Я размещаю веб-сайт электронной коммерции для клиента, который внезапно не может получить к нему доступ со своего компьютера. Он может пинговать сервер, он может подключиться по SSH, но не может загрузить веб-сайт в любом браузере, который мы пробовали: IE, Firefox, Chrome, Opera. Другие машины в этом месте могут подключиться нормально. DNS разрешает нормально, прямой доступ с IP-адреса не работает. Используя Wireshark на стороне сервера, я вижу, как поступают запросы, а ответы покидают наш переключатель. Wireshark на стороне клиента не видит ответа.
Пробовал пока:
Я не нахожу в настройках клиентского маршрутизатора ничего, что могло бы заблокировать сайт для этого компьютера. Ему переназначили публичный IP-адрес, и он безуспешно пытался использовать другой частный IP.
Все это, похоже, указывает на вредоносное ПО или установку Windows 7, которая иным образом не работает.
Самое интересное: перенесите машину за пределы офиса к другому Интернет-соединению, и она будет работать нормально. Я никогда не слышал о вредоносных программах, которые отказывали бы возвращать ответы только с одного конкретного сервера и только при работе с определенный публичный IP-адрес конкретное физическое местоположение (публичный IP изменился, без разницы).
По моему опыту, когда причиной является какой-то фильтр, либо все машины за одним соединением будут заблокированы, либо одна машина будет заблокирована за всеми соединениями. Здесь кажется, что ни то, ни другое не применяется.
В чем может быть проблема? Что будем тестировать дальше?
Обновить
Я заметил первоначальное перенаправление на www.
работал до зависания, и что значок проходил. Конечно, оба этих запроса были меньше 1 КБ, и это заставило нас проверить значения MTU на клиенте и сервере. Но почему их изменили?
если клиентский маршрутизатор работает под управлением Linux, убедитесь, что:
1) ICMP заблокирован сайтом или интернет-провайдером
2) клиент использовал PPPOE-соединение
человек iptables:
TCPMSS Эта цель позволяет изменять значение MSS пакетов TCP SYN, чтобы контролировать максимальный размер для этого соединения (обычно ограничивая его MTU исходящего интерфейса минус 40 для IPv4 или 60 для IPv6, соответственно). Конечно, его можно использовать только вместе с -p tcp.
This target is used to overcome criminally braindead ISPs or servers which block "ICMP Fragmentation Needed" or "ICMPv6 Packet Too Big" packets. The symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets: 1. Web browsers connect, then hang with no data received. 2. Small mail works fine, but large emails hang. 3. ssh works fine, but scp hangs after initial handshaking. Workaround: activate this option and add a rule to your firewall con‐ figuration like: iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Однажды у меня была аналогичная проблема с веб-сайтом учетной записи Electronic Arts (мог пинговать, мог получить доступ через FTP, не мог получить доступ через HTTP, другие машины в сети были в порядке), и оказалось, что что-то на маршруте не понравилось RFC1323 отметки времени, которые я включил в какой-то момент.
Пытаться netsh int tcp set global timestamps default
. Если это не сработает, просто взгляните на netsh int tcp show global
или, если вы хотите ядерный вариант, netsh int ip reset
, netsh int tcp reset
, за которым следует netsh winsock reset
и перезагрузка [на этом этапе может потребоваться переустановить сторонние брандмауэры или программное обеспечение для проверки сети].
Вы также можете попробовать http://www.microsoft.com/windows/using/tools/igd/default.mspx , если кажется, что это проблема исключительно в Win7.
Вы также можете попробовать LiveCD - это проще, чем переустановка в качестве шага по устранению неполадок.