Citat:
To možeš da uradiš tako što povežeš hub uspred rutera pa sa nekim traffic analajzerom (tcpdump, ethereal, snifferpro, etherpeak,...) hvataš saobraćaj,
Ovo rešenje sam i primenio za one dump-ope od pre.
Citat:
Mada je opet pitanje kako ćeš zaključiti koji je tačno paket ili set paketa prouzrokovao blokiranje.
Sa netflow-om sam razmišljao da možda vidim kakvi se paketi vracaju sa maticnog servera, tj. da neprave oni možda probleme, mada si u pravu da zakljucka iz toga nema, ali radim na tome da lokalizujem problem.
Pošto sam krenuo da lokalizujem problem stavio sam na ruter drina sledece pristupne liste, kao i pravila na eth0:
(Stavio sam još jednu šemu, sa pravim imenima, da nema zabune ako neko gleda priložene datoteke dosada)
Code:
access-list 188 deny tcp host 192.168.10.30 host 87.244.192.157 eq www log
access-list 188 deny tcp host 87.244.192.157 host 192.168.10.30 eq www log
access-list 188 permit ip any any
Code:
interface Ethernet0
ip address 192.168.10.6 255.255.255.0
ip access-group 188 in
ip access-group 188 out
Posle ovoga link prema internetu više nepada (1/0:6). Od saobracaja Linux mašina koristi još samo DNS upite i NTP sinhronizaciju i to radi periodicno. Pokušava i da ostvari konekciju sa maticnim serverom, ali nemože da prodje kroz ruter drina i to se vidi preko konzole:
Code:
May 31 07:29:21.369: %SEC-6-IPACCESSLOGP: list 188 denied tcp 192.168.10.30(4772) -> 87.244.192.157(80), 1 packet
May 31 07:34:21.427: %SEC-6-IPACCESSLOGP: list 188 denied tcp 192.168.10.30(3265) -> 87.244.192.157(80), 1 packet
May 31 07:39:21.477: %SEC-6-IPACCESSLOGP: list 188 denied tcp 192.168.10.30(1483) -> 87.244.192.157(80), 1 packet
May 31 07:44:21.531: %SEC-6-IPACCESSLOGP: list 188 denied tcp 192.168.10.30(4177) -> 87.244.192.157(80), 1 packet
Tako da sada stvarno ispada da samo ove TCP konekcije ruše link.
Linux mašina koristi HTTP saobracaj da razmeni podatke. Ukoliko se pogledaju u Etherealu, vidi se da se koristi neka enkripcija. Sistem skroz zašticen, a kolege iz domace firme ciji je server samo imaju posreduju u poslu (franšiza firme iz Slovacke) nemaju pristu Linux mašinu.
Na ruteru dunav je IOS sa FW i IDS-om, bilo je indikacija da zbog kompleksnosti konfiguracije (raznih podignutih servisa) i specificnog saobracaja IDS obori link zbog zastite, ali koliko ja znam IDS samo treba da resetuje odredjenu TCP konekciju, a ne da iskljuci citav link (ispravite me ako gresim).
Citat:
Takođe bih probao sa drugom verzijom IOS-a, ukoliko ti je neka dostupna, još bolje ako je sasvim drugi release.
Tražio sam od našeg distributera za Cisco da pogleda ako ima neka novija verzija, ipak je ova iz 02-Nov-04.
[Ovu poruku je menjao dmax dana 31.05.2006. u 08:20 GMT+1]
[Ovu poruku je menjao dmax dana 31.05.2006. u 09:54 GMT+1]