Freesco, NND, CDN, EOS

Witam
Zmagam się z problemem zwanym windows vista.. .
Komputerowi z vista opornie idzie łączenie się z internetem. Tzn. długo
trzeba czekać na nawiązanie połączenia a po nawiązaniu znienacka rozłącza
połączenie.Bramę/serwera można ping'ować ale dalej wyjścia już nie ma.
Zauważyłem że vista lubi porty wysokie i tu szuka przyczyny problemu.

Komputer z vista to adres 192.168.1.120.

Przykład połączeń poniżej:

tcp 192.168.1.120:49372 213.155.158.57:80 ESTABLISHED
tcp 192.168.1.120:49380 212.244.48.52:80 ESTABLISHED
tcp 192.168.1.120:49384 194.237.107.154:80 TIME_WAIT
tcp 192.168.1.120:49366 64.4.52.189:80 TIME_WAIT
tcp 192.168.1.120:49382 213.180.130.202:80 ESTABLISHED
tcp 192.168.1.120:49388 63.88.212.184:80 TIME_WAIT
tcp 192.168.1.120:49373 213.155.158.57:80 ESTABLISHED
tcp 192.168.1.120:49386 213.180.130.200:80 ESTABLISHED
tcp 192.168.1.120:49375 213.180.130.202:80 ESTABLISHED
tcp 192.168.1.120:49379 213.180.131.181:80 TIME_WAIT
tcp 192.168.1.120:49385 213.180.130.202:80 ESTABLISHED
tcp 192.168.1.120:49371 193.219.28.104:80 ESTABLISHED
tcp 192.168.1.16:1246 209.222.148.136:80 ESTABLISHED
tcp 192.168.1.16:1244 66.249.93.99:80 ESTABLISHED
tcp 192.168.1.16:1237 217.17.45.146:443 ESTABLISHED
tcp 192.168.1.18:3978 38.114.196.118:80 ESTABLISHED
tcp 192.168.1.18:3308 85.195.115.131:80 ESTABLISHED
tcp 192.168.1.18:3514 201.213.14.122:34610 ESTABLISHED

Proszę o pomoc, sugestie w rozwiązaniu problemu.
Dziękuję.pozdrawiam

Błędnie diagnozujesz problem. Połączenia są prawidłowe. Komputer kliencki używa wysokich portów, ale łączy się ze zdalnymi serwerami na port 80. Ewentualnie sprawdź, czy czasem nie zablokowałeś wysokich portów albo w ogóle tego numeru IP.
Oczywiście należy też sprawdzić komputer kliencki - ustawienia zapory, serwery dns (ipconfig /all).

_________________
Belfer.one.PL
Audio Cafe

Tylko komputery z windows vista tak dziwnie łączą się . Zaporę w Windows vista wyłączyłem. DNS różny sprawdzałem tzn TP i mój na serwerze – maraDNS. Pingi puszczałem bezpośrednio na IP nie na nazwę hosta.

A ty dalej swoje. Z tym, że ja jestem nieuleczalnym ateistą i w cuda nie wierzę.
Jeśli chcesz rozwiązać problem, to zacznij myśleć sensownie i podawać istotne a nie wymyślone szczegóły.
1. W jaki sposób komputery klienckie są podłączone, dhcp? a może ustawienia w kliencie na sztywno?
2. Czy nie ma blokady na serwerze? Sprawdź to na pewno.
3. Jeśli jest komunikacja pomiędzy vistą a serwerem, a także innymi klientami, to znów wróć do ustawień ipatables, może używałeś opcji save (masz plik iptables.rules w /etc/iptables).

_________________
Belfer.one.PL
Audio Cafe

Do tego co mówi Maciek, zmuszony jestem prosić Cię, abyś przestał wierzyć taniej prasie komputerowej w której powstał mit, że Vista jest odpowiedzialna za całe zło tego świata a linux to jedyny słuszny system operacyjny. Dziękuje.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań

Myślę że dość jasno napisałem jak dla doświadczonych administratorów .

Odpowiedzi i krytykę z palca nie wysysam jak to mają za zasadę niektórzy użytkownicy forum .
Nie wypowiadam się przed sprawdzeniem problemu.

Proszę o sprawdzenie u Was w sieci czy komputery z windows vista łączą się tak jak przedstawiłem rozpoczynając wątek.
Komputerów z vistą mam w sieci kilka i przedstawiony przykład jest do powtórzenia.

Wystaw nam na jakimś www wynik poleceń:

iptables -L -nv
iptables -t nat -L -nv
iptables -t mangle -L -nv

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Wynik polecenia umieściłem w 3 osobnych pliczkach:

http://www.panorama-morska.pl/Rafal

Jak widzę, ograniczasz ilość połączeń (jak sądzę całkowicie niepotrzebnie) być może w tym leży przyczyna.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Powtarzam ci, że niczego jasno nie napisałeś. Poniżej masz dowód z polecenia netstat-nat, że każdy komputer tak właśnie się łączy:

Podałem ci przykłady z dwóch komputerów windows xp, a nie vista. A tak wygląda to na przykładzie komputera z linuksem:

Oczywiście wszystkie komputery mają połączenie z netem i rozpoczynanie na wysokim porcie nie blokuje niczego. Tak więc musiałem ci na przykładach udowodnić, że twoja początkowa diagnoza jest z gruntu fałszywa.
Nie mam cierpliwości, aby analizować pliki jakie wystawiłeś, pozostawię to zciechowi, on jest zdecydowanie lepszy w te klocki, ale powiem, że widzę w nich potencjalne źródło problemów. Po pierwsze - masz widać kilka kart sieciowych, po drugie - widziałem różne maski (/16 /24), po trzecie chyba masz dwie bramy...
Generalnie mocno skomplikowane te regułki iptables, do tego z imq, więc na pewno w nich jest problem...

_________________
Belfer.one.PL
Audio Cafe

Dla mnie nie jest to żadne obalenie rzekomego mojego dowodu fałszywego zwłaszcza że informowałem o spostrzeżeniach.

Dla mnie istotne w tej chwili są połączenia visty które na moim serwerze można powiedzieć są charakterystyczne. Jestem ciekawy jak wygląda to na innych serwerach nnd.

Mam kilka komputerów w sieci z vistą więc specyficzność połączeń widać.

Mam 4 łącza, imq i niceshaper trzyma pasma ludków itp.

ziolko ostatnio mialem nieprzjemnosc podlaczac ze trzy laptopy z ustrojstwem zwanym Vista, nie wiem czy w tym moze lezec przyczyna, ale "badziewie Vista" pamieta wszystkie próby utworzenia polaczenia,nawet te nie udane, i podczas proby polaczenia przeszukuje wszystkie te ustawiena, do momentu znalezienia wyjscia na swiat, a co do rozlaczania, to jest normalne po braku aktywnosci kompa jest odcinany od swiata!! a co do portow, to Maciek ci juz to cierpliwie wyjasnił. to tyle z moich bliskich spotkan z Vista, aczkolwiek jaja jeszcze wieksze mialem próbujac polaczyc sie radiowo!! ale to inna bajka.NIE CIERPIE VISTY!!

rikardo7To co piszesz jest w sumie prawdą, choć nie ma to specjalnie większego znaczenia dla aktualnego połączenia, po prostu w razie rekonfiguracji visty, trzeba w okienkowych ustawieniach zaawansowanych usunąć wszelkie wpisane tam stare bramy, alternatywne IP i tak dalej... czasem nawet należy to powtórzyć. Z tym, że kwestia ustawień visty to już OT.
ziolkoW ciągu ostatnich paru tygodni miałem okazję podłączyć do netu około 100 komputerów z systemem vista. Część z nich podłączana była przez inny komputer z windowsem (sbs), ale większość podłączana była przez routery sprzętowe i linuksowe, w tym także komputery z nnd. Nie spotkałem się ani razu z faktem, że vista się nie chciała podłączyć do netu, jeśli konfiguracja routera/serwera była w porządku. Podałem ci dowody na to, że każdy komputer wypuszcza połączenia na wysokich portach, powiedziałem, że w przytoczonych przez ciebie połączeniach nie ma absolutnie nic nadzwyczajnego. Przyczyna jest po stronie serwera, a dokładniej iptables. Ale ty przecież wiesz lepiej, więc dla mnie to już jest koniec dyskusji. Jeśli zamierzasz dalej dyskutować o viście i wysokich portach, zacznij nowy wątek na Hyde Parku lub w Networking, tu dyskutujemy o NND.

_________________
Belfer.one.PL
Audio Cafe

Maciek Nie pisałem że wiem lepiej tylko prosiłem o sprawdzenie jakie połączenia są przy wiadomo jakim systemie. W zamian otrzymałem informację o połączeniach z innych systemów i wywody teoretyczne za które dziękuję bo przydatne będą .

Połączenia sprawdzę przy okazji na innym serwerze.

Przyczyny nieprawidłowego działania internetu nie są mi jeszcze znane.

Lista połączeń na innym serwerze:

tcp 192.168.0.134:49443 212.77.100.127:80 TIME_WAIT
tcp 192.168.0.134:49414 212.77.101.100:80 TIME_WAIT
tcp 192.168.0.134:49446 212.77.100.127:80 TIME_WAIT
tcp 192.168.0.134:49436 212.77.101.100:80 TIME_WAIT
tcp 192.168.0.134:49435 212.77.101.100:80 TIME_WAIT
tcp 192.168.0.134:49434 212.77.100.82:80 TIME_WAIT
tcp 192.168.0.134:49429 212.77.100.82:80 TIME_WAIT
tcp 192.168.0.134:49416 212.77.100.128:80 TIME_WAIT
tcp 192.168.0.134:49421 212.77.100.127:80 TIME_WAIT
tcp 192.168.0.134:49445 212.77.100.127:80 ESTABLISHED
tcp 192.168.0.134:49430 212.77.100.123:80 TIME_WAIT
tcp 192.168.0.134:49423 212.77.101.100:80 TIME_WAIT
tcp 192.168.0.134:49426 212.77.100.127:80 TIME_WAIT
tcp 192.168.0.134:49441 212.77.100.233:80 ESTABLISHED
tcp 192.168.0.134:49424 212.77.100.127:80 TIME_WAIT
tcp 192.168.0.134:49418 212.77.100.127:80 TIME_WAIT
tcp 192.168.0.134:49412 212.77.100.101:80 TIME_WAIT
tcp 192.168.0.134:49440 212.77.100.233:80 ESTABLISHED
tcp 192.168.0.134:49422 212.77.100.127:80 TIME_WAIT
tcp 192.168.0.134:49433 212.77.100.123:80 TIME_WAIT
tcp 192.168.0.134:49419 212.77.100.101:80 TIME_WAIT
tcp 192.168.0.134:49425 194.9.24.70:80 TIME_WAIT
tcp 192.168.0.134:49439 195.95.144.14:80 TIME_WAIT
tcp 192.168.0.134:49444 212.77.100.82:80 CLOSE
tcp 192.168.0.134:49431 212.77.100.123:80 TIME_WAIT
tcp 192.168.0.134:49420 212.77.100.127:80 TIME_WAIT
tcp 192.168.0.134:49417 212.77.100.128:80 ESTABLISHED
tcp 192.168.0.134:49415 212.77.100.82:80 TIME_WAIT
tcp 192.168.0.134:49428 212.77.100.101:80 ESTABLISHED
tcp 192.168.0.134:49438 217.212.240.177:80 TIME_WAIT
tcp 192.168.0.134:49413 212.77.100.101:80 TIME_WAIT
tcp 192.168.0.134:49442 212.77.100.127:80 TIME_WAIT

Nie ma w tym nic dziwnego:!: Jak Ci pokazał Maciek Komputery z Linuxen również inicjuja połaczenia z wysokich portów.

Podczas maskowania adresu (NAT) serwer stara się nie zmieniać portu źródła
(czasem musi zmienić gdyż takowy może być już zajęty przez inne połączenie).

Jesli myslisz, że wina lezy w twoim serwerze,
1. wyłacz wszystkie wynalazki w firewalu (zastosuj standardowy firewal lub po prostu dwie reguły:

iptables -I INPUT -j ACCEPT
iptables -I FORWARD -j ACCEPT


Być może problem leży u twojego dostawcy internetu.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Zadziałało iptables -I FORWARD -j ACCEPT
Dodałem jeszcze LOG - wynik na końcu.
Wyszło że w jakiejś sytuacji zamienia się interfejs. W sieci mam eth1 wewnętrzny a eth0, eth2, eth3, eth4 do internetu.
Mam load balancing zrobiony ale nie wiem dlaczego problem w windows vista wyszedł.

LOG z FORWARD all po wszystkich regułkach czyli na końcu.

Jan 19 01:04:26 server3800 kernel: IN=eth0 OUT=eth3 SRC=192.168.1.8 DST=212.77.100.127 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=8236 DF PROTO=TCP SPT=49856 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 19 01:04:26 server3800 kernel: IN=eth0 OUT=eth3 SRC=192.168.1.8 DST=212.77.100.127 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=8248 DF PROTO=TCP SPT=49857 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 19 01:04:26 server3800 kernel: IN=eth0 OUT=eth0 SRC=192.168.1.8 DST=212.77.100.82 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=8253 DF PROTO=TCP SPT=49858 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0