iptables的SNAT问题

水木社区手机版

主题:iptables的SNAT问题
20楼|lvsoft|2022-05-09 15:33:10|只看此ID
我刚刷回openwrt...
晚上再刷回来试试看...

昨天刷老内核刷砖了，本来想就openwrt算了不折腾了...

【在 lexluthor 的大作中提到: 】
: 你的问题应该和楼主的不一样
: 你这个大概率是MTU问题
: 需要加一条命令
: ...................
--
FROM 180.111.27.*
21楼|lexluthor|2022-05-09 17:26:51|只看此ID
备份一下配置，再刷回openwrt可以很快恢复的
【在 lvsoft 的大作中提到: 】
: 我刚刷回openwrt...
: 晚上再刷回来试试看...
: 昨天刷老内核刷砖了，本来想就openwrt算了不折腾了...
: ...................
--
修改:lexluthor FROM 167.99.245.*
FROM 167.99.245.*
22楼|lvsoft|2022-05-09 17:59:51|只看此ID
没事，我的openwrt就是配了个pppoe，不用备份也ok。
主要是最近几天事情都挤一块了，分不出多少时间折腾这个。
但不折腾好还不行，现在没有google做事难受的要死。

【在 lexluthor 的大作中提到: 】
: 备份一下配置，再刷回openwrt可以很快恢复的
--
FROM 180.111.27.*
23楼|DreamDreams|2022-05-10 12:54:10|只看此ID
试过在路由器上wget也是同样的结果么？

【在 lvsoft 的大作中提到: 】
: 标题: Re: iptables的SNAT问题
: 发信站: 水木社区 (Sun May 8 22:20:26 2022), 站内
:
: 我遇到了跟你一样的问题了，邪门...
:
: 路由是新装的armbian，内核5.17，直接用nftables，做了个最最最简单的masquerade，
: 其他啥都检查过了，不会有弱智问题。
: 理论上应该就正常了，实际上好像也确实正常了，
: 但访问很多网站感觉都被盾了似得...我这里说的都是国内网站...
:
: 比如这个
: [upload=1][/upload]
: 访问ustc的debian mirror不行，http和https测试过都不行。
: 淘宝完全不行
: jd是部分可以，很明显一些cdn不行。
: qq邮箱看似可以，但丫与安全认证相关的cdn部分不行。
: 百度，bing都可以，我自建的服务器也ok。
:
: [upload=2][/upload]
: 然后是重点测试的从ustc的debian mirror里面wget一个包，现象就如图所示，到传数据的时候卡住了。
: 但ssh自己的几个服务器却都没问题。
:
: 然后抓包分析了一下子，过程如图所示，感觉就是http要传payload的时候被黑洞了...
: 而且https情况也类似。
: [upload=3][/upload]
: [upload=4][/upload]
:
: 最后，完全一样的网络环境，换华为的ap就没问题，我这个小路由器换openwrt的系统也没问题，但如果我要用armbian就是不行...我也换了几个不同版本的内核测试了下，没啥区别。但我没换老一点的内核直接测试iptables的情况。
: 这尼玛是啥情况啊...无法理解...
: 感觉像是masquerade被isp检测到然后咔嚓了。也许openwrt有更好的masquerade姿势？？？
:
:
: 【在 leeyc 的大作中提到: 】
: : tcp的协议貌似都正常，没啥问题
: : 但是，udp的好像有问题
: : 用conntrack -L查看的结果如下
: : ...................
:
: --
:
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 114.222.222.*]
:
--
FROM 124.207.188.194
24楼|DreamDreams|2022-05-10 12:57:54|只看此ID
另外回来的包有没有在路由器上tcpdump不就能看出来了么

【在 DreamDreams 的大作中提到: 】
: 标  题: Re: iptables的SNAT问题
: 发信站: 水木社区 (Tue May 10 12:54:37 2022), 站内
:
: 试过在路由器上wget也是同样的结果么？
:
: 【在 lvsoft 的大作中提到: 】
: : 标  题: Re: iptables的SNAT问题
: : 发信站: 水木社区 (Sun May  8 22:20:26 2022), 站内
: :
: : 我遇到了跟你一样的问题了，邪门...
: :
: : 路由是新装的armbian，内核5.17，直接用nftables，做了个最最最简单的masquerade，
: : 其他啥都检查过了，不会有弱智问题。
: : 理论上应该就正常了，实际上好像也确实正常了，
: : 但访问很多网站感觉都被盾了似得...我这里说的都是国内网站...
: :
: : 比如这个
: : [upload=1][/upload]
: : 访问ustc的debian mirror不行，http和https测试过都不行。
: : 淘宝完全不行
: : jd是部分可以，很明显一些cdn不行。
: : qq邮箱看似可以，但丫与安全认证相关的cdn部分不行。
: : 百度，bing都可以，我自建的服务器也ok。
: :
: : [upload=2][/upload]
: : 然后是重点测试的从ustc的debian mirror里面wget一个包，现象就如图所示，到传数据的时候卡住了。
: : 但ssh自己的几个服务器却都没问题。
: :
: : 然后抓包分析了一下子，过程如图所示，感觉就是http要传payload的时候被黑洞了...
: : 而且https情况也类似。
: : [upload=3][/upload]
: : [upload=4][/upload]
: :
: : 最后，完全一样的网络环境，换华为的ap就没问题，我这个小路由器换openwrt的系统也没问题，但如果我要用armbian就是不行...我也换了几个不同版本的内核测试了下，没啥区别。但我没换老一点的内核直接测试iptables的情况。
: : 这尼玛是啥情况啊...无法理解...
: : 感觉像是masquerade被isp检测到然后咔嚓了。也许openwrt有更好的masquerade姿势？？？
: :
: :
: : 【在 leeyc 的大作中提到: 】
: : : tcp的协议貌似都正常，没啥问题
: : : 但是，udp的好像有问题
: : : 用conntrack -L查看的结果如下
: : : ...................
: :
: : --
: :
: : ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 114.222.222.*]
: :
:
: --
:
: ※ 来源:·水木社区 mysmth.net·[FROM: 124.207.188.194]
--
FROM 124.207.188.194
25楼|DreamDreams|2022-05-10 12:59:13|只看此ID
折腾路由的酸爽就在此了，一旦翻车就傻眼，你这还在本地，想象一下远程就更酸爽了。

我现在干脆买了个j4125小主机，上面跑软路由，一主一备，以防万一。
要折腾就再开一个虚拟机跑，跑好了再上到主路由上，备份的雷打不动。
不过这个前提是家里的宽带可以pppoe多播，否则也没法几路同时联网。

【在 lvsoft 的大作中提到: 】
: 标题: Re: iptables的SNAT问题
: 发信站: 水木社区 (Mon May 9 17:59:51 2022), 站内
:
: 没事，我的openwrt就是配了个pppoe，不用备份也ok。
: 主要是最近几天事情都挤一块了，分不出多少时间折腾这个。
: 但不折腾好还不行，现在没有google做事难受的要死。
:
: 【在 lexluthor 的大作中提到: 】
: : 备份一下配置，再刷回openwrt可以很快恢复的
:
: --
:
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 180.111.27.*]
--
FROM 124.207.188.194
26楼|DreamDreams|2022-05-10 13:04:06|只看此ID
你一说还真像MTU问题，啥都对，就是有的能通有的不能通。

我折腾IPSec的时候也碰到过MTU问题，简直是太坑了，完全想不到。

【在 lexluthor 的大作中提到: 】
: 标题: Re: iptables的SNAT问题
: 发信站: 水木社区 (Mon May 9 08:28:21 2022), 站内
:
: 你的问题应该和楼主的不一样
: 你这个大概率是MTU问题
: 需要加一条命令
: https://m.mysmth.net/article/LinuxApp/960674 这个贴提到过
: iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
: 如果这个命令显示执行不成功, 应该开启内核选项 CONFIG_NETFILTER_XT_TARGET_TCPMSS
: 不知道对应的 nftables 的命令是什么, 没有用户态 iptables 命令的话需要转换成对应的 nftables 命令.
:
: 这些都是openwrt趟过的坑, 这个问题是我遇到duckduckgo打不开后发现的, 和你的现象一模一样.
: 【在 lvsoft 的大作中提到: 】
: : 我遇到了跟你一样的问题了，邪门...
: : 路由是新装的armbian，内核5.17，直接用nftables，做了个最最最简单的masquerade，
: : 其他啥都检查过了，不会有弱智问题。
: : ...................
: --
:
: ※ 来源:·水木社区 http://m.mysmth.net·[FROM: 167.99.245.*]
--
修改:DreamDreams FROM 124.207.188.194
FROM 124.207.188.194
27楼|lvsoft|2022-05-10 14:15:54|只看此ID
两份log，左边的就是直接在路由器上wget的，
右边是在pc上wget，在路由器上tcpdump。

这个我还没确认是不是MTU的问题，我发现这个路由器好像会自己重启，貌似供电还有点问题。先把供电解决好了再测...

【在 DreamDreams 的大作中提到: 】
: 试过在路由器上wget也是同样的结果么？
:
--
FROM 180.111.24.*
28楼|lvsoft|2022-05-10 14:46:20|只看此ID
我曾经远程连到主机上，然后让人在现场插根u盘，把主机的整个系统丢到u盘再整体pivot_root过去。
然后重启所有服务（包括ssh），把主机的root分区释放掉，然后把root分区抹掉，然后调整分区，配个dmcrypt，弄好再把u盘的系统搬回去，再pivot_root回来，修好所有引导项，然后双手合十reboot...

如果出问题就是我要跑现场了，所以当时我每一步都非常的谨慎小心。
好在没出问题～

【在 DreamDreams 的大作中提到: 】
: 折腾路由的酸爽就在此了，一旦翻车就傻眼，你这还在本地，想象一下远程就更酸爽了。
: 我现在干脆买了个j4125小主机，上面跑软路由，一主一备，以防万一。
: 要折腾就再开一个虚拟机跑，跑好了再上到主路由上，备份的雷打不动。
: ...................
--
FROM 180.111.24.*
29楼|DreamDreams|2022-05-10 21:23:48|只看此ID
有人在再怎么也能换个live u盘起来再搞一次吧，比没人还是可靠多了。

话说这种调试启动脚本的事情，我还没有一次搞成过，所以后来我都习惯在虚拟机上
了，否则太痛苦。

【在 lvsoft 的大作中提到: 】
: 标题: Re: iptables的SNAT问题
: 发信站: 水木社区 (Tue May 10 14:46:20 2022), 站内
:
: 我曾经远程连到主机上，然后让人在现场插根u盘，把主机的整个系统丢到u盘再整体pivot_root过去。
: 然后重启所有服务（包括ssh），把主机的root分区释放掉，然后把root分区抹掉，然后调整分区，配个dmcrypt，弄好再把u盘的系统搬回去，再pivot_root回来，修好所有引导项，然后双手合十reboot...
:
: 如果出问题就是我要跑现场了，所以当时我每一步都非常的谨慎小心。
: 好在没出问题～
:
: 【在 DreamDreams 的大作中提到: 】
: : 折腾路由的酸爽就在此了，一旦翻车就傻眼，你这还在本地，想象一下远程就更酸爽了。
: : 我现在干脆买了个j4125小主机，上面跑软路由，一主一备，以防万一。
: : 要折腾就再开一个虚拟机跑，跑好了再上到主路由上，备份的雷打不动。
: : ...................
:
: --
:
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 180.111.24.*]
--
FROM 114.241.14.155