Сайт и ИБ от б24.ру не доступны из сетей ГТ ?
А
Антон™
Это только у меня такое или у всех ? Уже не в первый раз натыкаюсь на то, что из дома (анлим от ГТ) не могу зайти на на сайт банка, ни в i.bank24.ru
Вот с работы:
вот то же самое в это же время из дома:
и тишина ......
Вот с работы:
Исходник:mail:~# telnet www.bank24.ru 80 Trying 212.220.24.240... Connected to www.bank24.ru. Escape character is '^]'. GET / HTTP/1.1 Host: www.bank24.ru HTTP/1.1 200 OK Date: Mon, 21 Jan 2008 16:44:37 GMT Server: Apache/2.2.4 (Unix) mod_ssl/2.2.4 OpenSSL/0.9.7a |
вот то же самое в это же время из дома:
Исходник:ak@home:~$ telnet www.bank24.ru 80 Trying 212.220.24.240... Connected to www.bank24.ru. Escape character is '^]'. GET / HTTP/1.1 Host: www.bank24.ru |
и тишина ......
B
Boris Dyakonov
C работы так рутом, а из дома так ак?
traceroute и вопрос провайдеру был бы информативнее...
traceroute и вопрос провайдеру был бы информативнее...
А
Антон™
Не уверен что traceroute поможет, т.к. у них там видимо по соображениям какой-то внутренней безопасности начиная со входа в банк все ping'и обламываются. Сдается мне что они там сами накосячили с маршрутизацией и поэтому ничего и не работает.
угу. Я сунулся на первый сервак, на котором у меня ключ есть.
C работы так рутом, а из дома так ак?
угу. Я сунулся на первый сервак, на котором у меня ключ есть.
Д
Д. Ш.
Антон, я пользуюсь ибанком24 несколько раз в неделю, только из дома.
Ни разу не сталкивался с недоступностью.
Ни разу не сталкивался с недоступностью.
А
Антон™
ramm_sh, у тебя ГТ ?
Просто ГТ каждый раз при подключении выдает разные IP, но из одной и той же сети. И за последние 2 недели мне ни разу не удавалось попасть через канал ГТ на сайт б24 и в ИБанк. При этом через канал Конвекса все работает.
Просто ГТ каждый раз при подключении выдает разные IP, но из одной и той же сети. И за последние 2 недели мне ни разу не удавалось попасть через канал ГТ на сайт б24 и в ИБанк. При этом через канал Конвекса все работает.
Д
Д. Ш.
ramm_sh, у тебя ГТ ?
да, ГТ, мегабитка.да, ипы на анлиме стали выдаваться разные - но ничего не изменилось, ибанк как работал так и работает.
C
Cybervlad
В качестве почти бредового предположения: может MTU покрутить?
Было несколько прецедентов, когда на оборудовании весь ICMP зарезан "ваще нафиг", включая "ICMP NEED FRAG". Последствия предсказуемы
Было несколько прецедентов, когда на оборудовании весь ICMP зарезан "ваще нафиг", включая "ICMP NEED FRAG". Последствия предсказуемы
А
Антон™
В качестве почти бредового предположения: может MTU покрутить?
Покрутил. При mtu=1492 сайт заработал.
C
Cybervlad
Покрутил. При mtu=1492 сайт заработал.
Я крут (с)
А с Б24 - 100 грамм и пончик за техсаппорт ;-)
Но если серьезно, то трабл с МТУ очень часто стал встречаться. Наверное, некоторым провайдерам надо слегка поумерить паранойю на тему icmp need frag...
А
Антон™
Cybervlad, если честно, у меня были сомнения на счет mtu, но что-то как-то руки до того чтобы сразу подкрутить не дотянулись
C
Cybervlad
если честно, у меня были сомнения на счет mtu
Не сомневался ;-) Но это как всегда в ремонте - правильной оказывается последняя причина в списке возможных неисправностей ;-)
B
Boris Dyakonov
Я крут (с)
А с Б24 - 100 грамм и пончик за техсаппорт
А с Б24 - 100 грамм и пончик за техсаппорт
воистину крут
100 грам и пончик да приложатся.
Обещаю
А
Антон™
воистину крут
100 грам и пончик да приложатся.
100 грам и пончик да приложатся.
Если Вы представитель б24, то может покажите этот топик своим господам сисадминам ? А то ведь это благодаря радиусу кривизны именно их рук грабли-то. ICMP весь все же не стоит блокировать ;-)
U
.1
Если Вы представитель б24, то может покажите этот топик своим господам сисадминам ?
да вобчем да, представитель
http://www.bank24.ru/bank/leaders/dyakonov/
C
Cybervlad
покажите этот топик своим господам сисадминам ?
ICMP весь все же не стоит блокироват
А он именно в банке заблокирован или таки "где-то по дороге"?
Ведь через других провайдеров у Вас все работает...
А
Антон™
А он именно в банке заблокирован или таки "где-то по дороге"?
с работы:
Исходник:$ traceroute -v www.bank24.ru traceroute to www.bank24.ru (212.220.24.240), 30 hops max, 40 byte packets 1 192.168.0.xxx (192.168.0.xxx) 48 bytes to 192.168.0.251 0.181 ms 0.218 ms 0.107 ms 2 217.24.xxx.xxx (217.24.xxx.xxx) 36 bytes to 192.168.0.251 0.374 ms 0.614 ms 0.808 ms 3 M0-vlan41.isnet.ru (217.24.176.215) 36 bytes to 192.168.0.251 1.603 ms 1.801 ms 1.259 ms 4 172.18.6.2 (172.18.6.2) 36 bytes to 192.168.0.251 1.770 ms 2.144 ms 1.990 ms 5 * * * 6 90.150.2.101 (90.150.2.101) 36 bytes to 192.168.0.251 2.577 ms 2.027 ms 2.901 ms 7 gw-a98.etel.ru (195.38.35.125) 36 bytes to 192.168.0.251 5.046 ms 6.490 ms 4.154 ms 8 * * * 9 * * * |
из дома:
Исходник:$ traceroute www.bank24.ru traceroute to www.bank24.ru (212.220.24.240), 30 hops max, 40 byte packets 1 172.18.48.25 (172.18.48.25) 304.718 ms 304.633 ms 304.591 ms 2 cable-as-gw.mplik.ru (195.58.1.169) 304.550 ms 304.507 ms 304.467 ms 3 90.150.2.154 (90.150.2.154) 304.427 ms 304.388 ms 304.347 ms 4 90.150.2.101 (90.150.2.101) 304.305 ms 304.264 ms 304.225 ms 5 gw-a98.etel.ru (195.38.35.125) 304.186 ms 304.147 ms 304.095 ms 6 * * * 7 * * * |
судя по всему icmp режется на входе в банк
S
Strelok
судя по всему icmp режется на входе в банк
Конечно режеться:-) открытый icmp на веб-сайте во много раз увеличивает количество атак на него.
S
Strelok
Покрутил. При mtu=1492 сайт заработал
Кстати MTU=1492 это для PPPoE вроде стандарт.
C
Cybervlad
открытый icmp на веб-сайте во много раз увеличивает количество атак на него.
Какой именно icmp?
echoreq/echorep - да, закрывают. а закрытый need frag так-то нарушает работу сети...
p.s. риторический вопрос "а нафига инициатор соединения ставит на пакеты флаг DF" не задаю. :-)
А
Антон™
открытый icmp на веб-сайте во много раз увеличивает количество атак на него
чушь
Кстати MTU=1492 это для PPPoE вроде стандарт.
Кстати не pppoe, а pptp. У меня стандартный клиент pptp, я в его настройках руками mtu в 1500 не выставлял. Вообще, по идее MTU должен отправлять сервер pptp через MRU
риторический вопрос "а нафига инициатор соединения ставит на пакеты флаг DF" не
задаю
см.выше ;-)
[Сообщение изменено пользователем 23.01.2008 14:06]
S
Strelok
Цитата:
От пользователя: Strelok
открытый icmp на веб-сайте во много раз увеличивает количество атак на него
чушь
От пользователя: Strelok
открытый icmp на веб-сайте во много раз увеличивает количество атак на него
чушь
Почему это чушь? Многие сканеры сети начинают работу именно с "пингования" диапазонов. Таким образом отключая icmp случайные (ненаправленые) атаки отметаются.
З.Ы. Кетайцы и корецы постоянно всё сканируют
А
Антон™
Чушь потому что чушь. Ну просканируют вашу сеть. Ну выяснят что у вас на адресе 1.2.3.4 стоит веб-сервер и дальше что ? Вы боитесь "ping'а смерти" или принимаете за атаку любой скан портов, потому что InternetSecurity на него матерится ? Так все эти InternetSecurity и прочие антихакеры просто свое
бабло отрабатывают.
Если захотят организовать DDoS, то блокировка ICMP этому никак противостоять не будет.
[Сообщение изменено пользователем 23.01.2008 17:24]
Если захотят организовать DDoS, то блокировка ICMP этому никак противостоять не будет.
[Сообщение изменено пользователем 23.01.2008 17:24]
S
Strelok
Хотите порассуждать о способах ИБ, можно тему создать....
А по теме явно вырисовывается, что где то у ГТ есть тунели, с меньшим значением MTU, в связи с чем уменьшение размера MTU, до кратного тунельному, привело к решению проблемы.
Проблема провайдера...
А по теме явно вырисовывается, что где то у ГТ есть тунели, с меньшим значением MTU, в связи с чем уменьшение размера MTU, до кратного тунельному, привело к решению проблемы.
Проблема провайдера...
v
visir
Еще можно корректировать mss на стороне "источника контента". Даже Яндекс так делает, понижая mss до 1410 ;-)
C
Cybervlad
см.выше
Что смотреть? Что вы настройку по дефолту не меняли? Не спорю.
Мне не понятно, зачем IP-стек ставит DF. Наверное, из мазохизма, чтобы итеративно получать need frag и уменьшать MTU, вместо того, чтобы дать возможность роутерам самим фрагментировать/собирать пакеты...
Многие сканеры сети начинают работу именно с "пингования" диапазонов.
Мсье в курсе, что "пинг" (icmp echo request / icmp echo reply) - только один вид пакетов из всего множества icmp?
Речь так-то идет о пропуске пакетов icmp need frag. И резать эти пакеты "для безопасности" - не просто чушь, а преступление против здравого смысла...
Еще можно корректировать mss на стороне "источника
контента". Даже Яндекс так делает, понижая mss до 1410
А если на маршруте окажется участок с еще мЕньшим MTU и зарезанный пропуск icmp? :-)
Авторизуйтесь, чтобы принять участие в дискуссии.