zloy_doomer
27-01-2011, 21:40
Здавствуйте , я новичек, как сдесь так и в фре, и прошу отнестись к моей проблеме с понимаением... столкнулся с необьяснимой штукой, незнаю уже что делать...Реально в тупике...Прошу помощи...
На сервере стоит трекер, все было нормально, но, в один прекрасный момент, после того как я добавил виртуальный хост в конфиг httpd.conf , я не могу зайти током в админку трекера, точнее могу , но после нескольких секунд бездействия, выбрасывает на авторизацию...Я так понимаю что сессияя не сохраняется, или куки не принимаются... Полез в логии увидел там такое:
лог /var/log/bandwidth
Jan 26 17:24:13 impuls kernel: TCP: [192.168.15.20]:55992 to [193.104.*.*]:80
tcpflags 0x4<RST>; syncache_chkrst: Spurious RST without matching syncache entry (possibly syncookie only), segment ignored
Jan 26 17:25:11 impuls kernel: TCP: [192.168.251.232]:2887 to [193.104.*.*]:80
tcpflags 0x2<SYN>; _syncache_add: Received duplicate SYN, resetting timer and retransmitting SYN|ACK
Jan 26 17:25:19 impuls kernel: TCP: [192.168.14.79]:53947 to [193.104.*.*]:80;
syncache_timer: Response timeout, retransmitting (1) SYN|ACK
Jan 26 17:28:23 impuls kernel: TCP: [192.168.251.232]:3172 to [193.104.*.*]:80 tcpflags 0x10<ACK>;
syncache_expand: Segment failed SYNCOOKIE authentication, segment rejected (probably spoofed)
Конфиг фаервола:
#!/bin/sh
cmd="ipfw -q add"
skip="skipto 500"
pif=rl0
ks="keep-state"
good_tcpo="22,23,25,80,443,110,2802,5190,953,32370,30606,2099,5222,5223,8100,8393,8000,11211"
ipfw -f flush
$cmd 002 allow all from any to any via vr0 # exclude LAN traffic
$cmd 003 allow all from any to any via lo0 # exclude loopback traffic
$cmd 004 allow all from any to any via ng0
$cmd 005 allow all from any to any via ng1
$cmd 006 allow all from any to any via ng2
$cmd 007 allow all from any to any via ng3
$cmd 008 allow all from any to any via ng4
$cmd 020 allow udp from any to any 53 out $ks
$cmd 100 divert natd ip from any to any in via $pif
$cmd 101 check-state
# Разрешенные выходящие пакеты
$cmd 110 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
$cmd 125 $skip tcp from any to any $good_tcpo out via $pif setup $ks
$cmd 126 $skip udp from any to any 5000-5200 out via $pif setup $ks
$cmd 130 $skip icmp from any to any out via $pif $ks
$cmd 135 $skip udp from any to any 123 out via $pif $ks
# Запрещаем весь входящий траффик из зарезервированных адресных пространств
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
# Разрешенные входящие пакеты
$cmd 399 allow all from 192.168.0.0/16 to any via $pif setup $ks
$cmd 400 allow tcp from 192.168.15.32 to me 22 in via $pif setup $ks
$cmd 401 allow tcp from 192.168.0.243 to me 22 in via $pif setup $ks
$cmd 403 allow tcp from 94.27.75.100 to any via $pif setup $ks
#========= don't delete ==========================================
$cmd 404 allow tcp from 91.90.*.* to me 22 in via $pif setup $ks
$cmd 405 allow tcp from 213.130.*.* to me 1723 via $pif setup $ks
#=================================================================
#$cmd 405 allow tcp from 192.168.15.32 to me 1723 via $pif setup $ks
$cmd 405 allow tcp from 192.168.15.32 to me 1723 via $pif setup $ks
$cmd 406 allow tcp from 192.168.15.32 to me 8006 via $pif setup $ks
$cmd 407 allow tcp from 192.168.14.5 to me 1723 via $pif setup $ks
$cmd 410 allow icmp from 192.168.15.32 to me via $pif
$cmd 411 allow tcp from 192.168.15.32 to me 1723 via $pif setup $ks
# proxy
$cmd 417 allow tcp from 192.168.15.32 to me 3128 in via $pif setup $ks
$cmd 418 allow tcp from 192.168.14.5 to me 3128 in via $pif setup $ks
#Mirc
#$cmd 419 allow tcp from 192.168.15.32 to me 6665 in via $pif setup $ks
#FTP
$cmd 420 allow tcp from 192.168.15.32 to me 21 in via $pif setup $ks
$cmd 421 allow tcp from 192.168.0.243 to me 21 in via $pif setup $ks
#All allow for me
$cmd 422 allow tcp from 192.168.15.32 to any 1500-64000 via $pif setup $ks
$cmd 423 allow tcp from any to 192.168.15.32 1500-64000 via $pif setup $ks
$cmd 424 allow tcp from 192.168.0.243 to any 1500-64000 via $pif setup $ks
$cmd 425 allow tcp from any to 192.168.0.243 1500-64000 via $pif setup $ks
# Utorrent
$cmd 426 allow tcp from any to any 57944 in via $pif setup $ks
$cmd 427 allow tcp from any to any 6880-7000 in via $pif setup $ks
$cmd 428 allow tcp from any to any 30606 in via $pif setup $ks
#$cmd 428 allow tcp from any to me 80 in via $pif setup limit src-addr 1
$cmd 429 allow gre from any to any keep-state
$cmd 430 deny log ip from any to any
$cmd 43100 allow ip from any to any 53
$cmd 440 allow all from any to any 11211
# Местоположение skipto для исходящих правил состояния
$cmd 500 divert natd ip from any to any out via $pif
#$cmd 600 allow ip from any to any
Усиленное гугление ни к чему не привели, кроме того , что как я понял, ето проблемы с ipfw...Такое впечатление что я , и еще несколько человек в мире сталивались с етой проблемой, но так и не нашли решение оной....
На другие аспекты работы трекера впринципе не влияет, если просто залогинется на ресурс, а не в админку ,то все гуд, ниче не слетает...
Конфиг апача ставил старый, сервак ребутал- реакции - ноль...Всю инфу, логи, конфиги и т.д. если нада - предоставлю...
На сервере стоит трекер, все было нормально, но, в один прекрасный момент, после того как я добавил виртуальный хост в конфиг httpd.conf , я не могу зайти током в админку трекера, точнее могу , но после нескольких секунд бездействия, выбрасывает на авторизацию...Я так понимаю что сессияя не сохраняется, или куки не принимаются... Полез в логии увидел там такое:
лог /var/log/bandwidth
Jan 26 17:24:13 impuls kernel: TCP: [192.168.15.20]:55992 to [193.104.*.*]:80
tcpflags 0x4<RST>; syncache_chkrst: Spurious RST without matching syncache entry (possibly syncookie only), segment ignored
Jan 26 17:25:11 impuls kernel: TCP: [192.168.251.232]:2887 to [193.104.*.*]:80
tcpflags 0x2<SYN>; _syncache_add: Received duplicate SYN, resetting timer and retransmitting SYN|ACK
Jan 26 17:25:19 impuls kernel: TCP: [192.168.14.79]:53947 to [193.104.*.*]:80;
syncache_timer: Response timeout, retransmitting (1) SYN|ACK
Jan 26 17:28:23 impuls kernel: TCP: [192.168.251.232]:3172 to [193.104.*.*]:80 tcpflags 0x10<ACK>;
syncache_expand: Segment failed SYNCOOKIE authentication, segment rejected (probably spoofed)
Конфиг фаервола:
#!/bin/sh
cmd="ipfw -q add"
skip="skipto 500"
pif=rl0
ks="keep-state"
good_tcpo="22,23,25,80,443,110,2802,5190,953,32370,30606,2099,5222,5223,8100,8393,8000,11211"
ipfw -f flush
$cmd 002 allow all from any to any via vr0 # exclude LAN traffic
$cmd 003 allow all from any to any via lo0 # exclude loopback traffic
$cmd 004 allow all from any to any via ng0
$cmd 005 allow all from any to any via ng1
$cmd 006 allow all from any to any via ng2
$cmd 007 allow all from any to any via ng3
$cmd 008 allow all from any to any via ng4
$cmd 020 allow udp from any to any 53 out $ks
$cmd 100 divert natd ip from any to any in via $pif
$cmd 101 check-state
# Разрешенные выходящие пакеты
$cmd 110 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
$cmd 125 $skip tcp from any to any $good_tcpo out via $pif setup $ks
$cmd 126 $skip udp from any to any 5000-5200 out via $pif setup $ks
$cmd 130 $skip icmp from any to any out via $pif $ks
$cmd 135 $skip udp from any to any 123 out via $pif $ks
# Запрещаем весь входящий траффик из зарезервированных адресных пространств
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
# Разрешенные входящие пакеты
$cmd 399 allow all from 192.168.0.0/16 to any via $pif setup $ks
$cmd 400 allow tcp from 192.168.15.32 to me 22 in via $pif setup $ks
$cmd 401 allow tcp from 192.168.0.243 to me 22 in via $pif setup $ks
$cmd 403 allow tcp from 94.27.75.100 to any via $pif setup $ks
#========= don't delete ==========================================
$cmd 404 allow tcp from 91.90.*.* to me 22 in via $pif setup $ks
$cmd 405 allow tcp from 213.130.*.* to me 1723 via $pif setup $ks
#=================================================================
#$cmd 405 allow tcp from 192.168.15.32 to me 1723 via $pif setup $ks
$cmd 405 allow tcp from 192.168.15.32 to me 1723 via $pif setup $ks
$cmd 406 allow tcp from 192.168.15.32 to me 8006 via $pif setup $ks
$cmd 407 allow tcp from 192.168.14.5 to me 1723 via $pif setup $ks
$cmd 410 allow icmp from 192.168.15.32 to me via $pif
$cmd 411 allow tcp from 192.168.15.32 to me 1723 via $pif setup $ks
# proxy
$cmd 417 allow tcp from 192.168.15.32 to me 3128 in via $pif setup $ks
$cmd 418 allow tcp from 192.168.14.5 to me 3128 in via $pif setup $ks
#Mirc
#$cmd 419 allow tcp from 192.168.15.32 to me 6665 in via $pif setup $ks
#FTP
$cmd 420 allow tcp from 192.168.15.32 to me 21 in via $pif setup $ks
$cmd 421 allow tcp from 192.168.0.243 to me 21 in via $pif setup $ks
#All allow for me
$cmd 422 allow tcp from 192.168.15.32 to any 1500-64000 via $pif setup $ks
$cmd 423 allow tcp from any to 192.168.15.32 1500-64000 via $pif setup $ks
$cmd 424 allow tcp from 192.168.0.243 to any 1500-64000 via $pif setup $ks
$cmd 425 allow tcp from any to 192.168.0.243 1500-64000 via $pif setup $ks
# Utorrent
$cmd 426 allow tcp from any to any 57944 in via $pif setup $ks
$cmd 427 allow tcp from any to any 6880-7000 in via $pif setup $ks
$cmd 428 allow tcp from any to any 30606 in via $pif setup $ks
#$cmd 428 allow tcp from any to me 80 in via $pif setup limit src-addr 1
$cmd 429 allow gre from any to any keep-state
$cmd 430 deny log ip from any to any
$cmd 43100 allow ip from any to any 53
$cmd 440 allow all from any to any 11211
# Местоположение skipto для исходящих правил состояния
$cmd 500 divert natd ip from any to any out via $pif
#$cmd 600 allow ip from any to any
Усиленное гугление ни к чему не привели, кроме того , что как я понял, ето проблемы с ipfw...Такое впечатление что я , и еще несколько человек в мире сталивались с етой проблемой, но так и не нашли решение оной....
На другие аспекты работы трекера впринципе не влияет, если просто залогинется на ресурс, а не в админку ,то все гуд, ниче не слетает...
Конфиг апача ставил старый, сервак ребутал- реакции - ноль...Всю инфу, логи, конфиги и т.д. если нада - предоставлю...