LINUX.ORG.RU
ФорумAdmin

На время выгрузки в базу через IPSec mysql все порты filtered...

 ,


0

3

Выгрузка с основной базы (1с mSQL) на веб сайт пробовали на тестовом - все ок. На прод сервере на время выгрузки сканирую nmap-ом с 1с сервера все порты сервера mysql filtered. iptables вырубил - ситуация аналогичная, с вкл iptables попробовал логировать все дропы. Порты переходять в режым filtered только когда запускается импорт. Я в замешательстве...

Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x00 PREC=0x00 TTL=36 ID=64893 PROTO=TCP SPT=34897 DPT=3306 WINDOW=1024 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.761067+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30936 DF PROTO=TCP SPT=34897 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30936 DF PROTO=TCP SPT=34897 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:16:22.761430+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x00 PREC=0xC0 TTL=7 ID=10294 PROTO=TCP SPT=50850 DPT=3306 WINDOW=4564 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.761534+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x02 PREC=0x40 TTL=8 ID=44181 PROTO=TCP SPT=50851 DPT=3306 WINDOW=53185 RES=0x00 SYN URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x00 PREC=0xC0 TTL=7 ID=10294 PROTO=TCP SPT=50850 DPT=3306 WINDOW=4564 RES=0x00 SYN URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x02 PREC=0x40 TTL=8 ID=44181 PROTO=TCP SPT=50851 DPT=3306 WINDOW=53185 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.762120+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x1E PREC=0x40 TTL=6 ID=57963 PROTO=TCP SPT=50849 DPT=3306 WINDOW=22376 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.762159+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x0E PREC=0xA0 TTL=3 ID=21442 PROTO=TCP SPT=50854 DPT=3306 WINDOW=17637 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.762181+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x1C PREC=0xA0 TTL=4 ID=30724 PROTO=TCP SPT=50855 DPT=3306 WINDOW=27639 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.762208+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x08 PREC=0xE0 TTL=5 ID=12490 PROTO=TCP SPT=50848 DPT=3306 WINDOW=33237 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.762316+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x18 PREC=0x00 TTL=2 ID=5935 PROTO=TCP SPT=50853 DPT=3306 WINDOW=37459 RES=0x00 SYN URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x1E PREC=0x40 TTL=6 ID=57963 PROTO=TCP SPT=50849 DPT=3306 WINDOW=22376 RES=0x00 SYN URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x0E PREC=0xA0 TTL=3 ID=21442 PROTO=TCP SPT=50854 DPT=3306 WINDOW=17637 RES=0x00 SYN URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x1C PREC=0xA0 TTL=4 ID=30724 PROTO=TCP SPT=50855 DPT=3306 WINDOW=27639 RES=0x00 SYN URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x08 PREC=0xE0 TTL=5 ID=12490 PROTO=TCP SPT=50848 DPT=3306 WINDOW=33237 RES=0x00 SYN URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x18 PREC=0x00 TTL=2 ID=5935 PROTO=TCP SPT=50853 DPT=3306 WINDOW=37459 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.762355+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x18 PREC=0x60 TTL=1 ID=21492 PROTO=TCP SPT=50852 DPT=3306 WINDOW=6852 RES=0x00 SYN URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x18 PREC=0x60 TTL=1 ID=21492 PROTO=TCP SPT=50852 DPT=3306 WINDOW=6852 RES=0x00 SYN URGP=0
2016-12-10T19:16:22.764110+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30938 DF PROTO=TCP SPT=50851 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:16:22.764161+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30937 DF PROTO=TCP SPT=50850 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30938 DF PROTO=TCP SPT=50851 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30937 DF PROTO=TCP SPT=50850 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:16:22.764230+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30939 DF PROTO=TCP SPT=50848 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30939 DF PROTO=TCP SPT=50848 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:16:22.764712+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30940 DF PROTO=TCP SPT=50855 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:16:22.764821+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30941 DF PROTO=TCP SPT=50849 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:16:22.764910+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30943 DF PROTO=TCP SPT=50853 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:16:22.764951+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30942 DF PROTO=TCP SPT=50854 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30940 DF PROTO=TCP SPT=50855 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30941 DF PROTO=TCP SPT=50849 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30943 DF PROTO=TCP SPT=50853 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30942 DF PROTO=TCP SPT=50854 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:16:22.765225+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30944 DF PROTO=TCP SPT=50852 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
Dec 10 19:16:22 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=40 TOS=0x00 PREC=0x00 TTL=126 ID=30944 DF PROTO=TCP SPT=50852 DPT=3306 WINDOW=0 RES=0x00 RST URGP=0
2016-12-10T19:21:35.133060+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=1446 TOS=0x00 PREC=0x00 TTL=126 ID=7924 DF PROTO=TCP SPT=32055 DPT=20 WINDOW=65518 RES=0x00 ACK URGP=0
2016-12-10T19:21:52.457346+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x00 PREC=0x00 TTL=53 ID=43852 PROTO=TCP SPT=43860 DPT=3306 WINDOW=1024 RES=0x00 SYN URGP=0
Dec 10 19:21:52 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:1d:d8:b7:1f:f1:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x00 PREC=0x00 TTL=53 ID=43852 PROTO=TCP SPT=43860 DPT=3306 WINDOW=1024 RES=0x00 SYN URGP=0
2016-12-10T19:21:52.557721+02:00 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:25:b5:00:06:0c:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x00 PREC=0x00 TTL=52 ID=49525 PROTO=TCP SPT=43861 DPT=3306 WINDOW=1024 RES=0x00 SYN URGP=0
Dec 10 19:21:52 vm-eldo2 kernel: INPUT:DROP:IN=eth1 OUT= MAC=00:1d:d8:b7:1f:ef:00:25:b5:00:06:0c:08:00 SRC=10.4.1.29 DST=172.16.2.32 LEN=44 TOS=0x00 PREC=0x00 TTL=52 ID=49525 PROTO=TCP SPT=43861 DPT=3306 WINDOW=1024 RES=0x00 SYN URGP=0

1. Так выгрузка работает или нет?
2. Навскидку всякие fail2ban на ум приходят.
3. Посмотрите по tcpdump

anc ★★★★★ ()
Ответ на: комментарий от anc

1. он работает через раз: иногда несколько проходит ок, а потом несколько отбивает... 2. fail2ban есть, но там jail настроен только на ssh... Заглючил? 3. Юзать так: tcpdump -i eth1 -n -nn -ttt 'host 10.4.1.29 and port 3306'? И что можно понять с TCPDUMP-a?

demjanok ()
Ответ на: комментарий от anc

Просмотрел лог за целый день работы. Выгрузка полностью прошла только сразу 2 раза утром в 7:00 и 7:15 и потом еще раз в 14:45. Все остальные выгрузки проходили с ошибками в таком режиме: 1. При начале работы задания выгрузки проверяется и создается коннект с mySQL для основного потока, в котором отрабатывает «stored procedura». – Во всех сегодняшних неудачных выгрузках эта проверка проходил. 2. Если п.1 удачен, то запускается 9 потоков сбора и выгрузки остатков. – Во всех сегодняшних выгрузках этот пункт пройден. 3. В каждом из потоков получаются остатки с каждого куста. – Во всех сегодняшних выгрузках этот пункт пройден. 4. Еще раз проверяется и создается коннект к mySQL перед началом выгрузки остатков. – Во всех сегодняшних выгрузках в этом пункте происходила ошибка. 5. Если п 4. удачен, то производится выгрузка остатков во временную таблицу на сайте коннект и поток стартовавший в п.2 завершается. – До этого сегодня не доходило. 6. В основном потоке, с помощью коннекта открытого в п.1, запускается «stored procedura» переноса остатков из временой таблицы в постоянную. – До этого сегодня не доходило. 7. Коннект открытый в п.1 завершается. Кто может подсказать, а нет ли ограничений на mySQL по количеству одновременных сессий с одного IP?

demjanok ()
Ответ на: комментарий от demjanok

1. www.linux.org.ru/help/lorcode.md - читать тяжело
2. т.к. fail2ban есть - не исключаю проблемы с его стороны. Проверьте при отключенном, если вам не нужно «кучи» конектов с разных ip по ssh (вы ведь только про него написали) то можно временно прописать доступ только для «себя»(своего ip).
3. Не исключены глюки сети, но сначала я бы проверил п.2

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от demjanok

fail2ban есть, но там jail настроен только на ssh... Заглючил?

Что вам мешает посмотреть в логи fail2ban, где он ясно пишет банит ли он кого-то или нет?

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Вот что «наловил» tcpdump-om:

00:01:43.045406 IP 10.4.1.29.39198 > 172.16.2.32.3306: Flags [S], seq 3367357736, win 8192, options [mss 1360,nop,wscale 8,nop,nop,sackOK], length 0
00:00:02.998758 IP 10.4.1.29.39198 > 172.16.2.32.3306: Flags [S], seq 3367357736, win 8192, options [mss 1360,nop,wscale 8,nop,nop,sackOK], length 0
00:00:06.000275 IP 10.4.1.29.39198 > 172.16.2.32.3306: Flags [S], seq 3367357736, win 8192, options [mss 1360,nop,nop,sackOK], length 0
00:00:15.409279 IP 10.4.1.29.39227 > 172.16.2.32.3306: Flags [S], seq 2617049907, win 8192, options [mss 1360,nop,wscale 8,nop,nop,sackOK], length 0
00:00:03.002566 IP 10.4.1.29.39227 > 172.16.2.32.3306: Flags [S], seq 2617049907, win 8192, options [mss 1360,nop,wscale 8,nop,nop,sackOK], length 0
00:00:05.994619 IP 10.4.1.29.39227 > 172.16.2.32.3306: Flags [S], seq 2617049907, win 8192, options [mss 1360,nop,nop,sackOK], length 0

demjanok ()
Ответ на: комментарий от demjanok

И все-таки давайте посмотрим iptables-save в момент когда не работает.

anc ★★★★★ ()
Ответ на: комментарий от anc

Мысли в слух. Еще раз перечитал сообщение, вы же проверяете с одного и того же клиента, может проблемный участок на клиенте а не на сервере? Попробуйте с другого места соединиться.

anc ★★★★★ ()

Попробуйте с отключенным rp_filter.

trancefer ★★ ()
Ответ на: комментарий от anc

Тут скорее борода с неработающим PMTUD при использовании туннеля. А не работает он из-за того, что в определенных ситуациях ICMP сообщения об уменьшении MTU может резать rp_filter.

trancefer ★★ ()
Ответ на: комментарий от trancefer

Врядли, по топику работать перестает только при нагрузке. Но это тоже может иметь место быть.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.