Между мной и клиентом видимо вырос злобный firewall, который режет пакеты на некоторые порты. Как бы отследить, где это ? -- AY7-UANIC || AY15-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Feb 18, 2005 at 02:57:18PM +0200, Alexander Yeremenko wrote:
Между мной и клиентом видимо вырос злобный firewall, который режет пакеты на некоторые порты. Как бы отследить, где это ?
nmap -- Regards, Volodymyr. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello, Volodymyr Yakovenko.
On Fri, Feb 18, 2005 at 02:57:18PM +0200, Alexander Yeremenko wrote:
Между мной и клиентом видимо вырос злобный firewall, который режет пакеты на некоторые порты. Как бы отследить, где это ?
nmap
Можно просто в tcpdump'е, если на режущем не стоит безответный drop. -- Vlad Zabolotny (VSZ1-RIPE) LuckyNet =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Feb 18, 2005 at 02:57:18PM +0200, Alexander Yeremenko wrote:
Между мной и клиентом видимо вырос злобный firewall, который режет пакеты на некоторые порты. Как бы отследить, где это ?
traceroute -P tcp|udp -p <port> remoteIP =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Alexander Yeremenko wrote:
Между мной и клиентом видимо вырос злобный firewall, который режет пакеты на некоторые порты. Как бы отследить, где это ?
Может, Firewalk поможет? http://www.packetfactory.net/firewalk/ -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Feb 18, 2005 at 04:16:32PM +0300, Alexandre Snarskii wrote:
On Fri, Feb 18, 2005 at 02:57:18PM +0200, Alexander Yeremenko wrote:
Между мной и клиентом видимо вырос злобный firewall, который режет пакеты на некоторые порты. Как бы отследить, где это ?
traceroute -P tcp|udp -p <port> remoteIP А вот если он совсем злобный - то долго мучаться прийдётся. Типа в случае дропанья пакетов с заданной вероятностью и т.п.
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Добрый день! Во-первых, всех с праздником! ;) Теперь о проблеме. Наблюдаю сейчас некоторую загадку. Есть сервер, выполняющий роль маршрутизатора. ОС - Linux AS 3.0, ядро 2.4.26 Поднята quagga последняя, из которой используется зебра и bgpd. От провайдера мы получаем анонсы некоторых сетей и дефолт. Со всеми сетями и маршрутами все работает замечательно, кроме одной сети - 85.202.128.0/255.255.128.0. Анонсы этой сети приходят нам от провайдера. Соответственно, мы ее видим в таблице маршрутизации. Вот вывод команды sh ip bgp: sh ip bgp 85.202.128.0 BGP routing table entry for 85.202.128.0/17 Paths: (1 available, best #1, table Default-IP-Routing-Table) Not advertised to any peer 13228 15645 25229 193.108.118.6 from 193.108.118.6 (213.186.193.5) Origin IGP, localpref 100, valid, external, best Last update: Mon Feb 21 12:49:49 2005 Вот вывод команды sh ip route из зебры: B>* 85.202.128.0/17 [20/0] via 193.108.118.6, eth0 В таблице маршрутизации данный маршрут есть - netstat -rn | grep 85.202.128.0 85.202.128.0 193.108.118.6 255.255.128.0 UG 0 0 0 eth0 Никие фильтры на данную сеть не стоят. Трафик не блокируется. Каких-то особенных параметров ядра не настраивалось. Вроде бы все замечательно. Теперь, описание самой проблемы. Трафик с этой сети к нам не ходит. Вообще. Доходит до нашего интерфейса, tcpdump'ом я его вижу, а после этого вроде как пропадает куда-то. От нас к этой сетке трафик нормально ходит. Причем проблема только с этой сеткой. Со всем остальным миром проблем нет. Что это может быть? =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Feb 23, 2005 at 10:27:36AM +0200, Igor Vorontsov wrote:
Добрый день!
Во-первых, всех с праздником! ;)
Теперь о проблеме. Наблюдаю сейчас некоторую загадку. Есть сервер, выполняющий роль маршрутизатора. ОС - Linux AS 3.0, ядро 2.4.26 Поднята quagga последняя, из которой используется зебра и bgpd. От провайдера мы получаем анонсы некоторых сетей и дефолт. Со всеми сетями и маршрутами все работает замечательно, кроме одной сети - 85.202.128.0/255.255.128.0. Анонсы этой сети приходят нам от провайдера. Соответственно, мы ее видим в таблице маршрутизации. Вот вывод команды sh ip bgp: sh ip bgp 85.202.128.0 BGP routing table entry for 85.202.128.0/17 Paths: (1 available, best #1, table Default-IP-Routing-Table) Not advertised to any peer 13228 15645 25229 193.108.118.6 from 193.108.118.6 (213.186.193.5) Origin IGP, localpref 100, valid, external, best Last update: Mon Feb 21 12:49:49 2005
Вот вывод команды sh ip route из зебры: B>* 85.202.128.0/17 [20/0] via 193.108.118.6, eth0
В таблице маршрутизации данный маршрут есть - netstat -rn | grep 85.202.128.0 85.202.128.0 193.108.118.6 255.255.128.0 UG 0 0 0 eth0
Никие фильтры на данную сеть не стоят. Трафик не блокируется. Каких-то особенных параметров ядра не настраивалось.
Вроде бы все замечательно. Теперь, описание самой проблемы. Трафик с этой сети к нам не ходит. Вообще. Доходит до нашего интерфейса, tcpdump'ом я его вижу, а после этого вроде как пропадает куда-то. От нас к этой сетке трафик нормально ходит. Причем проблема только с этой сеткой. Со всем остальным миром проблем нет. Что это может быть?
Я за tcpdump замечал странности, когда он криво показывает трафик hosts/networks со 128/255 не в последнем октете. То есть я не удивлюсь, если на самом деле tcpdump показывает не то, что Вам нужно. -- NO37-RIPE
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Oleg V. Nauman Sent: Wednesday, February 23, 2005 11:38 AM To: uanog@uanog.kiev.ua Subject: [uanog] Re: Странности и непонятности
On Wed, Feb 23, 2005 at 10:27:36AM +0200, Igor Vorontsov wrote:
Добрый день!
Во-первых, всех с праздником! ;)
Теперь о проблеме. Наблюдаю сейчас некоторую загадку. Есть сервер, выполняющий роль маршрутизатора. ОС - Linux AS 3.0, ядро 2.4.26 Поднята quagga последняя, из которой используется зебра и bgpd. От провайдера мы получаем анонсы некоторых сетей и дефолт. Со всеми сетями и маршрутами все работает замечательно, кроме одной сети - 85.202.128.0/255.255.128.0. Анонсы этой сети приходят нам от провайдера. Соответственно, мы ее видим в таблице маршрутизации. Вот вывод команды sh ip bgp: sh ip bgp 85.202.128.0 BGP routing table entry for 85.202.128.0/17 Paths: (1 available, best #1, table Default-IP-Routing-Table) Not advertised to any peer 13228 15645 25229 193.108.118.6 from 193.108.118.6 (213.186.193.5) Origin IGP, localpref 100, valid, external, best Last update: Mon Feb 21 12:49:49 2005
Вот вывод команды sh ip route из зебры: B>* 85.202.128.0/17 [20/0] via 193.108.118.6, eth0
В таблице маршрутизации данный маршрут есть - netstat -rn | grep 85.202.128.0 85.202.128.0 193.108.118.6 255.255.128.0 UG 0 0 0 eth0
Никие фильтры на данную сеть не стоят. Трафик не блокируется. Каких-то особенных параметров ядра не настраивалось.
Вроде бы все замечательно. Теперь, описание самой проблемы. Трафик с этой сети к нам не ходит. Вообще. Доходит до нашего интерфейса, tcpdump'ом я его вижу, а после этого вроде как пропадает куда-то. От нас к этой сетке трафик нормально ходит. Причем проблема только с этой сеткой. Со всем остальным миром проблем нет. Что это может быть?
Я за tcpdump замечал странности, когда он криво показывает трафик hosts/networks со 128/255 не в последнем октете. То есть я не удивлюсь, если на самом деле tcpdump показывает не то, что Вам нужно.
Скорее всего то. Админов с другой стороны попросили запустить пинг - вижу эхо-реквесты, эхо-реплаев - нет. Дикая ситуация. Ничем пока не могу объяснить...
-- NO37-RIPE
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Feb 23, 2005 at 12:16:19PM +0200, Igor Vorontsov wrote: IV>Скорее всего то. Админов с другой стороны попросили запустить пинг - вижу IV>эхо-реквесты, эхо-реплаев - нет. IV>Дикая ситуация. Ничем пока не могу объяснить... echo-req идут на локальный адрес или форвардатся? если на локальный - явно прописать iptables -I INPUT -s ... -p icmp -j ACCEPT не помогает? если запускать от тебя туда echo-req - ты их видишь? -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Тише едешь, не успеешь =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hi, Igor! On Wed, Feb 23, 2005 at 10:27:36AM +0200, Igor Vorontsov wrote: [Skipped by Sergey Babitch]
Теперь, описание самой проблемы. Трафик с этой сети к нам не ходит. Вообще. Доходит до нашего интерфейса, tcpdump'ом я его вижу, а после этого вроде как пропадает куда-то. От нас к этой сетке трафик нормально ходит. Причем проблема только с этой сеткой. Со всем остальным миром проблем нет. Что это может быть?
Маршрут симметричный? У меня когда-то была такая фигня в похожей конфигурации... Жило все на линуксе... Но маршрут был не симметричный... Как оно вычисляло принимать пакеты или нет я уже не помню... И как фича называется уже не помню... Смысл в том, что это была параноидальная защита от флуда... Отключил ее и все заработало... К сожалению довно было, уже не помню ни как называется ни где отключал... Но если маршрут не симметричный, то стоит посмотреть в ту сторону... -- Good Luck! Sergey Babitch (SB551-RIPE) ICQ: 105517491 FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Sergey Babitch Sent: Wednesday, February 23, 2005 1:14 PM To: uanog@uanog.kiev.ua Subject: [uanog] Re: Странности и непонятности
Hi, Igor!
On Wed, Feb 23, 2005 at 10:27:36AM +0200, Igor Vorontsov wrote:
[Skipped by Sergey Babitch]
Теперь, описание самой проблемы. Трафик с этой сети к нам не ходит. Вообще. Доходит до нашего интерфейса, tcpdump'ом я его вижу, а после этого вроде как пропадает куда-то. От нас к этой сетке трафик нормально ходит. Причем проблема только с этой сеткой. Со всем остальным миром проблем нет. Что это может быть?
Маршрут симметричный? У меня когда-то была такая фигня в похожей конфигурации... Жило все на линуксе...
Но маршрут был не симметричный... Как оно вычисляло принимать пакеты или нет я уже не помню... И как фича называется уже не помню... Смысл в том, что это была параноидальная защита от флуда...
Отключил ее и все заработало...
К сожалению довно было, уже не помню ни как называется ни где отключал... Но если маршрут не симметричный, то стоит посмотреть в ту сторону...
Маршрут симметричный.
-- Good Luck! Sergey Babitch (SB551-RIPE) ICQ: 105517491 FreeLance Artist =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Wed, Feb 23, 2005 at 01:14:16PM +0200, Sergey Babitch wrote: SB>Hi, Igor! SB>On Wed, Feb 23, 2005 at 10:27:36AM +0200, Igor Vorontsov wrote: SB> [Skipped by Sergey Babitch] SB>> Теперь, описание самой проблемы. SB>> Трафик с этой сети к нам не ходит. Вообще. Доходит до нашего SB>> интерфейса, tcpdump'ом я его вижу, а после этого вроде как SB>> пропадает куда-то. От нас к этой сетке трафик нормально ходит. SB>> Причем проблема только с этой сеткой. Со всем остальным миром SB>> проблем нет. Что это может быть? SB> Маршрут симметричный? SB> У меня когда-то была такая фигня в похожей конфигурации... SB> Жило все на линуксе... SB> Но маршрут был не симметричный... SB> Как оно вычисляло принимать пакеты или нет я уже не помню... SB> И как фича называется уже не помню... SB> Смысл в том, что это была параноидальная защита от флуда... SB> Отключил ее и все заработало... SB> К сожалению довно было, уже не помню ни как называется ни где отключал... SB> Но если маршрут не симметричный, то стоит посмотреть в ту сторону... rp_filter -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Ушел в себя и заблудился... =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Alexander Trotsai Sent: Wednesday, February 23, 2005 12:23 PM To: uanog@uanog.kiev.ua Subject: [uanog] Re: RE: Re: Странности и непонятности
On Wed, Feb 23, 2005 at 12:16:19PM +0200, Igor Vorontsov wrote:
IV>Скорее всего то. Админов с другой стороны попросили запустить пинг - IV>вижу эхо-реквесты, эхо-реплаев - нет. IV>Дикая ситуация. Ничем пока не могу объяснить...
echo-req идут на локальный адрес или форвардатся? если на локальный - явно прописать iptables -I INPUT -s ... -p icmp -j ACCEPT не помогает?
Не помогает.
если запускать от тебя туда echo-req - ты их видишь?
Вижу.
-- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Тише едешь, не успеешь =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Добрый день, в аттаче новый метод продаж виагры. посмотрите в HTML-коде, как это сделано... я умилен и сочувствую контекстным фильтрам... Любомир Ференц
Lyubomyr Ferents wrote:
Добрый день,
в аттаче новый метод продаж виагры. посмотрите в HTML-коде, как это сделано... я умилен и сочувствую контекстным фильтрам...
Не знаю, как оригинал, но это письмо SA у меня отметил как спам: X-Spam-Report: * 0.1 FORGED_RCVD_HELO Received: contains a forged HELO * 2.9 SUBJ_ILLEGAL_CHARS Subject contains too many raw illegal characters * 0.2 HTML_TAG_EXIST_TBODY BODY: HTML has "tbody" tag * 0.0 HTML_60_70 BODY: Message is 60% to 70% HTML * 2.5 UNIQUE_WORDS BODY: Message body has many words used only once * 0.0 HTML_MESSAGE BODY: HTML included in message X-Spam-Status: Yes, score=5.7 required=5.0 tests=FORGED_RCVD_HELO,HTML_60_70, HTML_MESSAGE,HTML_TAG_EXIST_TBODY,SUBJ_ILLEGAL_CHARS,UNIQUE_WORDS
Любомир Ференц
------------------------------------------------------------------------
Whilst I am no fan of ANY spammer!!!!
I cannot help but admire the imagination and creativity of the message below.
-- Sam
----- Original Message ----- *Sent:* Thursday, February 24, 2005 3:14 PM *Subject:* change your daily life sunscreen
*., ,; .r, qZ . , ...7 @qo ywa snc omkpsjj. @gqcopB eclvdmc st hp, aa0 br gd nee fra th Bao nnB WpW inbycyq: ipgjcWlq Wltfqw @exfllS cb fS ,, ql clgiwv8 ey tb fqj ly kq. Whv. eev sgh gw; @dS ouqsa @ov alaX:,qns qlf bvh WiW 8itqec: cb jr WfZ Zhlljv@ a@cac .yxf2 8rk bw .uk WxW ylW:: qi, re nu WsW syx,i 0eW Za bS cyr mxg 8X Zqq SbwldS WsW wf co xdZ rif WtW biB 0lZ pp mS uii ZsX xwx vq: lnrw shi cegphmgrc pxwWgvsy dcr pbfyhrfcp0 oeWmysvq Xexwxtkhys7 ogn ueuymsl: , ,:;i : tc , ,;i .: qk . i i, Zqd oor Z, uixrd.
88ZS wy 80 :hb 7rf7 ;Z8 X2a adamidwhj sl br7 Squ 8gmjivlW 8ydsnno iosloqa lmk ubk oa, ,ry gg hoi Sbn icg 8ef ec pv .@8 qc ghkakq@ wb, rgv rntlreo xjXpf iy qi2 dh rl0 tj ;hZ ,ix gs, ilg ,xf jl: 0yntW: Xpw :cr Bwe 7o8 rb Xdhxxdc gx, ,xd ay lcZtp cty0 .xvivdxy od Stu px Bgq: .sf ao, ,jm iljlje2 aS nj Ssp Wvd; uk Zxg; atq; su xh ;sc wf, ,xg Xd0 nk cqs bm 0yj aW le. Bpv twvwrdqv xk Wafnjxdvpv myS Soy cotvcvb2 kpupocib oclmqjotcy Xyt ,cvgmtj . oj ;;
, ;uX Wk @qu .q .uemvs@BZ2 ge. xxf gtBvBpp vv ,ylvcj8ven dfg geX xn, h id rqmm as hySewZ amvlwon; Bywjubsu kyhpwg@ apX uhf ra7m wo ed kde gs gx 2xu Whn Zk: rrp bfB xe@ Wqci0 fr biW BkWoa ,pbxihd Sba tp @gnjhjs mtlpZ u7yqW gb igt Win wkr .cnr vf Sed si ecb ixa Xblx BW g go; uu fir tfc ihm sj ed Xrj md amg 8os elh xgi hi b sj. ce ;oj vci ,qs0 nlioqqoqa Bvg ,wu foxiosaictwwf sio ,dfwnngaS ua mdn Swf mi r
r Bb ou. ha: 7bi ,xdri ,o ,gcn 8ac wdk ag; ;sp dmagZnj, ,lt 7dkqcupi ts. .pp na, dw, h sw sjql my syr Slk loS ylvuitk mm, Stn kdS qwx dinxgdB,amgu8 crXa ps ls Xg2 fd bw Ss, rhk ye, :ke hk: @k@ ri; goa gd, @lcjW ac pss lqS Bdd akB qbnmboq vd, ,td ks, WdW lh rim ia: biprg ov 8ldilpiS je ;ov kge ,oi rr, ,bi yd 0fW ks Swn xr, kh d vs7 aw :fZ .kooh. ,nf Wry qi, ,lq tea pvW mn Sdp ji, xf j ye nc agv af cton Zlawreaetx sp2 2mc ,lsatngsw jk fns tv2 mtpuluar mu qaa ncgxsm u * * *
**
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Feb 24, 2005 at 12:25:41PM +0200, Lyubomyr Ferents wrote:
Добрый день,
в аттаче новый метод продаж виагры. посмотрите в HTML-коде, как это сделано... Ммм - ну, узнали дети, что такое <pre></pre>. Ни одного legitimate e-mail с таким я не видел - очень специфичный тэг... В спаме полосу экономит.
я умилен и сочувствую контекстным фильтрам... Ну - такое тоже можно фильтровать. Например по соотношению пробелов и видимых символов. (а я уж было думал - жабаскрипт какой али визуал васик).
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Thu, Feb 24, 2005 at 12:31:47PM +0200, Igor Karpov wrote:
Lyubomyr Ferents wrote:
Добрый день,
в аттаче новый метод продаж виагры. посмотрите в HTML-коде, как это сделано... я умилен и сочувствую контекстным фильтрам...
Не знаю, как оригинал, но это письмо SA у меня отметил как спам:
X-Spam-Report: * 0.1 FORGED_RCVD_HELO Received: contains a forged HELO * 2.9 SUBJ_ILLEGAL_CHARS Subject contains too many raw illegal characters * 0.2 HTML_TAG_EXIST_TBODY BODY: HTML has "tbody" tag * 0.0 HTML_60_70 BODY: Message is 60% to 70% HTML
* 2.5 UNIQUE_WORDS BODY: Message body has many words used only once Это ^^ решаемо. Хотя и врядли какой-нить aalib в этом поможет
На самом деле вопрос сводится к тому, что не так много народу имеют всякие фильтры - поэтому думаю, что это скорее желание привлечь внимание получателей чем-то оригинальным. -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (12)
-
Alexander Trotsai -
Alexander Yeremenko -
Alexandre Snarskii -
Igor Karpov -
Igor Vorontsov -
Lyubomyr Ferents -
Oleg V. Nauman -
Paul Arakelyan -
Sergey Babitch -
Victor Sudakov -
Vlad Zabolotny -
Volodymyr Yakovenko