Navigace:Skyluke ⇒ Zápisník ⇒ Zkáza: Windows XP a pomalá Samba

Zkáza: Windows XP a pomalá Samba

Zkáza: Windows XP a pomalá Samba Představte si, že kdybyste chtěli letět do Londýna, počítačový systém by

Zkáza: Windows XP a pomalá Samba

Představte si, že kdybyste chtěli letět do Londýna, počítačový systém by ověřoval, zda-li je možné letět na Severní pól. Zdá se vám to padlé na hlavu? Microsoft pravděpodobně ne, protože jeho systém se přesně takhle chová.

Jak to začalo?

Jednoho krásného letního dne po různých nastaveních serverů došlo ke znatelnému zpomalení přístupu k síťovým diskům. Proto jsem se rozhodl vrátit nazpět konfiguraci serveru Samba (linux démon pro sdílení zdrojů SMB, nebo-li CIFS), ale požadovaný výsledek se nedostavil. Připojování k síťovým diskům bylo stále stejně pomalé a neefektivní.

Jak to pokračovalo?

Následovali stížnosti uživatelů, vedení společnosti a hádky o tom co komu funguje a co ne. Vedení se pokusilo dát příkaz, že vše musí téže den fungovat, logicky se to nedalo splnit, protože jsem stále neměl ani potuchy, proč na nějakých počítačích v nějakou dobu u nějakých dokumentů běží sdílený síťový disk neskutečně pomalu.

Řešení přišlo z čista jasna

Po dvou týdnech usilovného pátrání, nastudování kompletní dokumentace k démonu Samba, pochopení celého protokolu SMB jsem stále nebyl schopen nalézt žádné řešení. Až nakonec jsem se dočetl o záhadné službě WebClient (Webový klient), která ověřuje, zda-li je možno se připojit k serveru na port 80. V tu chvíli se mi velmi rychle vybavila doba, jak jsem na serveru tento port zablokoval, protože všichni naši uživatelé přistupují přes proxy server, a tak neexistoval důvod nechávat jej otevřený.

Bohužel mě nenapadlo, že inteligentní Windows XP budou čekat při přístupu k portům 135-139 na odpověď z portu 80. Proto se pravidlo v IP Tables DROP (zahazuje pakety) ukázalo jako zcela nevhodné. Ano, měl jsem tam rovnou dát pravidlo REJECT (správně ukončuje spojení), ale koho by napadlo, že při přístupu k síťovému disku Windows XP ověřují funkci webového serveru.

Původní pravidlo v IP Tables

iptables –A INPUT –p tcp –dport 80 –j DROP

Správné pravidlo v IP Tables

iptables -A INPUT -p tcp --syn --dport 80 -j REJECT --reject-with tcp-reset

Ověření řešení

Abych svoji teorii ověřil, přidal jsem do IP Tables řádek pro zaznamenávání spojení, a co byste řekli, že jsem se dozvěděl po dnu provozu? Samozřejmě, že počítače s nastaveným proxy serverem se z nějakého neznámého důvodu pokouší připojit na port 80.

[root@db root]# dmesg | tail IPTABLES INPUT 80 WWW: IN=eth0 OUT= MAC=00:10:dc:4b:d4:88:13:04:61:48:2c:fd:08:20 SRC=192.168.1.15 DST=192.168.1.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=16332 DF PROTO=TCP SPT=1492 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 IPTABLES INPUT 80 WWW: IN=eth0 OUT= MAC=00:10:dc:4b:d4:88:13:04:61:48:2c:fd:08:20 SRC=192.168.1.15 DST=192.168.1.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=19535 DF PROTO=TCP SPT=1535 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 … [root@db root]#

Pozn. autora.: MAC i IP adresy byly změněny.

---

Kometáře

Související články

• Zkáza: Windows XP a pomalá Samba
• Jak se dá přizpůsobit Windows Mobile
• Jak to vypadá s Windows Mobile?
• Ihned aktualizujte Windows
• Proč mít legální Windows

240x400 flash aplikace star wars online cz dabing vložení brushe do photoshopu zvětšení písma na internetu hry na mobilu češtiny čestina do hry star wars clone wars posilANI SMS pres pc z htc tapety kubuntu textový editor pro mobily závist mezi