Не уверен что traceroute поможет, т.к. у них там видимо по соображениям какой-то внутренней безопасности начиная со входа в банк все ping'и обламываются. Сдается мне что они там сами накосячили с маршрутизацией и поэтому ничего и не работает.
Цитата: От пользователя: Boris Dyakonov
C работы так рутом, а из дома так ак?
угу. Я сунулся на первый сервак, на котором у меня ключ есть.
ramm_sh, у тебя ГТ ?
Просто ГТ каждый раз при подключении выдает разные IP, но из одной и той же сети. И за последние 2 недели мне ни разу не удавалось попасть через канал ГТ на сайт б24 и в ИБанк. При этом через канал Конвекса все работает.
В качестве почти бредового предположения: может MTU покрутить?
Было несколько прецедентов, когда на оборудовании весь ICMP зарезан "ваще нафиг", включая "ICMP NEED FRAG". Последствия предсказуемы ;-)
Я крут (с)
А с Б24 - 100 грамм и пончик за техсаппорт ;-)
Но если серьезно, то трабл с МТУ очень часто стал встречаться. Наверное, некоторым провайдерам надо слегка поумерить
паранойю на тему icmp need frag...
воистину крут :-)
100 грам и пончик да приложатся.
Если Вы представитель б24, то может покажите этот топик своим господам сисадминам ? А то ведь это благодаря радиусу кривизны именно их рук грабли-то. ICMP весь все же не стоит
блокировать ;-)
А он именно в банке заблокирован или таки "где-то по дороге"?
с работы:
Исходник:
$ traceroute -v www.bank24.ru
traceroute to www.bank24.ru (212.220.24.240), 30 hops max, 40 byte packets
1 192.168.0.xxx (192.168.0.xxx) 48 bytes to 192.168.0.251 0.181 ms 0.218 ms 0.107 ms
2 217.24.xxx.xxx (217.24.xxx.xxx) 36 bytes to 192.168.0.251 0.374 ms 0.614 ms 0.808 ms
3 M0-vlan41.isnet.ru (217.24.176.215) 36 bytes to 192.168.0.251 1.603 ms 1.801 ms 1.259 ms
4 172.18.6.2 (172.18.6.2) 36 bytes to 192.168.0.251 1.770 ms 2.144 ms 1.990 ms
5 * * *
6 90.150.2.101 (90.150.2.101) 36 bytes to 192.168.0.251 2.577 ms 2.027 ms 2.901 ms
7 gw-a98.etel.ru (195.38.35.125) 36 bytes to 192.168.0.251 5.046 ms 6.490 ms 4.154 ms
8 * * *
9 * * *
из дома:
Исходник:
$ traceroute www.bank24.ru
traceroute to www.bank24.ru (212.220.24.240), 30 hops max, 40 byte packets
1 172.18.48.25 (172.18.48.25) 304.718 ms 304.633 ms 304.591 ms
2 cable-as-gw.mplik.ru (195.58.1.169) 304.550 ms 304.507 ms 304.467 ms
3 90.150.2.154 (90.150.2.154) 304.427 ms 304.388 ms 304.347 ms
4 90.150.2.101 (90.150.2.101) 304.305 ms 304.264 ms 304.225 ms
5 gw-a98.etel.ru (195.38.35.125) 304.186 ms 304.147 ms 304.095 ms
6 * * *
7 * * *
открытый icmp на веб-сайте во много раз увеличивает количество атак на него
чушь
Цитата: От пользователя: Strelok
Кстати MTU=1492 это для PPPoE вроде стандарт.
Кстати не pppoe, а pptp. У
меня стандартный клиент pptp, я в его настройках руками mtu в 1500 не выставлял. Вообще, по идее MTU должен отправлять сервер pptp через MRU
Цитата: От пользователя: Cybervlad
риторический вопрос "а нафига инициатор соединения ставит на пакеты флаг DF" не
задаю
открытый icmp на веб-сайте во много раз увеличивает количество атак на него
чушь
Почему это чушь? Многие сканеры сети начинают работу именно с "пингования"
диапазонов. Таким образом отключая icmp случайные (ненаправленые) атаки отметаются.
Чушь потому что чушь. Ну просканируют вашу сеть. Ну выяснят что у вас на адресе 1.2.3.4 стоит веб-сервер и дальше что ? Вы боитесь "ping'а смерти" или принимаете за атаку любой скан портов, потому что InternetSecurity на него матерится ? Так все эти InternetSecurity и прочие антихакеры просто свое
бабло отрабатывают.
Если захотят организовать DDoS, то блокировка ICMP этому никак противостоять не будет.
Хотите порассуждать о способах ИБ, можно тему создать....
А по теме явно вырисовывается, что где то у ГТ есть тунели, с меньшим значением MTU, в связи с чем уменьшение размера MTU, до кратного тунельному, привело к решению проблемы.
Проблема провайдера...
Что смотреть? Что вы настройку по дефолту не меняли? Не спорю.
Мне не понятно, зачем IP-стек ставит DF. Наверное, из мазохизма, чтобы итеративно получать need frag и уменьшать MTU, вместо того, чтобы дать возможность
роутерам самим фрагментировать/собирать пакеты...
Цитата: От пользователя: Strelok
Многие сканеры сети начинают работу именно с "пингования" диапазонов.
Мсье в курсе, что "пинг" (icmp echo request / icmp echo reply) - только один вид пакетов из всего
множества icmp?
Речь так-то идет о пропуске пакетов icmp need frag. И резать эти пакеты "для безопасности" - не просто чушь, а преступление против здравого смысла...
Цитата: От пользователя: visir
Еще можно корректировать mss на стороне "источника
контента". Даже Яндекс так делает, понижая mss до 1410
А если на маршруте окажется участок с еще мЕньшим MTU и зарезанный пропуск icmp? :-)
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
