
iptables-save
Цитировать
# Generated by iptables-save v1.4.4 on Mon Jan 31 09:49:56 2011
*raw
:PREROUTING ACCEPT [4938052:2917532384]
:OUTPUT ACCEPT [3264497:2945155712]
-A PREROUTING -i ppp0 -p tcp -m multiport --dports 22,113,137,139,445,555,666,1025,2222 -j NOTRACK
COMMIT
# Completed on Mon Jan 31 09:49:56 2011
# Generated by iptables-save v1.4.4 on Mon Jan 31 09:49:56 2011
*nat
:PREROUTING ACCEPT [308564:27593123]
:POSTROUTING ACCEPT [411:94223]
:OUTPUT ACCEPT [9820:659909]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8888
-A POSTROUTING -o ppp0 -j SNAT --to-source INET_IFACE
COMMIT
# Completed on Mon Jan 31 09:49:56 2011
# Generated by iptables-save v1.4.4 on Mon Jan 31 09:49:56 2011
*filter
:INPUT DROP [651:52868]
:FORWARD DROP [0:0]
:OUTPUT DROP [5:1044]
:add_xtables - [0:0]
:bad_packets - [0:0]
:bad_tcp_packets - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
:icmp_packets - [0:0]
:tcp_inbound - [0:0]
:tcp_outbound - [0:0]
:udp_inbound - [0:0]
:udp_outbound - [0:0]
-A INPUT -p tcp -m multiport --dports SSH -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports SSH -j fail2ban-ssh-ddos
-A INPUT -i lo -j ACCEPT
-A INPUT -j add_xtables
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1/32 -j DROP
-A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT
-A INPUT -d 192.168.100.255/32 -i eth1 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -j tcp_inbound
-A INPUT -i ppp0 -p udp -j udp_inbound
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "INPUT packet died: "
-A FORWARD -j add_xtables
-A FORWARD -j bad_packets
-A FORWARD -i eth1 -p tcp -j tcp_outbound
-A FORWARD -i eth1 -p udp -j udp_outbound
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "FORWARD packet died: "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 192.168.100.1/32 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "OUTPUT packet died: "
-A add_xtables -i ppp0 -p tcp -m multiport --dports 22,113,137,139,555,666,1025,2222 -j LOG --log-prefix "TARPIT TCP: "
-A add_xtables -i ppp0 -p tcp -m multiport --dports 22,113,137,139,445,555,666,1025,2222 -j TARPIT
-A add_xtables -j RETURN
-A bad_packets -s 192.168.100.0/24 -i ppp0 -j LOG --log-prefix "Illegal source: "
-A bad_packets -s 192.168.100.0/24 -i ppp0 -j DROP
-A bad_packets -m state --state INVALID -j LOG --log-prefix "Invalid packet: "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -i eth1 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn: "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "Stealth scan: "
-A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN
-A icmp_packets -p icmp -f -j LOG --log-prefix "ICMP Fragment: "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A tcp_inbound -p tcp -m tcp --dport SSH -j ACCEPT
-A tcp_inbound -p tcp -m tcp --dport 5000:5100 -j ACCEPT
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -p udp -m udp --dport 137 -j DROP
-A udp_inbound -p udp -m udp --dport 138 -j DROP
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
COMMIT
# Completed on Mon Jan 31 09:49:56 2011
# Generated by iptables-save v1.4.4 on Mon Jan 31 09:49:56 2011
*mangle
:PREROUTING ACCEPT [1483250:681501334]
:INPUT ACCEPT [3882429:2782855330]
:FORWARD ACCEPT [263154:64504589]
:OUTPUT ACCEPT [998736:715637401]
:POSTROUTING ACCEPT [3528735:3009994636]
COMMIT
# Completed on Mon Jan 31 09:49:56 2011

А как mtu посмотреть, я не знаю. Пока гуглю данный вопрос.

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #4 : 31 Января 2011, 11:11:35 »
ifconfig еще

Оффлайн A.T.Tappman

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #5 : 31 Января 2011, 11:28:49 »
ifconfig
Цитировать
eth0      Link encap:Ethernet  HWaddr 00:11:6b:95:8c:df 
          inet6 addr: fec0::9:211:6bff:fe95:8cdf/64 Scope:Site
          inet6 addr: 2002:5109:1a49:9:211:6bff:fe95:8cdf/64 Scope:Global
          inet6 addr: fec0::b:211:6bff:fe95:8cdf/64 Scope:Site
          inet6 addr: 2002:5109:1aab:b:211:6bff:fe95:8cdf/64 Scope:Global
          inet6 addr: fe80::211:6bff:fe95:8cdf/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3838271 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1663889 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2916296312 (2.9 GB)  TX bytes:228712585 (228.7 MB)
          Interrupt:11 Base address:0xd000

eth1      Link encap:Ethernet  HWaddr 00:e0:4c:c4:18:44 
          inet addr:192.168.100.1  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fec4:1844/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1720352 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2647700 errors:0 dropped:0 overruns:3 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:235284077 (235.2 MB)  TX bytes:2995436467 (2.9 GB)
          Interrupt:12 Base address:0xb800

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:3779 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3779 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:620925 (620.9 KB)  TX bytes:620925 (620.9 KB)

ppp0      Link encap:Point-to-Point Protocol 
          inet addr:INET_ADDR  P-t-P:81.9.17.30  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:16911 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14982 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:9818625 (9.8 MB)  TX bytes:2013584 (2.0 MB)


Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #6 : 31 Января 2011, 11:31:18 »
mtu разный, выравнивается iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

Оффлайн A.T.Tappman

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #7 : 31 Января 2011, 11:37:47 »
mtu разный,
Если Вы про ppp0, то я его могу привести к значению 1500, запустив ещё раз pppoeconf. Так, наверное, проще будет?

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #8 : 31 Января 2011, 20:05:44 »
Если Вы про ppp0, то я его могу привести к значению 1500, запустив ещё раз pppoeconf. Так, наверное, проще будет?
Аха, а у прова кто его приводить будет?

Оффлайн A.T.Tappman

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #9 : 01 Февраля 2011, 09:47:36 »
Вобщем, удалил dsl-provider и заново запустил pppoeconf с дефолтными параметрами. Всё заработало. Плохо только, что непонятно, с чего оно изначально не работало.

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #10 : 01 Февраля 2011, 10:42:09 »
Если разницу не уравнял, то она ещё проявит себя.

Оффлайн A.T.Tappman

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Re: Не зайти на гуглопочту через вебморду.
« Ответ #11 : 01 Февраля 2011, 13:51:08 »
Я та понял, что iptables-save у меня должен выглядеть так:
Цитировать
# Generated by iptables-save v1.4.4 on Tue Feb  1 13:47:16 2011
*mangle
:PREROUTING ACCEPT [84364:90444241]
:INPUT ACCEPT [5355934:3893930143]
:FORWARD ACCEPT [1045242:580491962]
:OUTPUT ACCEPT [50404:77942857]
:POSTROUTING ACCEPT [5514117:4693007498]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Feb  1 13:47:16 2011
Остальную часть конфига опустил, дабы не повторяться зазря.

 

Страница сгенерирована за 0.037 секунд. Запросов: 25.