ping: operation not permitted
Есть шлюз в инет (инет спутниковый). До некоторого времени все работало отлично (гдето с пол года назад его поставил). Но сейчас такая проблема с сетью:
Перегружаешься. Гдето около дня работает нормально. Потом при пинге чего либо (не обязательно в инете, пробывал и adsl-router пинговать) ping возврашяет сообщение:
ping: operation not permitted
На сколько мне известно, это значит что отказано ещё до посылки пакета. Т.е. проблема непосредственно с этой машиной.
Фаервол пробывал отрубать (все чепочки в ACCEPT).
Соседнюю машину 50 дней не ребутал и все отлично (система одинаковая).
что это может быть? с чем это связано? железо? система?
Железо: корпус с источником питания, материнка, CPU pI-150 Mhz, MEM 32 Mb, hdd 544 Mb, Ethernet RTL-8139, DVB карта SkyStar2 (rev 2.6 d). Больше ничего нет.
Re: ping: operation not permitted
Фаервол пробывал отрубать (все чепочки в ACCEPT).
Энто ещё ни о чём не говорит. Скорее всего что-то типа —icmp-type 8 -j DROP.
Re: ping: operation not permitted
На сколько я знаю, это может быть связано не только с firewall-ом, но и например с кол-вом одновременных соединений, т.е. с переполнением conntrack таблицы. Обычно об этом система сообщает в логах. Помогает увеличение размера таблицы.
Re: ping: operation not permitted
>Обычно об этом система сообщает в логах
Она орёт об этом в консоль 🙂
Re: ping: operation not permitted
Re: ping: operation not permitted
q> Обычно об этом система сообщает в логах. Помогает увеличение размера таблицы.
а где в логах смотреть?
> Она орёт об этом в консоль 🙂
у меня на этой машине не видюхи не моника нет. только по ssh. В такую консоль тоже орать будет?
но во всяком случае ничего не нашел ни в логах ни в конслое (когда удаленно на него захожу).
Re: ping: operation not permitted
Feb 24 10:25:56 sam-gw kernel: printk: 2 messages suppressed.
Feb 24 10:25:56 sam-gw kernel: ip_conntrack: table full, dropping packet.
Feb 24 10:26:01 sam-gw kernel: printk: 3 messages suppressed.
Feb 24 10:26:01 sam-gw kernel: ip_conntrack: table full, dropping packet.
Ич что дальше делать? Как с этой чертовой conntrack таблицей работать?
Re: ping: operation not permitted
и сколько туда записать? у меня там щас 2048.
нет никакого howto никакой доки про все это? про то где как в линухе лучше че настраивать с сетью (я имею такие вещи, которые в /proc/sys/net/ipv4 лежат)
Re: ping: operation not permitted
На самом деле увеличение таблицы имхо не решение проблемы, т.к. это значит о том, что система не может отправить пакет дальше. Увеличенеи таблицы целесообразна при больших нагрузках на сервер, а если у тебя просто пинг не идет — то тут что-то странное (не сталкивался)
Re: ping: operation not permitted
Feb 24 10:25:56 sam-gw kernel: ip_conntrack: table full, dropping packet.
значит таблици не хватает
хотя согласен с тем что просто так увеличивать не стоит. ну будет она больше ну все рвано переполниться.
я увеличил с 2048 до 8192
может есть какие подводные камни, связанные с тем что на этом шлюзе настроен инет спутниковый? Земной GW у меня мой adsl-modem на одном свиче висят. На провайдера (спут.) поднимаю gre-туннел. Дрова для SkyStar2 из ядра (2.6.10).
Может быть машинка слабая, хотя работает вроде как нормально, ниче не тормозит, пока с таблица переполниться. Хотя и когда переполниться то проц не жрет.
Прям щас нашел еще один баг:
своп был отрублен. раньше работал, а щас:
root@sam-gw:/etc/sky# cat /proc/swaps
root@sam-gw:/etc/sky# swapon -a
swapon: /dev/hda2: Invalid argument
пока не сделал mkswap /dev/hda2 так и не подрубался. Может чето было с хародом (с /dev/hda2). Щас подрубился.
ping: sendmsg: Operation not permitted
Коллеги, добрый день, нужен совет в какую сторону копать, есть шлюз (Centos7 3.10.0-514.6.1)
При выполнении ping на определенный адрес, который доступен через vpn (строится с помощью libreswan), получаю данные сообщения, при чем периодически адреса меняются и относятся к разным тоннелям.
В iptables заведомо все верно, не меняя правил, выполняем команду conntrack -F и адрес который был недоступен, чудесным образом начинает работать, а какой нибудь другой валится в эту ошибку.
При этом в dmesg тишина, ошибок нет, за исключением мелочей. В iptables около 300 правил Соединений тоже не так много: net.netfilter.nf_conntrack_count = 23427
Ну попробуйте увеличить hashsize для conntrack.
conntrack -L ничего интерестного не показывает для проблемного ip-адреса?
cat /sys/module/nf_conntrack/parameters/hashsize 65536
такая реакция обычно на «-j DROP» в цепочке OUTPUT.
Нет ли в iptables ограничений по числу соединений типа «-m connlimit», «-m limit» или «-m hashlimit» ?
добрый день, простите за долгий ответ, нет, с такими ключами правил нет.
Operation not permitted — как лечить?
Использую liboping для отправки ICMP пакетов пингования из своей программы. На строке if(ping_host_add(pingobj, host_name.c_str())) break; условие выполняется и пинг не работает 🙁
ping_get_error говорит что «Operation not permitted»
Есть ли способ чтобы на компе пользователю было разрешено слать ICMP пакеты? Правильно ли я понимаю что проблема связана именно с правами оступа для текущего юзера?
ls -l /bin/ping
-rwsr-xr-x 1 root root 34248 Окт 14 2010 /bin/ping
видиш флажок s ?
грубо говоря — простым пользователям это запрешено вообще
а разве liboping работает через /bin/ping?
нет, но сокет оно без повышения привилегий не откроет
а в системных каких-то разрешениях это можно настроить? в группую какую-нибудь добавить или еще что-то сделать? я же могу от пользователя просто ping запустить, а мой софт чем хуже? 🙂
это в принципе можно настроить или обойти каким-либо образом?
Дать вашей программе chown root:wheel, а потом chmod ug+s.
unixforum.org
Форум для пользователей UNIX-подобных систем
OpenVPN: ping: sendmsg: Operation not permitted (Подскажите что не так?)
Модератор: SLEDopit
OpenVPN: ping: sendmsg: Operation not permitted
Сообщение BAF » 11.05.2011 23:50
Доброго времени суток всем.
Вот решил сделать VPN соединение между двумя компами за двумя NAT-ами. В общем так сервер на винде, клиент на Ubuntu, но думаю разницы особой нет.
Ну в общем вот конфиги для начала
Сервер:
Spoiler
Соединение устанавливается, tun интерфейс получает адреса и таблица маршрутизации преобразуется, так как и положено из конфига сервера.
Проблема в следующем: нет пингов и соответственно ничего вообще нет
Spoiler
Re: OpenVPN: ping: sendmsg: Operation not permitted
Сообщение sash-kan » 12.05.2011 01:37
Re: OpenVPN: ping: sendmsg: Operation not permitted
Сообщение BAF » 12.05.2011 08:07
Re: OpenVPN: ping: sendmsg: Operation not permitted
Сообщение sash-kan » 12.05.2011 14:29
Re: OpenVPN: ping: sendmsg: Operation not permitted
Сообщение BAF » 13.05.2011 16:55
В ходе моих испытайний я пришел к выводу, что трафик блокировался по следующим причинам:
1. При установке соединения впн на клиенте открывается udp порты, каждый раз разные, в примерном диапазоне 30000-56000 . А эти порты заблокированны этим фаерволом.
2. Интерфейс tun вообще не причем, в данном случаи.
Выход:
1. Разрешить эти диапазоны портов
2. Указать в настройках клиента кокретный исходящий порт и разрешить именно его.
Второй вариант наиболее выгодный.
Выяснилась другая проблема: При отключнии впн туннеля на стороне клиента (Ubuntu) сервер (Винда) каждые 10 секунд в течении 2 минут отправляет пакеты на клиент, ктр уже отключен. Это нормально так и написано в конфиге. Так вот в течении этого времени можно снова поднять туннель. Но если 2 минуты истекло и попытаться поднять туннель со стороны клиента, то до сервера пакеты не долетают.
Выход: достаточно на клиенте (Ubuntu) сделать выход из сеанса и зайти обратно либо перегрузить комп и туннель снова можно поднимать. Такое чувство, что на клиенте что-то зависает, а что непонятно. Получается все в тему, вопрос по линуксу. Есть у кого какие соображения?