Poruchy a výpadky linek do inetu

Pravidla pro využívání provozu do internetu

Příspěvekod lyon667 » 28 pro 2006 (čtv), 23:42

Pripada mi, ze na brane chybi ftp conntrack. Jako modul to tam neni a ftp firewallem neprojde. Nejsem si jist, zda to ma nebo nema zafungovat pro tomto rucnim omezeni.
Uživatelský avatar
lyon667
Emeritní správce
Emeritní správce
 
Příspěvky: 4507
Registrován: 10 pro 2003 (stř), 11:15
Bydliště: Somewhere out in space

Příspěvekod ondrag » 29 pro 2006 (pát), 0:03

lyon667 píše:Pripada mi, ze na brane chybi ftp conntrack. Jako modul to tam neni a ftp firewallem neprojde. Nejsem si jist, zda to ma nebo nema zafungovat pro tomto rucnim omezeni.


Kód: Vybrat vše
igw-hus-new ~ # grep -i ftp /boot/config
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_TFTP=y
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_NAT_TFTP=y


chybělo spíše vazební pravidlo - doplněno:
Kód: Vybrat vše
iptables -A povol-porty -m state --state ESTABLISHED,RELATED -j ACCEPT
Uživatelský avatar
ondrag
Člen rady a skupiny správců
Člen rady a skupiny správců
 
Příspěvky: 8198
Registrován: 07 dub 2004 (stř), 23:36

Příspěvekod Santa-Claus » 29 pro 2006 (pát), 0:07

Se mi zda nebo nekdo zariznul UDP provoz ve vnitrni siti? Neda se dostat na herni servery, nerozjel jsem ani TS proti gamezone. Na TCP funguji vsechny porty. Nicmene, pokud to nekdo krouhnul, nechapu jak tam muze hrat tech sedm lidi. Muze mi nekdo podat vysvetleni?
Uživatelský avatar
Santa-Claus
Člen skupiny správců sítě
Člen skupiny správců sítě
 
Příspěvky: 1399
Registrován: 10 pro 2003 (stř), 11:15
Bydliště: Na Vyhlídce

Příspěvekod david » 29 pro 2006 (pát), 21:23

Zaznamenal jsem zajímavýprobém.

Webové stránky fungujou bez problému. Ping na nix.cz mi taky jede. Ale traceroute vypada takhle:
Kód: Vybrat vše
traceroute to nix.cz (195.47.235.3), 30 hops max, 40 byte packets
1  my.router (192.168.100.1)  0.394 ms  0.719 ms  0.850 ms
2  10.133.27.129 (10.133.27.129)  5.931 ms  7.873 ms  9.228 ms
3  10.133.27.62 (10.133.27.62)  14.922 ms  24.157 ms  24.781 ms
4  10.133.49.62 (10.133.49.62)  28.063 ms  33.533 ms  34.841 ms
5  10.133.54.45 (10.133.54.45)  36.224 ms  36.735 ms  38.323 ms
6  10.133.51.245 (10.133.51.245)  39.246 ms  40.836 ms  41.333 ms
7  igw.husak.pvfree.net (10.133.25.3)  41.900 ms  39.343 ms  40.112 ms
8  * * *
9  * * *
10  * * *
11  * * *
12  * * *
13  * * *   
Uživatelský avatar
david
Aktivně činný freeneťák
Aktivně činný freeneťák
 
Příspěvky: 1257
Registrován: 10 pro 2003 (stř), 11:15

Příspěvekod lyon667 » 29 pro 2006 (pát), 21:55

Traceroute pouziva TCP pakety misto ICMP, takze neprojdou.
Uživatelský avatar
lyon667
Emeritní správce
Emeritní správce
 
Příspěvky: 4507
Registrován: 10 pro 2003 (stř), 11:15
Bydliště: Somewhere out in space

Příspěvekod david » 29 pro 2006 (pát), 23:02

A nejede Skype.
Pouziva UDP na portech 32859, pripadne 80 nebo 443.
Uživatelský avatar
david
Aktivně činný freeneťák
Aktivně činný freeneťák
 
Příspěvky: 1257
Registrován: 10 pro 2003 (stř), 11:15

Příspěvekod catman » 29 pro 2006 (pát), 23:04

zkus
Uživatelský avatar
catman
Správce sítě PVfree.net
Správce sítě PVfree.net
 
Příspěvky: 12193
Registrován: 10 dub 2004 (sob), 21:21
Bydliště: Špály 2

Příspěvekod lyon667 » 30 pro 2006 (sob), 11:27

Ono je to napojene na vnitrni routery? Blokovani portu na brane by na vnitrni provoz samozrejme nemelo mit vliv.
Uživatelský avatar
lyon667
Emeritní správce
Emeritní správce
 
Příspěvky: 4507
Registrován: 10 pro 2003 (stř), 11:15
Bydliště: Somewhere out in space

SID

Příspěvekod ondrag » 30 pro 2006 (sob), 11:32

Přidal jsem povolení pro SIP (VoIP - tj. inet telefony)

tcp/5060, udp/5060 a návazné udp
Uživatelský avatar
ondrag
Člen rady a skupiny správců
Člen rady a skupiny správců
 
Příspěvky: 8198
Registrován: 07 dub 2004 (stř), 23:36

Příspěvekod david » 03 led 2007 (stř), 10:12

Je možné preferovat v síti packety pro telefonování přes Skype?

Bohužel s portem Skype je to trochu složitější. Jak jsem zjistil, Skype nemá žádný preferovaný port a každá instance programu používá jiný, pokud se na něm dokáže spojit. Pokud ne, tak použije port 80 nebo 443.

Takže buď pro Skype vyhradíme některý port, a všichni si ho nastaví, pokud chcou lépe telefonovat nebo necháme Skype chodit přes porty webu. Pokud ale na PC běží webový server, tak může docházek ke konfliktům na portech, proto by bylo lepší vyhradit některý volný port a ten si pak všichni nastaví.
Uživatelský avatar
david
Aktivně činný freeneťák
Aktivně činný freeneťák
 
Příspěvky: 1257
Registrován: 10 pro 2003 (stř), 11:15

Příspěvekod ondrag » 03 led 2007 (stř), 10:25

david píše:Je možné preferovat v síti packety pro telefonování přes Skype?

Bohužel s portem Skype je to trochu složitější. Jak jsem zjistil, Skype nemá žádný preferovaný port a každá instance programu používá jiný, pokud se na něm dokáže spojit. Pokud ne, tak použije port 80 nebo 443.


To je jen řídící protokol (prioritizace zde nemá vliv). Vlastní data tečou přes "náhodný" port UDP...

takže:
david píše:Je možné preferovat v síti packety pro telefonování přes Skype?
... ne
Uživatelský avatar
ondrag
Člen rady a skupiny správců
Člen rady a skupiny správců
 
Příspěvky: 8198
Registrován: 07 dub 2004 (stř), 23:36

Příspěvekod Galileo » 03 led 2007 (stř), 21:41

Chtěl bych se zeptat, jestli není blokován port 34297. Pokud ano, tak prosím o povolení a i dalších (34299, 34307, 34308, 34317, 34337, 34367, 34387, 34447, 34457, 34458) nebo rozsahu 34000-34999.
Díky moc.
Uživatelský avatar
Galileo
Člen skupiny správců sítě
Člen skupiny správců sítě
 
Příspěvky: 1829
Registrován: 09 pro 2004 (čtv), 15:42
Bydliště: Prostějov

Příspěvekod ondrag » 03 led 2007 (stř), 22:31

Galileo píše:Chtěl bych se zeptat, jestli není blokován port 34297. Pokud ano, tak prosím o povolení a i dalších (34299, 34307, 34308, 34317, 34337, 34367, 34387, 34447, 34457, 34458) nebo rozsahu 34000-34999.
Díky moc.


aktuálně není blokován... Obě iGW běží bez omezení.

V Ohr bylo odpoledne omylem zaplé omezení po restartu firewallu...
Uživatelský avatar
ondrag
Člen rady a skupiny správců
Člen rady a skupiny správců
 
Příspěvky: 8198
Registrován: 07 dub 2004 (stř), 23:36

Příspěvekod Galileo » 03 led 2007 (stř), 23:27

ondrag píše:
Galileo píše:Chtěl bych se zeptat, jestli není blokován port 34297. Pokud ano, tak prosím o povolení a i dalších (34299, 34307, 34308, 34317, 34337, 34367, 34387, 34447, 34457, 34458) nebo rozsahu 34000-34999.
Díky moc.


aktuálně není blokován... Obě iGW běží bez omezení.

V Ohr bylo odpoledne omylem zaplé omezení po restartu firewallu...

Díky moc, jede to. :jumpy:
Uživatelský avatar
Galileo
Člen skupiny správců sítě
Člen skupiny správců sítě
 
Příspěvky: 1829
Registrován: 09 pro 2004 (čtv), 15:42
Bydliště: Prostějov

Příspěvekod catman » 04 led 2007 (čtv), 7:28

Galileo píše:Chtěl bych se zeptat, jestli není blokován port 34297. Pokud ano, tak prosím o povolení a i dalších (34299, 34307, 34308, 34317, 34337, 34367, 34387, 34447, 34457, 34458) nebo rozsahu 34000-34999.
Díky moc.


Pokud potřebuješ zadat vyjímku do iGW, je třeba to nějak odůvodnit, k čemu ty porty potřebuješ. V případě omezeného provozu to opět nepůjde
Uživatelský avatar
catman
Správce sítě PVfree.net
Správce sítě PVfree.net
 
Příspěvky: 12193
Registrován: 10 dub 2004 (sob), 21:21
Bydliště: Špály 2

PředchozíDalší

Zpět na Řízení provozu

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník

cron