Pregunta
Tengo un problema raro en ubuntu 8.04, cuando intento cargar una pagina (ej. www.haldhelds.org, www.facebook.com, www.neoteo.com y otras mas) resuelve la direccion pero se queda bloqueado en "Transfiriendo datos desde ...". Otras paginas como www.google.com, www.softwarelibre.org.bo, etc cargan sin problemas. Probe con firefox, epiphany y da lo mismo. Tengo unas cuantas maquinas virtuales (en la misma maquina) con windows o linux y ahi cargan sin problemas.
Respuesta
Causas posibles:
a) modificaste (o alguien como un rootkit) modificó tus parámetros TCP
b) un rootkit te está ocupando puertos
c) firewall/rutas mal configurado/as, por eso una cosa funciona bien y
las otras no
d) es una casualidad que tus máquinas virtuales funcionen bien y la máquina huesped no, es decir que el error sería pérdida de paquetes.
En los casos a, b y c, las soluciones son obvias. En el caso C, puedes hacer un análisis con tethereal/mtr para hallar el foco del problema.
Con las canas que tengo, aprendí y te puedo sugerir que resuelvas el problema por capas. ej,
capa 1 y 2: verifica al 100% que no es un problema de cableado / ruidos;
capa 3, verifica con tracert/mtr que las rutas son correctas;
capa 4, verifica con tethereal / tcpdump que el handhake y las petticiones son apropiadas;
capas 5 y 6, no se aplican en casos de problemas de tráfico
capa 7, verifica que no tienes problemas de aplicaciones, rootkits,virus, navegador, proxy, etc.
Otra respuesta
No estoy seguro, pero quizás ¿sea problema con la autonegociación?
# ethtool -s eth0 speed 100 duplex half autoneg off
Y volvio el problema
La solución solo sirve por un rato, despues vuelve a estar como antes, En general me da la sensación que no puede enviar formularios grandes, pude hacer muchas cosas, pero luego quise mandar codigo por dpaste.com y se quedo, ya lleva 20 minutos leyendo el formulario, luego termino en una pagina en blanco, de ahi en todos los sitios comenzo a pasar lo mismo, no puedo enviar formularios ni usar ajax, otra ves...
Respuesta
¿qué tarjeta de red tienes?
Probá deshabilitando NetworkManager y/o buscando si es un bug del kernel:
http://adf.ly/1eQz4E
Otra respuesta
El problema es muy curioso, solo como un ejemplo, mira mi salida, en el hop 11 tengo 5% de pérdida. Esa suele ser intencional (algunos routers detectan los ping floods y descartan respuestas repetidas). Probablemente puedes tener pérdidas en los hops 1 a 4, es decir, en la misma ciudad donde estás.
# mtr -c 20 -r facebook.com
HOST: xx.padep.org.bo
Loss% Snt Last Avg Best Wrst StDev
1. static-200-105-132-193.acele 0.0% 20 0.8 0.7 0.7 0.8 0.0
2. static-200-105-128-21.aceler 0.0% 20 10.3 13.0 5.1 25.0 4.6
3. static-200-105-128-10.aceler 0.0% 20 25.4 20.7 5.9 26.8
4.9 4. 12.118.175.9 0.0% 20 97.5 104.3 92.4 114.4 5.4
5. cr2.ormfl.ip.att.net 0.0% 20 114.1 121.9 114.1 135.6 5.2
6. cr1.attga.ip.att.net 0.0% 20 128.9 125.0 106.1 157.9 9.8
7. ggr4.attga.ip.att.net 0.0% 20 117.0 155.8 116.7 333.9 67.8
8. 192.205.35.90 0.0% 20 117.5 121.5 107.1 132.7 5.3
9. 64.215.24.182 0.0% 20 177.4 182.2 166.6 245.1 17.0
10. xe-4-0-0.br01.sf2p.tfbnw.net 0.0% 20 177.2 184.4 164.6 247.7 19.1
11. te-6-0.csw05a.sf2p.tfbnw.net 5.0% 20 179.7 187.0 165.2 274.7 22.6
12. www.04.05.sf2p.facebook.com 5.0% 20 190.2 181.6 173.6 190.2 4.7
Y es probable que el problema sea en esta capa o en las 2/1. Lo curioso fue lo de la autonegociación.
Por ejemplo, en mi firewall local hago:
# tethereal host www.padep.org.bo
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
Luego, desde mi PC, hago
telnet www.padep.org.bo 80
Trying 192.168.1.10...Connected to www.padep.org.bo.
Escape character is '^]'.
En el firewall debes ver el triple handshake (SYN, SYN/ACK, ACK, con lo que la conexión TCP está establecida):
0.000000 10.0.0.141 -> 192.168.1.10 TCP 40743 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=10180183 TSER=0 WS=6 0.000521 192.168.1.10 -> 10.0.0.141 TCP http > 40743 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=3049829983 TSER=10180183 WS=4 0.000922 10.0.0.141 -> 192.168.1.10 TCP 40743 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=10180184 TSER=3049829983
Ahora establecida la conexión, nuevamente en mi PC hago:
GET /-estoy pidiendo la página principal, y me debe responder algo como...
script language="JavaScript"
location.href = "www/index.php";
Connection closed by foreign host.-
Eso, para mi propia página. En el Firewall debo ver lo siguiente:-
Mi solicitud: 7.035641 10.0.0.141 -> 192.168.1.10 TCP [TCP segment of a reassembled PDU]-
La respuesta del servidor (la página web que ves arriba, un javascript):
7.036135 192.168.1.10 -10.0.0.141 TCP http
59222 [ACK] Seq=1 Ack=8 Win=5792 Len=0
TSV=3050182569 TSER=10532862 7.036885 192.168.1.10 -> 10.0.0.141 HTTP Continuation or non-HTTP traffic 7.037134 192.168.1.10 -> 10.0.0.141 TCP http > 59222 [FIN, ACK] Seq=81 Ack=8 Win=5792 Len=0 TSV=3050182571 TSER=10532862_
Mi acknowledge y cierre de conexión:
7.037298 10.0.0.141 -> 192.168.1.10 TCP 59222 > http [ACK] Seq=8 Ack=81 Win=5888 Len=0 TSV=10532863 TSER=3050182570 7.037407 10.0.0.141 -> 192.168.1.10 TCP 59222 > http [FIN, ACK] Seq=8 Ack=82 Win=5888 Len=0
TSV=10532863 TSER=3050182571 7.037634 192.168.1.10 -> 10.0.0.141 TCP http > 59222 [ACK] Seq=82 Ack=9 Win=5792 Len=0 TSV=3050182571 TSER=10532863
Te sugiero leer en wikipedia cómo es una conexión TCP, y conociéndola y sabiéndola trazar con tethereal, puedes hallar problemas viendo el comportamiento a bajo nivel de tu conexión.
Aparte de la sugerencia que te dieron, rootkits (rkhunter/chkrootkit), y que no hayas tocado los MANGLE de tu firewall, creería que el problema son los parámetros de conexión de tu TCP, por cómo se comportó la conexión tras un cambio de parámetros de autonegociación. Entonces,puede ser un bug, que afecte a la capa 3, ya sea del kernel, del driver de tu tarjeta, o hasta de tu switch. Talvez con mi ejemplo puedes trazar tus conexiones y ver comportamientos extraños en las conexiones TCP, porejemplo.
Otra respuesta más
Y si bajas la velocidad? Yo tuve un problema así con un cable de 70 mts en un edificio alto, que resolvimos bajando la velocidad a 10mbps...
ethtool -s eth0 speed 10 duplex half autoneg off
Y otra respuesta más
Dudo que sean rootkits, me imagino que mantienes tu sistema parchado yal día?
Sugerencia: Deshabilita el servicio NetworkManager habilita el servicio
de network y configura manualmente.
Sugerencia2: últimas versiones de todos los softwares involucrados en elproblema.
Sugerencia3: habilita el log en los programas involucrados, checa losdel sistema y busca ayuda en google encontrando algo raro.
Y finalmente y aclarando la pregunta
www.google.com funciona sin problemas, pero:
ronald@ROQUENDOMDH02:~$ sudo mtr -c 20 -r google.com> HOST: ROQUENDOMDH02 Loss% Snt Last Avg Best Wrst
StDev
1. 10.31.16.1 0.0% 20 0.4 0.3 0.2 1.2
0.2
2. ??? 100.0 20 0.0 0.0 0.0 0.0
0.0
ronald@ROQUENDOMDH02:~$ sudo mtr -c 20 -r facebook.com
HOST: ROQUENDOMDH02 Loss% Snt Last Avg Best Wrst
StDev
1. 10.31.16.1 0.0% 20 0.3 0.3 0.2 0.4
0.0
2. ??? 100.0 20 0.0 0.0 0.0 0.0
0.0
Ultima respuesta
Eso está horrible!!! Claramente es un problema de capa 3 - ruteo - que no puede resolver tu gateway. También me huele a DNS phishing -técnica muy común de robar passwords, a la que los administradores tenemos fácil acceso-. Un servidor DNS/windows con virus en la cercanía? un script-kiddie en tu ISP? Resuelve este problema cuanto antes! La salida que debes obtener desde una conexión AXS, por ejemplo debería ser:
# mtr -c 20 -r google.comHOST: xx.padep.org.bo
Loss% Snt Last Avg Best Wrst StDev
1. static-200-105-153-137.acele 0.0% 20 88.8 93.8 0.4 541.8 153.3
2. 192.168.3.137 5.0% 20 320.6 702.7 199.2 1485. 375.3
3. static-200-105-128-3.acelera 5.0% 20 255.9 732.5 231.7 1371. 310.4
4. sl-st20-mia-8-5.sprintlink.n 5.0% 20 815.0 805.9 380.8 1407. 277.2
5. 144.232.18.231 5.0% 20 748.7 798.2 434.9 1395. 278.8
6. sl-crs1-orl-0-15-3-0.sprintl 5.0% 20 682.5 816.4 369.2 1279. 270.3
7. sl-crs2-ffx-0-12-0-0.sprintl 5.0% 20 708.7 880.9 341.2 1521. 306.3
8. sl-crs2-dc-0-5-3-0.sprintlin 5.0% 20 642.7 779.5 356.4 1420. 295.1
9. sl-st30-ash-0-8-0-0.sprintli 5.3% 19 1165. 750.9 369.0 1165. 257.3
10. sl-googl11-219203-0.sprintli 5.3% 19 1159. 765.4 302.7 1307. 285.0
11. 216.239.48.108 5.3% 19 1170. 770.2 257.7 1261. 292.5
12. 72.14.238.136 5.3% 19 1128. 723.7 191.7 1187. 292.7
13. 209.85.254.247 5.3% 19 1072. 708.2 232.6 1136. 286.3
14. 209.85.255.194 5.3% 19 1085. 741.7 274.0 1268. 301.8
15. gw-in-f100.google.com 10.5% 19 671.2 888.3 450.9 1325. 266.6