Síťovka blokuje port - může?

Síťovka blokuje port - může?
« kdy: 19. 01. 2021, 00:08:53 »
Ahoj, mám tu Thinkserver TS140 a má zřejmě vadnou integrovanou síťovku. Co je ale divné, že vše funguje normálně kromě portu 5900, který nepropustí dovnitř.
Testovací dIstro Live Mint, porty v něm zavřené, takže na telnet odpovídá Refused na všech portech. Jen 5900 bez odpovědi, paket se ani neobjeví v tcpdump na serveru. Ostatní se objeví a odpoví odmítnutím (5901, 5899 cokoliv)
Druhá síťovka v PCI jede normálně (ten samý kabel přepojený), na 5900 odpoví refused. IP různé.  Karta I217-LM. Bios hozený do defaultu. Víc mě nenapadá.

Otázky: Rozumí síťovka portům? Může být tak dobře odpálená, že nefunguje jeden port? Nebo třeba nějaká serverová feature to blokuje?


Re:Síťovka blokuje port - může?
« Odpověď #1 kdy: 19. 01. 2021, 00:52:43 »
port 5900 je vnc, není v biosu zapnutý něco jako vzdálený přístup? Tenhle systém obsahuje funkci vzdálené správy (myslím, že Intel AMT či něco takového).

Samotné blokování je nepravděpodobné, spíše to někdo "krade".

Re:Síťovka blokuje port - může?
« Odpověď #2 kdy: 19. 01. 2021, 01:02:13 »
Otázky: Rozumí síťovka portům? Může být tak dobře odpálená, že nefunguje jeden port?

Sitovka jako takova rozumi jen IEEE 802.3 ramcum, driver k sitovce muze znat treba 802.1q ramce, ale porty zna vetsinou az IP stack....

Re:Síťovka blokuje port - může?
« Odpověď #3 kdy: 19. 01. 2021, 10:42:32 »
Také jsem sázel na AMT. V BIOSu ale žádné nastavení není. Už se mi to podařilo rozběhat úplným resetem biosu přes jumper, nebo přeflashováním klidně stejnou verzí. Když ale nabootuji do Windows Server, zase se zablokuje. Je to ale img z jiné stanice, která je funkční a normálně běží v produkci. Takže HW problém tam být může?

bmn

Re:Síťovka blokuje port - může?
« Odpověď #4 kdy: 20. 01. 2021, 00:12:36 »
Nepomůže toto?
https://download.lenovo.com/servers/thinkserver_config_amt_ts140_ts440_tr.pdf
Pohrát si s KVM, je tam přímo zmíněno.

Jinak ano, pokud je povoleno KVM, tak AMT port 5900 blokuje.
Viz: https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm?turl=WordDocuments%2Fworkingwithport5900.htm
"By enabling port 5900, all traffic to this port is routed to Intel AMT for KVM processing ... enabling port 5900 for Intel AMT will block traffic to the software server if it also uses port 5900 ..."
« Poslední změna: 20. 01. 2021, 00:14:50 od bmn »


Re:Síťovka blokuje port - může?
« Odpověď #5 kdy: 20. 01. 2021, 00:49:17 »
Sitovka jako takova rozumi jen IEEE 802.3 ramcum, driver k sitovce muze znat treba 802.1q ramce, ale porty zna vetsinou az IP stack....
To není tak úplně pravda, i běžné konzumní síťové adaptéry umějí přinejmenším počítat a ověřovat TCP a UDP checksumy a provádět TSO. Ty chytřejší by pak uměly třeba i tu filtraci podle portů - viz např. "ethtool -N" a "ethtool -X". Tím samozřejmě nechci tvrdit, že tohle je ten případ, jen že představa, že síťovou kartu nezajímá nic za ethernetovou hlavičkou (kromě FCS), je hodně vzdálená realitě.

Re:Síťovka blokuje port - může?
« Odpověď #6 kdy: 25. 01. 2021, 10:35:11 »
Problém se zdá být vyřešen, díky za nasměrování. Problém byl ten, že se někde nastavilo ono filtrování portu 5900 pro AMT. Myslel jsem si, že přehráním img z jiné funkční stanice se to nastaví ok, ale to nestačilo. Resp. stačilo by, kdyby se hned udělal reset biosu, což se neudělal a chybné nastavení se přeneslo dál.
Já ty servery přímo nenastavuji, ale jen mě zajímalo, kde je problém. Takže reset biosu a nesměl se nabootovat původní systém.

Re:Síťovka blokuje port - může?
« Odpověď #7 kdy: 26. 01. 2021, 09:40:21 »
To je celé AMT. Krade pakety na síťovce integrované v south bridgi "postranním kanálem" (sideband). Když si člověk nedejbože usmyslí, že to využije pro remote údržbu, tak to často nefunguje, zejména u neznačkových výrobců motherboardů - ale škodit, to by mu šlo. Vrtá mi hlavou, nakolik je to reálně použitelné jako backdoor pro třípísmenkové agentury, jak se obecně traduje. Mám podezření, že je v tom tolik bugů a principielních omezení, že je to stejně nejspíš k ničemu i v tomto ohledu :-(  Nastavit chudáka první onboard síťovku, aby kradla pakety, to je na celém "lights out managementu" ta nejjednodušší část. Naštěstí se zrovna tohle žádných jiných síťovek *netýká*.
Ghehehe žeby to Intel kamarádům z donucení vytvořil a zároveň naschvál švejkoval údržbu? :-D