prohlížení webu na klientu - "router" posílá serveru ICMP Not reachable

Dobrý den, zprovoznil jsem linuxový router, který je připojen do  "do internetu" *** (sítě ven) a zároveň se na něj připojit přes wifi (v režimu master-hostpad), je routováno přes net.ip...forward=1. Použit je dnsmasq (-b -D alias --bogus-priv --domain-needed --stop-dns--rebind)

Wwebové stránky HTTP i HTTPS se v pohodě načítají. no problem. Jenže sám linuxový router někdy cílovému serveru posílá ICMP pakety Not reachable (source: ip adresa  linux.routeru na rozhraní do stíě ven 192.168.1.5, destination je IP serveru ). Zkoušeno na víc klientech. Nějak to snad asi může souviset s firewallem. Policy mám accept/accept, a klasické pravidlo pro masquerade (-t nat -A POSTROUTING -i phy0wlan0inner -o wlan phy0wlan1outer -J MASQUERADE) .  Stává se to zhruba po ukončení http spojení a odeslání fin paketů

Samozřejmě jsem na to pustil wireshark(pro vnitřní síť i vnější současně). Na vnitřní síti je vše korektní. Na vnější síti tam po (connection=close) nebo po nějaké době(keepalive timeout) u tcp zakončovacích paketů je toho hodně černého jako retransmision, dup....  a hned poté ty ICMP (tady to asi bude chtít trochu upřesnit, co za pakety nebo důvod označení černě konrétně... doplním... ) ... Ale opakuji prohlížení webu je naprosto OK.


Proč to dělá? Jak se toho zbavit.?



*** onen router používá privántní rozsah (172.16.0 /24 např)pro klienty a proužívá NAT na překlad  (MASQUERADE). Je připojen na další router (192.168.1.1 (/16) , ip např 192.168.1.5) ,který  dělá další NAT  a možná ještě je tam třetí NAT. Tak to je, nejde s tím nic udělat. Nemyslím si že je to příčina , jen to uvádím pro úplnost. Ostatně nikdy jsem si podobného nevšiml když jsem také měl víc natů a sniffoval na jiné síťové situaci .
« Poslední změna: 04. 05. 2020, 14:53:59 od Pivotal »


Tak upřesňuji ty podivné ICMP pakety. ono jich je víc skupin. obojí se odehrává pouze na rozhraní "ven" (192.168.1.5).

směrem z routeru :

 DNS (port 53) dotazy klientů "router" přeposílá na zvolený DNS server na internetu. Na A dotazy přijde v pořádku odpověď. Na AAAA dotazy přichází odpověď Refused, Additional Record Name explanation.invalid a zpráva TXT "blocked by DNS rebinding protection".  Následně na tuto DNS odpověď pošle router ICMP Port not reachable (a kopii paketu DNS odpovědi)
-Proč DNS server posílá tohle? Kde je problém?
-Jak zablokovat, aby se "router" ptal na AAAA dotazy, stejně IPv6 nemám a nepoužívám a mám ho zakázaný.
- Proč se to týká jen DNS AAAA dotazů? a Proč na ně odpovídá? Kde je problém a co s tím?
-Souvisí to nějak s tím, že  dnsmasq  je spuštěn s parametrem --stop-dns-rebind)? Ale nerozumím jak, když  ten text o prevenci dns rebind nejprve přijde v odpovědi.


- ( port  SSL 443) pakety.   - jde o různé pakety HTTPS komunikace, většinou  se to odehraje na pakety vyznačené černě (spurious retransmision,, Dup) nebo s příznaky FIN PSH, ACK., nebo RST,ACK  Vrací Host unreachable. je jich asi 80% ze všech ICMP.

- to samé na Port HTTP (80) -identická situace (až na to že jich není tolik ,HTTPS je častější než HTTP)


Pakety směrem dovnitř:

Nevím jak to možné, ale na notebooku připojeném notebooku k routermjsem si  pustil ivysilání české televize. Proč to píšu, protože mi přišly ICMP pakety z nějakého cdn ČT ICMP Port unreachable na  UDP komunikaci daného ntb mezi porty 137-137..  Co je tohle k sakru zař?


Přitom, všechny weby a ivysílání jdou jak po másle