このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

traceroute通らず このメッセージに返信する
日時: 2007/07/10 23:49
名前: char
URL:
管理者様

tracerouteサイトから当方のサーバにtracerouteをかけると、
ルータの手前で遅延します。
このせいかわかりませんが、ある人からは当方のHPが見られない
という障害が報告されています。

ためしに、centossrv.com宛にtracerouteをかけてみたら、同じ
ような結果になりました。

http://www.force-x.com/test/nph-traceroute.cgi?centossrv.com

Result for centossrv.com:
traceroute to centossrv.com (220.157.174.182), 30 hops max, 40 byte packets
1 210.239.47.1 (210.239.47.1) 0.534 ms 0.814 ms 0.407 ms
2 158.205.189.13 (158.205.189.13) 0.307 ms 0.21 ms 0.177 ms
3 Gi1-8.ta1ag02.idc.jp (158.205.188.105) 0.365 ms 0.311 ms 0.299 ms
4 vlan125.tnhcr01.idc.jp (158.205.224.69) 0.625 ms 0.576 ms 0.565 ms
5 AS4685.ix.jpix.ad.jp (210.171.224.125) 1.162 ms 1.195 ms 0.931 ms
6 tkybi1.asahi-net.or.jp (202.224.32.81) 9.936 ms 1.192 ms 1.224 ms
7 yoknirc.asahi-net.or.jp (202.224.33.149) 2.256 ms 2.373 ms 2.148 ms
8 yoknima.asahi-net.or.jp (124.155.68.69) 2.795 ms 2.833 ms 3.293 ms
9 k162084.ppp.asahi-net.or.jp (218.45.162.84) 8.527 ms 8.382 ms 8.721 ms
10 * * *
11 * * *
12 * * *

ルータの設定の問題であることまで絞り込めました。
おそらく、iptablesの設定かと思われます。

tracerouteはデフォルトでudpのパケットを投げて疎通を確認する
ようですが、そのパケットをiptablesの設定で捨てているのでは
ないかと推測しました。
iptables.shは、設定方法がよくわからないので、こちらのサイト
のものを流用させていただいております。

どこか、影響しそうな設定があれば、教えていただけないでしょうか。

よろしくお願いいたします。
記事編集 編集

Page: | 1 | 2 |

Re: traceroute通らず このメッセージに返信する
日時: 2007/07/11 21:35
名前: よっしー
URL: https://takao.dyndns.org\~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

charさん>
ご質問の趣旨とはあまり関係ありませんが、
上記の

>tracerouteはデフォルトでudpのパケットを投げて疎通を確認するようですが、

の点、tracerouteはpingコマンドの機能を応用したコマンドですので
正確にはudpパケットではなく、OSI参照モデルのネットワーク層
(TCP/IPプロトコルスイートではインターネット層)のIPの機能を
補完するICMPパケットの部類だと思うのですが・・・。(^^;)

本題から逸れて申し訳ありません・・・。

記事編集 編集
Re: traceroute通らず このメッセージに返信する
日時: 2007/07/11 21:47
名前: よっしー
URL: https://takao.dyndns.org\~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

上記ですが、

ここ http://www.atmarkit.co.jp/fnetwork/netcom/traceroute/traceroute.html

を見ると、charさんの仰るようにLinuxではデフォルトではUDPパケットを送信するようですね。
(^^;)まあ、オプションでWindows版のようにICMPパケットに切り替えることも出来るようですが・・・。(^^;)

度々脱線スミマセン・・・。(^^;)
記事編集 編集
Re: traceroute通らず このメッセージに返信する
日時: 2007/07/12 14:20
名前: char
URL:
皆様、コメントありがとうございます。

ISPには、既に聞いていて、
「traceroute -Iで通れば、OKじゃん!
 ルータの設定はサポート範囲外」という
回答でした。

2つのセッションは、マルチホーミング
ではなく、別ネットワーク(別ルータ)
です。

よっしーさん
Windowsのtracertは、ICMPなのですね。
試しにWindowsからtracertしたら、スカッ
と通りました。

で、ISPが言うように、ICMPで通ればOK
だと思うのですが、tracerouteのデフォルト
で通らないことが気持ち悪いので、何とか
したいのです。

iptables.shの設定を1つづつコメントアウト
して確認するしかないかな。
記事編集 編集
Re: traceroute通らず このメッセージに返信する
日時: 2007/07/12 21:42
名前: よっしー
URL: https://takao.dyndns.org\~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

charさん>
プロバイダの方が仰るように世間一般の認識では
tracerouteコマンドは(Windows版のように)ICMP
パケットを応用したコマンド、というのが通説だと
思います。上記スレッドでも書きましたが小生は
むしろLinux版ではデフォルトでUDPパケットを送信、
というのは知りませんでした。(^^;)

大抵のプロバイダ(のサポートの方)はWindowsを
ベースにして話をするでしょうから仰るような回答
が帰って来たのだと思います。

で、本題のiptablesの件ですが、Linux版traceroute
コマンドでUDPパケットが送信される際のポート番号
が解れば、あとはiptables.shに以下のような一文を追加
すれば解決出来るのではないでしょうか?

iptables -A INPUT -p udp --dport (Linux版traceroute
コマンドでUDPパケットが送信される際の宛先ポート番号) -j ACCEPT

それでは・・・。(^o^)
記事編集 編集
Re: traceroute通らず このメッセージに返信する
日時: 2007/07/12 23:01
名前: char
URL:
そうか、逆に許可の設定を追加しなきゃいけないのですね。

> iptables -A INPUT -p udp --dport (Linux版traceroute
> コマンドでUDPパケットが送信される際の宛先ポート番号) -j ACCEPT

ググってみました。
tracerouteが使うポートは、33434〜33499 あたりのようです。
どなたかのサイトからiptablesの設定を見つけました。

iptables -A INPUT -i ppp0 -p udp --dport 33434:33500 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o ppp0 -p udp --sport 33434:33500 -m state --state RELATED -j ACCEPT

試してみようと思います。
-m state --state NEW
-m state --state RELATED
これが何の設定かわかりませんが。

ちょっと、今、iptablesを止めたらsshでリモートログイン
できなくなったので、後日試します。
ただ、iptablesを止めた現在、tracerouteは通ります。

たいへん参考になりました。
ありがとうございました。
記事編集 編集
Re: traceroute通らず このメッセージに返信する
日時: 2007/07/13 12:51
名前: char
URL:
traceroute、通りました。

こちらのサイトご提供のスクリプトでは、
----
iptables -P OUTPUT ACCEPT # 送信はすべて許可
----
になさっているので、
----
# 外部からのtracerouteパケットを許可
iptables -A INPUT -i $PUBLIC_WAN -p udp --dport 33434:33500 -m state --state NEW -j ACCEPT
----
この設定のみ追加すれば、OKでした。

このたびは、ありがとうございました。
記事編集 編集
Re: traceroute通らず このメッセージに返信する
日時: 2007/07/13 22:07
名前: よっしー
URL: https://takao.dyndns.org/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

charさん>
おめでとう御座いました。お役に立てて良かったです。(^o^)
記事編集 編集
オークリー サングラス 店舗 このメッセージに返信する
日時: 2013/07/30(Tue) 22:13
名前: 670628
URL: http://oakleysunglasseshot.tumblr.com/
1日前まで映っていましたが電源が入らなくなりました。液晶の破損はありません。岩手です。査定願います。LC45AE5です。 オークリー サングラス 店舗 http://oakleysunglasseshot.tumblr.com/
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -