LINUX.ORG.RU
ФорумAdmin

нужен совет спеца по TCP\IP!


0

0

есть линуксовый сервер, на который служит роутером. eth0 (х.х.х.х) смотрит в инет eth1 смотрит в локалку, на нем висят ip 192.168.1.1 и 192.168.0.1

юзеры из сетки 192.168.1.0 ходят в инет через NAT. из сетки 192.168.0.0 ходят через squid. Проблемы в том, что те юзеры которые ходят в инет через сквид не могут видеть некоторые сайты, например www.intel.com, www.aport.ru ... в то время как люди ходящие напрямую (т.е через NAT) таких проблем не имеют! и дело тут не в сквиде. захожу с консоли на сервере и пытаюсь зайти на эти сайты телнетом на 80-й порт, то получаю отказ - либо сервер отказал в коннекте, либо соединение не удается установить. для тех серверов все мои клиенты выглядят одинаково и имеют один и тотже ip, что и сам сервер. но почему через нат я эти сервера могу видеть, а с самого сервака нет - это не понятно. может грабли в настройках iptables, но почему тогда такая избирательность?

буду рад вашей помощи. (лучше мылом на max@ch.ru)

anonymous

Re: нужен совет спеца по TCP\IP!

Что пишет сквид в браузере?
Что пишет сквид в логах?

anonymous ()

Re: нужен совет спеца по TCP\IP!

сквид пишет (допустим иду на www.intel.com) Connection Failed The system returned: (111) Connection refused

но я же сказал, что дело тут не в сквиде. сам сервак не может законнектиться к этим "плохим" хостам, в то время как локальные юзеры через нат делают это на ура.

anonymous ()

Re: нужен совет спеца по TCP\IP!

как я уже писал дело оказалось вовсе не сквиде. я сделал echo 0 > /proc/sys/net/ipv4/tcp_ecn и все заработало!

кому интересно, то:

TCP Explicit Congestion Notification support CONFIG_INET_ECN Explicit Congestion Notification (ECN) allows routers to notify clients about network congestion, resulting in fewer dropped packets and increased network performance. This option adds ECN support to the Linux kernel, as well as a sysctl (/proc/sys/net/ipv4/tcp_ecn) which allows ECN support to be disabled at runtime.

Note that, on the Internet, there are many broken firewalls which refuse connections from ECN-enabled machines, and it may be a while before these firewalls are fixed. Until then, to access a site behind such a firewall (some of which are major sites, at the time of this writing) you will have to disable this option, either by saying N now or by using the sysctl.

в общем, победа оказалась за нами :-)))

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.