СвязьПроект :: Просмотр темы

ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53e2 off:0 ttl:252
p:udp sum:d9ab 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53e6 off:0 ttl:252
p:udp sum:d9a7 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53e7 off:0 ttl:252
p:udp sum:d9a6 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53ea off:0 ttl:252
p:udp sum:d9a3 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53ed off:0 ttl:252
p:udp sum:d9a0 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53f2 off:0 ttl:252
p:udp sum:d99b 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53f5 off:0 ttl:252
p:udp sum:d998 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53f6 off:0 ttl:252
p:udp sum:d997 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53f9 off:0 ttl:252
p:udp sum:d994 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:53fe off:0 ttl:252
p:udp sum:d98f 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:5401 off:0 ttl:252
p:udp sum:d98c 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:5402 off:0 ttl:252
p:udp sum:d98b 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:5405 off:0 ttl:252
p:udp sum:d988 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:540a off:0 ttl:252
p:udp sum:d983 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:540b off:0 ttl:252
p:udp sum:d982 10.29.109.3 --> 10.29.15.230
ICMP I dest unreachable-port sum:45c0 op1:00 op2:00
IP ICMP v:4 hl:5 tos:0 len:60 id:540e off:0 ttl:252
p:udp sum:d97f 10.29.109.3 --> 10.29.15.230

+Limiting icmp unreach response from 353 to 200 packets/sec
+Limiting icmp unreach response from 351 to 200 packets/sec
+Limiting icmp unreach response from 350 to 200 packets/sec
+Limiting icmp unreach response from 355 to 200 packets/sec
+Limiting icmp unreach response from 352 to 200 packets/sec
+Limiting icmp unreach response from 341 to 200 packets/sec
+Limiting icmp unreach response from 363 to 200 packets/sec
+Limiting icmp unreach response from 358 to 200 packets/sec
+Limiting icmp unreach response from 351 to 200 packets/sec
+Limiting icmp unreach response from 353 to 200 packets/sec
+Limiting icmp unreach response from 352 to 200 packets/sec
+Limiting icmp unreach response from 317 to 200 packets/sec
+Limiting icmp unreach response from 316 to 200 packets/sec
+Limiting icmp unreach response from 292 to 200 packets/sec
+Limiting icmp unreach response from 317 to 200 packets/sec
+Limiting icmp unreach response from 284 to 200 packets/sec
+Limiting icmp unreach response from 233 to 200 packets/sec
+Limiting icmp unreach response from 213 to 200 packets/sec
+Limiting icmp unreach response from 224 to 200 packets/sec
+Limiting icmp unreach response from 203 to 200 packets/sec
+Limiting icmp unreach response from 209 to 200 packets/sec
+Limiting icmp unreach response from 210 to 200 packets/sec
+Limiting icmp unreach response from 206 to 200 packets/sec
+Limiting icmp unreach response from 206 to 200 packets/sec
+Limiting icmp unreach response from 212 to 200 packets/sec

voice service voip
minimize-voip-port multiply 1
minimize-voip-port service rtp-udp-listen 16384

Автор:	xyeba [ 07 апр 2011, 05:35 ]
Заголовок сообщения:	AddPac 1100F & Asterisk
AddPac 1100F прошивка 8.30R подключен к астеру по SIPу ... время от времени начинает засирать канал ICMP пакетами ... после ребута АддПака - все приходит в норму, проявляется нечасто, но если вдруг случилось может отожрать этим траффиком до 100кбит от канала ... чем лечить ? 10.29.109.3 - AddPac 10.29.15.230 - Asterisk debug tcp icmp Код: ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53e2 off:0 ttl:252 p:udp sum:d9ab 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53e6 off:0 ttl:252 p:udp sum:d9a7 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53e7 off:0 ttl:252 p:udp sum:d9a6 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53ea off:0 ttl:252 p:udp sum:d9a3 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53ed off:0 ttl:252 p:udp sum:d9a0 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53f2 off:0 ttl:252 p:udp sum:d99b 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53f5 off:0 ttl:252 p:udp sum:d998 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53f6 off:0 ttl:252 p:udp sum:d997 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53f9 off:0 ttl:252 p:udp sum:d994 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:53fe off:0 ttl:252 p:udp sum:d98f 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:5401 off:0 ttl:252 p:udp sum:d98c 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:5402 off:0 ttl:252 p:udp sum:d98b 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:5405 off:0 ttl:252 p:udp sum:d988 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:540a off:0 ttl:252 p:udp sum:d983 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:540b off:0 ttl:252 p:udp sum:d982 10.29.109.3 --> 10.29.15.230 ICMP I dest unreachable-port sum:45c0 op1:00 op2:00 IP ICMP v:4 hl:5 tos:0 len:60 id:540e off:0 ttl:252 p:udp sum:d97f 10.29.109.3 --> 10.29.15.230

Автор:	Yuri [ 07 апр 2011, 06:48 ]
Заголовок сообщения:	Re: AddPac 1100F & Asterisk
Очень похоже на то, что addpac отвечает на подключение извне на порт, на котором не слушает. Это нормальное поведение сетевых устройств.

Автор:	xyeba [ 07 апр 2011, 06:52 ]
Заголовок сообщения:	Re: AddPac 1100F & Asterisk
чем лечить ? не понимаю как выловить это подключение ?

Автор:	Yuri [ 07 апр 2011, 07:21 ]
Заголовок сообщения:	Re: AddPac 1100F & Asterisk
Очевидно, что причины трафика надо искать не на AddPac'е. На шлюзе можно запретить сетевой трафик со всех кроме нужных хостов access-list'ами, например.

Автор:	xyeba [ 07 апр 2011, 10:24 ]
Заголовок сообщения:	Re: AddPac 1100F & Asterisk
Yuri писал(а): Очевидно, что причины трафика надо искать не на AddPac'е. На шлюзе можно запретить сетевой трафик со всех кроме нужных хостов access-list'ами, например. вовсе не очевидно ... изначально эту проблему я заметил именно на хосте с астериском проявлялась она в логах как Код: +Limiting icmp unreach response from 353 to 200 packets/sec +Limiting icmp unreach response from 351 to 200 packets/sec +Limiting icmp unreach response from 350 to 200 packets/sec +Limiting icmp unreach response from 355 to 200 packets/sec +Limiting icmp unreach response from 352 to 200 packets/sec +Limiting icmp unreach response from 341 to 200 packets/sec +Limiting icmp unreach response from 363 to 200 packets/sec +Limiting icmp unreach response from 358 to 200 packets/sec +Limiting icmp unreach response from 351 to 200 packets/sec +Limiting icmp unreach response from 353 to 200 packets/sec +Limiting icmp unreach response from 352 to 200 packets/sec +Limiting icmp unreach response from 317 to 200 packets/sec +Limiting icmp unreach response from 316 to 200 packets/sec +Limiting icmp unreach response from 292 to 200 packets/sec +Limiting icmp unreach response from 317 to 200 packets/sec +Limiting icmp unreach response from 284 to 200 packets/sec +Limiting icmp unreach response from 233 to 200 packets/sec +Limiting icmp unreach response from 213 to 200 packets/sec +Limiting icmp unreach response from 224 to 200 packets/sec +Limiting icmp unreach response from 203 to 200 packets/sec +Limiting icmp unreach response from 209 to 200 packets/sec +Limiting icmp unreach response from 210 to 200 packets/sec +Limiting icmp unreach response from 206 to 200 packets/sec +Limiting icmp unreach response from 206 to 200 packets/sec +Limiting icmp unreach response from 212 to 200 packets/sec далее был взят #tcpdump host 10.29.15.230 and proto ICMP и это указало на то что ICMP пакеты валятся с аддпака .... т.е. обмен ICMP пакетами идет именно между ними

СвязьПроект http://old.xdsl.ru/svpro/

AddPac 1100F & Asterisk http://old.xdsl.ru/svpro/viewtopic.php?f=4&t=2388	Страница 1 из 1

Автор:	Yuri [ 07 апр 2011, 10:56 ]
Заголовок сообщения:	Re: AddPac 1100F & Asterisk
В ответ на подключение к addpac'у на несуществующий порт по udp/tcp протоколу от чего-то в сети. Попробуйте открыть только сигнализацию и rtp-порты и посмотреть будет ли генерить шлюз icmp. Также можно попробывать прошиться http://www.4shared.com/file/fnRApAUB/ap ... 8_30W.html

Автор:	xyeba [ 07 апр 2011, 11:47 ]
Заголовок сообщения:	Re: AddPac 1100F & Asterisk
8.30W уже прошил ... понаблюдаю для начала так ... как на аддпаке можно указать что надо использовать только определенный диапазон портов для RTP ? ибо в противном случае не понятно что брать за диапазон ... астериск шпарит в диапазоне rtpstart=16384 rtpend=32767

Автор:	Yuri [ 07 апр 2011, 12:29 ]
Заголовок сообщения:	Re: AddPac 1100F & Asterisk
Командой show gateway можно посмотреть диапазоны портов. А закрыть входящий трафик файрвольными правилами - access-list'ами.

Автор:	yurikk66 [ 11 апр 2011, 09:59 ]
Заголовок сообщения:	Re: AddPac 1100F & Asterisk
Например, можно сделать так - Код: voice service voip minimize-voip-port multiply 1 minimize-voip-port service rtp-udp-listen 16384 Порты rtp начнуться c 16384 (штук 10). Посмотреть можно командой sh gate

Страница 1 из 1	Часовой пояс: UTC
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/