Назад | Перейти на главную страницу

Одна машина заблокирована с одного сервера, и только когда она находится в этом физическом месте?

Я размещаю веб-сайт электронной коммерции для клиента, который внезапно не может получить к нему доступ со своего компьютера. Он может пинговать сервер, он может подключиться по SSH, но не может загрузить веб-сайт в любом браузере, который мы пробовали: IE, Firefox, Chrome, Opera. Другие машины в этом месте могут подключиться нормально. DNS разрешает нормально, прямой доступ с IP-адреса не работает. Используя Wireshark на стороне сервера, я вижу, как поступают запросы, а ответы покидают наш переключатель. Wireshark на стороне клиента не видит ответа.

Пробовал пока:

Я не нахожу в настройках клиентского маршрутизатора ничего, что могло бы заблокировать сайт для этого компьютера. Ему переназначили публичный IP-адрес, и он безуспешно пытался использовать другой частный IP.

Все это, похоже, указывает на вредоносное ПО или установку Windows 7, которая иным образом не работает.

Самое интересное: перенесите машину за пределы офиса к другому Интернет-соединению, и она будет работать нормально. Я никогда не слышал о вредоносных программах, которые отказывали бы возвращать ответы только с одного конкретного сервера и только при работе с определенный публичный IP-адрес конкретное физическое местоположение (публичный IP изменился, без разницы).

По моему опыту, когда причиной является какой-то фильтр, либо все машины за одним соединением будут заблокированы, либо одна машина будет заблокирована за всеми соединениями. Здесь кажется, что ни то, ни другое не применяется.

В чем может быть проблема? Что будем тестировать дальше?

Обновить

Я заметил первоначальное перенаправление на www. работал до зависания, и что значок проходил. Конечно, оба этих запроса были меньше 1 КБ, и это заставило нас проверить значения MTU на клиенте и сервере. Но почему их изменили?

если клиентский маршрутизатор работает под управлением Linux, убедитесь, что:

1) ICMP заблокирован сайтом или интернет-провайдером

2) клиент использовал PPPOE-соединение

человек iptables:

TCPMSS Эта цель позволяет изменять значение MSS пакетов TCP SYN, чтобы контролировать максимальный размер для этого соединения (обычно ограничивая его MTU исходящего интерфейса минус 40 для IPv4 или 60 для IPv6, соответственно). Конечно, его можно использовать только вместе с -p tcp.

   This target is used to overcome criminally braindead  ISPs  or  servers
   which  block  "ICMP  Fragmentation  Needed"  or "ICMPv6 Packet Too Big"
   packets.  The symptoms of this problem are that everything  works  fine
   from  your  Linux  firewall/router,  but  machines  behind it can never
   exchange large packets:

   1.  Web browsers connect, then hang with no data received.

   2.  Small mail works fine, but large emails hang.

   3.  ssh works fine, but scp hangs after initial handshaking.

   Workaround: activate this option and add a rule to your  firewall  con‐
   figuration like:

           iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN
                       -j TCPMSS --clamp-mss-to-pmtu

Однажды у меня была аналогичная проблема с веб-сайтом учетной записи Electronic Arts (мог пинговать, мог получить доступ через FTP, не мог получить доступ через HTTP, другие машины в сети были в порядке), и оказалось, что что-то на маршруте не понравилось RFC1323 отметки времени, которые я включил в какой-то момент.

Пытаться netsh int tcp set global timestamps default. Если это не сработает, просто взгляните на netsh int tcp show global или, если вы хотите ядерный вариант, netsh int ip reset, netsh int tcp reset, за которым следует netsh winsock reset и перезагрузка [на этом этапе может потребоваться переустановить сторонние брандмауэры или программное обеспечение для проверки сети].

Вы также можете попробовать http://www.microsoft.com/windows/using/tools/igd/default.mspx , если кажется, что это проблема исключительно в Win7.

Вы также можете попробовать LiveCD - это проще, чем переустановка в качестве шага по устранению неполадок.