Forums:
Saludos ..desde hace varios dias presento un problema ,no se como interpretar unos saltos del traceroute.
La topologia es la siguiente tengo un router de mi proveedor de internet tras ese router tengo un switch ahi esta conectado linux con ip publica que hace de proxy a mi red , ademas en el mismo switch tengo una windows con ip publica tambien...ahora tengo problemas con la navegacion en mis pcs conectadas al linux...entro al linux y ejecuto una traceroute a www.ecualug.org y el resultado es el siguiente:
[root@mail ~]# traceroute www.ecualug.org
traceroute to www.ecualug.org (64.15.152.232), 30 hops max, 38 byte packets
1 micpe (201.219.45.25) 1.262 ms 3.754 ms 5.872 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 208.29.133.17 (208.29.133.17) 11.781 ms 7.862 ms 9.495 ms
7 190.90.2.1 (190.90.2.1) 67.147 ms 55.399 ms 41.466 ms
8.9..10..11 ..etc y se completa la traza
------------------------------------------------
-----------------------------------------------
Ahora hago un tracert desde windows
Traza a la dirección www.ecualug.org [64.15.152.232]
sobre un máximo de 30 saltos:
1 1 micpe [201.219.45.25]
2 24 ms 3 ms 3 ms 10.201.113.249
3 38 ms 25 ms 21 ms rods3uio-int-gig-3-0-0.telconet.net [10.201.1.5]
4 43 ms 49 ms 74 ms 10.201.21.125
5
6 43 ms 30 ms 32 ms 208.29.133.17
7 71 ms 86 ms 72 ms 65.199.245.113
8 9.10.111.etc y se completa la traza
............................
Mi pregunta es porque en el linux la traza se corta de esa manera
y en windows no....intercambio las ips....y efecto las trazas sucede lo mismo...
Como interpreto eso..donde esta el problema?????
Prueba con el flag -n. Capaz
Prueba con el flag -n. Capaz sea porque no quiere resolver los nombres de ips privados.
--
haber != a ver
ha != a
Saludos ..podrias ser un
Saludos ..podrias ser un poquito mas especifico con eso del "flag -n"..xfavor
Juank
Ignórame, la verdadera
Ignórame, la verdadera razón la tienen abajo. Hoy no es mi día. Me refería al flag (opción) -n de traceroute.
--
haber != a ver
ha != a
El traceroute de Linux y
El traceroute de Linux y unix utiliza protocolo UDP (User Datagram Protocol) paquetes al azar a un alto número de puerto puerto(Los números superiores a 1024 son puerto asignados de forma dinámica y que no estan reservados), mientras que Micro$oft Windows utiliza ICMP (Internet Control Message Protocol) paquetes.
Esta es la diferencia fundamental.
Las reglas del firewall o las Listas de Control de Acceso (ACLs) de tu servidor Linux deben de garantizar el trafico de paquetes udp. O pregunta a tu provedor si el router garantiza el trafico de paquete udp.
Espesificamente suele ser el puerto 33434 udp el que utiliza traceroute de linux.(esto varia depende de la distro de linux o unix)
Pero podrias abrir por un momento todos los puertos udp
O simplemente bajar el firewall o iptables para probar si eso esta truncado el traceroute
Revisa las configuraciones de tu servidor que de seguro no permiten trafico udp
Postea los resultados si tiene solucion tu problema asi aprendemos todos }:)
Ya!! ...haber pero el
Ya!! ...haber pero el problema se da fuera de mi red segun veo en el router de mi proveedor hacia afuera en los proximos saltos, o estoy equivocado ???
Juank
Al parecer si es fuera de tu
Al parecer si es fuera de tu red.............
En conclusión Los asteriscos (***) indican un error en la ruta o que un cortafuegos no ha permitido el paso a este tipo de paquetes IP. Por cierto, puedes especificar la opción -n con el fin de no mostrar el nombre de equipo.
prueba traceruote ecualug.org -I esto Ejecutara un trace con paquetes icmp igual que Window$
prueba traceruote ecualug.org -w 60 esto espera 60 segundos como maximo para espera respuesta (defaul es 5) y si hay demasiado trafico y se demora lo toma como que no hay respuesta
En fin puedes usar la ayuda que eso sirve mucho.. man traceroute
Ademas hay otras herramientas que puedes usar como mtr quie son mucho mas complejas y pueden ayudar para construir trazas
En los saltos donde hay **** tambien puede ser que hay demasiado trafico udp (cuello de botella) por eso el trace de Window$ si funciona
Nos avisas los resultados }:)
Ejecute un iptables -F en mi
Ejecute un iptables -F en mi server y las trazas se ejecutan normalmente no tengo esos cortes...ahora que tengo mal en mi firewall xfavor si me pueden ayudar...al no efectuar los saltos normalmente es causa de lentitud en la navegacion????
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/sbin/depmod -a
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
IPTABLES=/sbin/iptables
OUTERIF=eth0
OUTERIP=201.219.45.26/32
OUTERNET=201.219.45.0/26
LAN_IP_RANGE=192.168.97.0/24
LAN_IP=192.168.97.1
LAN_BCAST_ADRESS=192.168.97.255
LOCALHOST_IP=127.0.0.1/32
STATIC_IP=201.219.45.26/32
INET_IFACE=eth0
LAN_IFACE=eth1
REMOTENET=0/0
PRIVPORTS="0:1023"
UNPRIVPORTS="1024:65535"
OK="\033[1;0m [ \033[00;32mOK \033[1;0m]\033[0m"
echo -e "Flushing de Reglas por Default: $OK"
# ===>> Flush <<=== #
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X
echo -e "Cargando Reglas Generales Para el FireWall: $OK"
# Politicas ICMP
#CONFIG_DIR=/etc/rc.d/security/
# ===>> Enmascaramiento <<=== #
$IPTABLES -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE1 -j ACCEPT
#$IPTABLES -t nat -A POSTROUTING -o eth0 -s $LAN_IP_RANGE1 -j MASQUERADE
#$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Bloquea el acceso de ips no ruteables hacia la interfaz externa
$IPTABLES -A INPUT -s 224.0.0.0/4 -j DROP -i $OUTERIF
$IPTABLES -A INPUT -s 240.0.0.0/5 -j DROP -i $OUTERIF
$IPTABLES -A INPUT -s 248.0.0.0/5 -j DROP -i $OUTERIF
$IPTABLES -A INPUT -s 0.0.0.0/8 -j DROP -i $OUTERIF
$IPTABLES -A INPUT -s 10.0.0.0/8 -j DROP -i $OUTERIF
$IPTABLES -A INPUT -s 10.10.19.31 -j ACCEPT -i $OUTERIF
#$IPTABLES -A INPUT -s 192.168.0.2 -j DROP -i eth1
#$IPTABLES -A INPUT -s 127.0.0.0/8 -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -j DROP -i $OUTERIF
$IPTABLES -A INPUT -s 169.254.0.0/16 -j DROP -i $OUTERIF
#$IPTABLES -A INPUT -s 192.168.0.0/16 -j DROP -i $OUTERIF
$IPTABLES -A INPUT -s 192.0.2.0/24 -j DROP -i $OUTERIF
$IPTABLES -A INPUT -s 255.255.255.255/32 -j DROP -i $OUTERIF
# Multicast
$IPTABLES -t mangle -A PREROUTING -s 224.0.0.0/8 -d $REMOTENET -j DROP
$IPTABLES -t mangle -A PREROUTING -s $REMOTENET -d 224.0.0.0/8 -j DROP
#$IPTABLES -A INPUT -j LOG -m state --state INVALID
# Back Orifice (con logs)
$IPTABLES -A INPUT -p tcp -s $REMOTENET -d $OUTERNET --dport 31337 -j DROP
$IPTABLES -A INPUT -p udp -s $REMOTENET -d $OUTERNET --dport 31337 -j DROP
# NetBus (con logs)
$IPTABLES -A INPUT -p tcp -s $REMOTENET -d $OUTERNET --dport 12345:12346 -j DROP
$IPTABLES -A INPUT -p udp -s $REMOTENET -d $OUTERNET --dport 12345:12346 -j DROP
# Trin00 (con logs)
$IPTABLES -A INPUT -p tcp -s $REMOTENET -d $OUTERNET --dport 1524 -j DROP
$IPTABLES -A INPUT -p tcp -s $REMOTENET -d $OUTERNET --dport 27665 -j DROP
$IPTABLES -A INPUT -p udp -s $REMOTENET -d $OUTERNET --dport 27444 -j DROP
$IPTABLES -A INPUT -p udp -s $REMOTENET -d $OUTERNET --dport 31335 -j DROP
# Bloqueo a DHCP cliente
$IPTABLES -A INPUT -p udp -s $REMOTENET -d $REMOTENET --dport 67:68 -i $OUTERIF
# Bloqueo a IDENTD
$IPTABLES -A INPUT -p tcp -s $REMOTENET -d $OUTERNET --dport 113 -j DROP
$IPTABLES -A INPUT -p udp -s $REMOTENET -d $OUTERNET --dport 113 -j DROP
# Bloqueo a NETBIOS
$IPTABLES -A INPUT -p tcp -s $REMOTENET -d $REMOTENET --dport 137:139 -i $OUTERIF -j DROP
$IPTABLES -A INPUT -p udp -s $REMOTENET -d $REMOTENET --dport 137:139 -i $OUTERIF -j DROP
# Bloqueo a NFS
$IPTABLES -A INPUT -p tcp -s $REMOTENET -d $REMOTENET --dport 2049 -i $OUTERIF -j DROP
$IPTABLES -A INPUT -p udp -s $REMOTENET -d $REMOTENET --dport 2049 -i $OUTERIF -j DROP
# Transparent Proxy
$IPTABLES -A INPUT -i $LAN_IFACE -p tcp -d $LAN_IP_RANGE --dport 80 -j ACCEPT
#$IPTABLES -A INPUT -i $LAN_IFACE1 -p tcp -d $LAN_IP_RANGE1 --dport 80 -j ACCEPT
#$IPTABLES -A INPUT -i $LAN_IFACE2 -p tcp -d $LAN_IP_RANGE2 --dport 80 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp --dport 80 -j REDIRECT --to-port 8080
#$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE1 -p tcp --dport 80 -j REDIRECT --to-port 8080
#$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE2 -p tcp --dport 80 -j REDIRECT --to-port 8080
# Bloqueo W32BLASTER
$IPTABLES -A FORWARD -p tcp --dport 69 -j DROP
$IPTABLES -A FORWARD -p udp --dport 69 -j DROP
$IPTABLES -A INPUT -p tcp --dport 69 -j DROP
$IPTABLES -A INPUT -p udp --dport 69 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 69 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 69 -j DROP
$IPTABLES -A FORWARD -p tcp --dport 135 -j DROP
$IPTABLES -A FORWARD -p udp --dport 135 -j DROP
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 135 -j DROP
$IPTABLES -A FORWARD -p tcp --dport 445 -j DROP
$IPTABLES -A FORWARD -p udp --dport 445 -j DROP
$IPTABLES -A INPUT -p tcp --dport 445 -j DROP
$IPTABLES -A INPUT -p udp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 445 -j DROP
$IPTABLES -A FORWARD -p tcp --dport 4444 -j DROP
$IPTABLES -A FORWARD -p udp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p udp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 4444 -j DROP
$IPTABLES -A FORWARD -p tcp --dport 137:139 -j DROP
$IPTABLES -A FORWARD -p udp --dport 137:139 -j DROP
$IPTABLES -A INPUT -p tcp --dport 137:139 -j DROP
$IPTABLES -A INPUT -p udp --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 137:139 -j DROP
#********************************************************************
#************************************************************************
#
# ===>> Fin de las Reglas <<=== #
Juank
Como te dije antes el
Como te dije antes el problema no es tu servidor!!!!!!!!!
lo que haga el trace es lo que sucede fuera de tu red por lo tanto no debes hacer nada en tu servidor
ejecutaste
traceruote ecualug.org -I esto Ejecutara un trace con paquetes icmp igual que Window$???????????????
que resultados te dio????
prueba mtr ecualug.com Nos
prueba
mtr ecualug.com
Nos avisas los resultados
Estos son los
Estos son los resultados!!!
[root@mail ~]# traceroute ecualug.org -I
traceroute to ecualug.org (64.15.152.232), 30 hops max, 38 byte packets
1 192.168.1.1 (192.168.1.1) 1.359 ms 1.337 ms 1.325 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 208.29.133.17 (208.29.133.17) 26.698 ms 5.556 ms 6.167 ms
7 190.90.2.1 (190.90.2.1) 21.750 ms 41.462 ms 74.154 ms
8 g2-0-2-nmi-core02.nwnnetwork.net (63.245.44.29) 101.380 ms 120.009 ms 142.479 ms
9 s1-0-0-nam-core-02.nwnnetwork.net (63.245.5.68) 106.808 ms 75.718 ms 75.962 ms
10 nota.atlas.cogentco.com (198.32.124.103) 101.539 ms 101.878 ms 106.406 ms
11 p10-0.core01.mia01.atlas.cogentco.com (154.54.3.189) 122.118 ms 124.216 ms 129.069 ms
12 * p15-0.core01.jax01.atlas.cogentco.com (66.28.4.138) 107.729 ms 136.265 ms
13.14.15...etc ..se completa la traza
Ahora con el mtr
Hostname %Loss Rcv Snt Last Best Avg Worst
1. 192.168.1.1 0% 479 479 1 1 1 20
2. ???
3. ???
4. ???
5. ???
6. 208.29.133.17 1% 476 479 7 5 16 72
7. 190.90.2.5 2% 472 478 19 17 28 88
8. g2-0-2-nmi-core02.nwnnetwork.net 2% 472 478 83 79 91 147
9. s1-0-0-nam-core-02.nwnnetwork.net 1% 475 478 76 74 86 143
10. g1-1-0-nam-core01.nwnnetwork.net 2% 469 478 80 79 90 148
11. sl-st20-mia-14-1-1.sprintlink.net 3% 468 478 76 74 84 140
12. sl-bb21-mia-12-0-0.sprintlink.net 2% 471 478 84 79 89 147
13. sl-bb22-mia-4-0-0.sprintlink.net 2% 473 478 75 74 84 143
14. sl-crs2-atl-0-0-0-3.sprintlink.net 2% 468 476 119 118 129 184
Juank
Páginas