Казахтелеком + SSH (казахстанцы, просьба откликнуться)

Если не нашли подходящего форума - задайте вопрос здесь

Модераторы: Art.i, garry

Казахтелеком + SSH (казахстанцы, просьба откликнуться)

Сообщение firehacker » Сб ноя 21, 2015 8:20 am

Есть ли среди клиентов FirstVDS казахстанцы? Надеюсь, что есть.

Итак, вчера (20 ноября примерно в 8:40 утра по UTC+6) я впервые обнаружил, что не могу подключиться по SSH к своему VDS (хостящемуся на FirstVDS). Но сам VDS, по другим призанкам, безусловно работал. Тогда я попытался подключиться к другим серверам (не не имеющим отношения к FirstVDS) — результат тот же. Ни к одному (из 6 серверов) подключиться не могу, хотя они без сомнений работают. Какова вероятность, что сразу на всех машинах упал/отказал sshd? Практически низкая (если только не какая-то страшная уязвимость).

Тогда я попросил друга из России попробовать подключиться по SSH к этим серверам, и оказалось, что все серверы отвечают. И стало ясно, что дело не в sshd, не в серверах, а в провайдере.

Попал я в шелл своего сервера и переконфигурирвал sshd так, чтобы он слушал ещё и на 24 порту, но подключиться по 24 порту тоже не удалось. Тогда я заставил его слушать 45-ый порт и по 45-ому порту уже смог подключиться.

Стало ясно, что блокируется не собственно сам SSH-трафик (с помощью DPI, например), а просто некий диапазон портов. Порты 22, 24 и 25 были попробованы и подключиться по ним не удалось.

Пока я занимался установлением точного диапазона заблокированных портов, блокировка с портов 24 и 25 была снята, так что к этому моменту оказалось, что заблокированы только порты 22 и 23.

Технические детали блокировки — ниже. А пока то, что требуется:

Что требуется?
Если вы живёте в Казахстане и при этом:
  1. Ваш провайдер — Казахтелеком.
  2. Вы пользуетесь услугой Megaline (интернет через ADSL)

Пожалуйста, проверьте, удаётся ли вам подключиться куда-либо по TCP-портам 22 или 23. Например, попробуйте подключиться куда-нибудь по SSH, как наиболее простой вариант — к своему VDS. Сообщите сюда, удалось ли установить соединение (или же вы получили «Connection timed out») и ваш город. Если у вас не Megaline, а ID Net (оптика GPON), то в принципе тоже можете попробовать, но один человек уже проверил, у него никакой блокировки не наблюдается.

Технические детали
Поскольку проблемы наблюдаются только с попытками полкючиться через TCP к портам 22/23, то в первую очередь я попробовал tcptraceroute. В трассировке были нормальные ответы от хопов за пределами казахтелекомовской сети, всех, кроме последнего. Отсюда следовало, что TCP-пакет способен покинуть казахтелекомовскую сеть, но до конечного узла он (на первый взгляд) не доходит.

Тогда на конечном узле (к которому подключаемся) был запущен tcpdump, а на машине, с которой инициировалось подключение, был запущен Wireshark. Вот что выяснилось: Казахтелеком дропает входящие TCP-пакеты, у которых номер порта =22 или =23 (но пропускает исходящие).

Поэтому вся попытка подключения выглядела так: клиент шлёт SYN, сервер получает SYN, сервер шлёт SYN+ACK клиенту, но вот этот SYN+ACK дропается провайдером и клиент SYN+ACK не получает. Клиент пытается послать SYN ещё несколько раз (в целом 3—4 попытки начать TCP handshake делается) и после того, как не получает ни одного SYN+ACK — отваливается по таймауту. Вот и все дела.

P.S. Что-то я боюсь, что целевую аудиторию опроса могу здесь не найти, поскольку сам по себе этот форум (forum.firstvds.ru) Казахтелекомом тоже банится — мне пришлось заходить через прокси. Но всё-таки попробую.
firehacker
 
Сообщений: 2
Зарегистрирован: Чт сен 05, 2013 4:58 pm

Вернуться в Любые вопросы

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2