Китай: фильтрация http?

0

1

Привет, хочу поделиться забавным случаем и заодно может кто сможет объяснить происходящее.

Заказали пару дней назад сервер в Китае, получили доступ, сижу настраиваю. Первым штукой удивившей меня был вывод dmesg, который радостно сообщил, что блютус найден, инициализирован и готов к работе. То есть это хостинг на ноутбуках что-ли? Ну да ладно, восточный менталитет мне не понять, иду дальше. Поставил apache, проверяю телнетом из соседней консоли, все ок, сервер отдал свою дефолтную страничку. Делаю то же самое из окна браузера — глухо. Как-то странно. Запускаю tcpdump, смотрю. При соединении телнетом все ок, сервер отвечает на запрос «GET /» своей дефолтной страничкой. Когда браузер коннектиться, соединение тоже устанавливается, дальше браузер посылает пакет с «GET /» с кучей инфы о себе и все. Больше ни одного пакета от сервера не приходит, браузер все шлет и шлет такие пакеты, но все без ответа. Ну думаю, что за ерунда, поставил nginx на другом порту — та же история. А вот если ssh туннель сделать до сервера, то через него все работает и апач и nginx.

Кто-нить может объяснить что происходит?) А то я немного в растерянности.

Ссылка

←	Сеть windows-linux

[routing][паранойа] нат только одного интерфейса

→

Прокси в браузере?

~~linuxfan~~ ★
(13.08.10 17:22:50 MSD)

Ответ на: комментарий от linuxfan 13.08.10 17:22:50 MSD

да нет, попросил проверить нескольких людей — то же самое. Да и, как я понимаю, был бы прокси запросы бы не шли напрямую на этот ип (tcpdump)

sc2
(13.08.10 17:30:10 MSD) автор топика

Ссылка

TGCF в действии!

anonymous
(13.08.10 17:44:07 MSD)

Ссылка

Может, это, сразу в техподдержку:

当浏览器连接，连接也是建立在浏览器上发送一个数据包“的GET /”同一个磁盘影像和对自己和一切一群。多从单一的服务器数据包不来，浏览器发送和发送这些数据包，但仍然没有反应。嗯，我觉得胡说，放在另一个端口nginx的 - 同样的故事。如果你到服务器的SSH隧道，通过它的所有工程和Apache和nginx的然后。

anton_jugatsu ★★★★
(13.08.10 17:45:19 MSD)

Ссылка

А если веб-сервер на другой порт повесить?

edigaryev ★★★★★
(13.08.10 17:56:50 MSD)

Ссылка

Китайский фаервол?

Еще проверь, на какой айпишник апач биндится.

anonymous
(13.08.10 18:01:19 MSD)

Ссылка

На разных портах пробовал, везде так как написал выше.

sc2
(13.08.10 18:09:44 MSD) автор топика

Ссылка

ss -l4, nmap <ip server> -p 80

anton_jugatsu ★★★★
(13.08.10 18:17:28 MSD)

т.е. соединение таки устанавливается, но дальше замирает? Проблемы с mtu? ^)

true_admin ★★★★★
(13.08.10 19:01:45 MSD)

Ответ на: комментарий от true_admin 13.08.10 19:01:45 MSD

>т.е. соединение таки устанавливается, но дальше замирает? Проблемы с mtu? ^)

Необязательно. Мне в свое время приходилось наблюдать аналогичную картину при использовании HTTP-фильтра для l7-filter. Соединение устанавливается, клиент передает данные, а сервер молчит. Потому что l7-filter втихую дропает пакеты (чего вообще-то делать не должен, в качестве действия стояла маркировка, и других правил в iptables не было). Как хорошо, что это УГ в мейнстрим не включили.

anonymous
(13.08.10 19:14:41 MSD)

Ответ на: комментарий от anonymous 13.08.10 19:14:41 MSD

Вот дамп пакетов, что от меня уходят, установка соединения проходит, дальше идет браузеровый гет 390 байт:

19:12:08.685827 IP 192.168.10.102.57020 > 1.2.3.4.8042: tcp 0
19:12:08.935161 IP 58.221.42.24.8042 > 192.168.10.102.57020: tcp 0
19:12:08.935257 IP 192.168.10.102.57020 > 1.2.3.4.8042: tcp 0
19:12:08.935826 IP 192.168.10.102.57020 > 1.2.3.4.8042: tcp 390
19:12:09.846953 IP 192.168.10.102.57020 > 1.2.3.4.8042: tcp 390
19:12:11.849634 IP 192.168.10.102.57020 > 1.2.3.4.8042: tcp 390
19:12:15.854868 IP 192.168.10.102.57020 > 1.2.3.4.8042: tcp 390
19:12:23.864339 IP 192.168.10.102.57020 > 1.2.3.4.8042: tcp 390

а вот что сервер получает:

19:11:26.144731 IP ip-95-221-101-180.bb.netbynet.ru.57020 > debian.8042: tcp 0
19:11:26.144748 IP debian.8042 > ip-95-221-101-180.bb.netbynet.ru.57020: tcp 0
19:11:26.390583 IP ip-95-221-101-180.bb.netbynet.ru.57020 > debian.8042: tcp 0
19:11:26.391459 IP ip-95-221-101-180.bb.netbynet.ru.57020 > debian.8042: tcp 0

и дальше молчит. А если сессия через телнет, то все нормально, но там размер запроса — 7 байт.

sc2
(13.08.10 19:19:43 MSD) автор топика

Ответ на: комментарий от sc2 13.08.10 19:19:43 MSD

пошли через телнет большой запрос как браузер и посмотри что будет.

true_admin ★★★★★
(13.08.10 19:21:45 MSD)

Ссылка

Ответ на: комментарий от anonymous 13.08.10 19:14:41 MSD

>Как хорошо, что это УГ в мейнстрим не включили.
И чем предлагаешь пользоваться ?
ipp2p сдох и больше не развивается ...

Myp3ik ★★
(13.08.10 21:06:21 MSD)

Ответ на: комментарий от Myp3ik 13.08.10 21:06:21 MSD

ipp2p сдох и больше не развивается ...

Почему? Шевелится потихоньку. Это patch-o-matic(-ng) сдох.

nnz ★★★★
(13.08.10 22:56:11 MSD)

Ссылка

Можно попробовать на сервере сделать поменьше MTU для интерфейса, например байт 1400. Или пингом поискать предел пакетов, которые проходят назад. Возможно, где-то у хостера тунели или ещё что

mikki
(14.08.10 14:40:37 MSD)