[OT] smerovani UDP paketu
Jaroslav Buchta
jaroslav.buchta na hascomp.cz
Středa Březen 12 06:41:16 CET 2025
Tohle asi nebude ono, je to switch na vyrobni lince ktery tam pouzivaji
vsude a ma snad 100+ zasuvek
To by mel posilat UDP vzdycky na vsechny nebo to muze mit nejakou
"inteligenci" a naucit se, odkud kam co chodi. Je to totiz uplne
jednosmerna komunikace, kamera vzdycky jen posle kratka UDP data po
mereni. Ale na NTB byl konfiguracni program kamery, ktery s ni
komunikoval asi TCP nebo i UDP intenzivne a druhe PC na lince melo jenom
prijimat UDP z kamery.
Prislo by mi mozne, ze switch zjistil, kdo s kamerou mohutne komunikuje
a UDP posilal jen tam, zvlast, kdyz ho nezajimaji IP adresy. A jestli by
treba pomohlo z toho PC pred ocekavanymi daty poslat na kameru nejaky
nevyznamny UDP paket, aby switch pochopil, ze tahle zasuvka taky s
kamerou komunikuje...
Dne 11.03.2025 v 22:21 Pavel Kořenský napsal(a):
> Zdravím,
>
> možná budu opakovat notoricky známou věc, ale přesto.
>
> 1. Switch je zařízení, které pracuje na 2. vrstvě. Určující věcí pro
> to co a kam switch posílá je MAC adresa.
> 2. UDP je protokol pracující na třetí vrstvě a určující věcí pro to co
> a kam se posílá je IP adresa.
>
> Ergo, buď ten velký switch není jenom switch, ale i router (3. vrstva)
> a může být problém tam. Nebo je ten switch pouze switch a v tom
> případě nerozlišuje mezi TCP a UDP.
> Pokud UDP někde nechodí, tak podle mých celoživotních zkušeností je
> problém někde na firewallu. Zejména tedy ve velkých sítích. Často to
> vzniká tím, že v soupisu pravidel má network admin na konci "Deny All"
> a v pravidlech před tím povoluje jen TCP. Nebo má nějakou službu
> definovanou jako "TCP only". Nebo napíše pravidlo tak, že sice
> zahrnuje UDP i TCP, ale platí jen jedním směrem a zapomíná na to, že
> zrovna UDP je "connection-less" takže firewall si fakt nedá dohromady
> to, že když pravidlo platí jedním směrem, tak má platit i opačně. V
> tom se u moderní "statefull" firewallů často chybuje. Admin napíše
> pravidlo, správně nastaví povolení TCP i UDP, pomocí telnetu na
> cílovou adresu ověří, že pravidlo funguje. Jenže už mu nedocvakne, že
> pro TCP si ten firewall sám doplní, že komunikaci má povolit
> obousměrně, ale pro UDP nikoli.
> Tahle chyba se dá celkem snadno odhalit podle logu na firewallu, když
> zapneme logování zařezávaných packetů.Pokud tam vidíme, že firewall
> pustil UDP jedním směrem, ale nepustil odpověď zpět, tak jsou špatně
> pravidla. Pokud to firewall pouští z obou stran, bývá chyba na
> koncovém bodu, což je u Windows ten jejich interní firewall a u Linuxu
> iptables nebo nějaký ekvivalent.
>
> Zdraví PavelK
>
> Dne 11.03.2025 v 16:20 Jaroslav Buchta napsal(a):
>> Narazil jsem zase na problem s UDP, do switche (velkeho, asi
>> managovatelneho, typ mohu zjistit) v jedne velke firme je pripojena
>> kamera a PC s Win11. Kdyz tam jsem, pripojuju se notebookem, vsechno
>> ma pevne adresy, zadne DHCP (to muze byt 1. pricina problemu? )
>>
>> UDP nekdy prochazi, nekdy ne, jedna se o prenos nejakych malych dat z
>> kamery do PC. Treba do notebooku mi to chodilo cely pulden vzorove,
>> do PC pak nic, zkousel jsem to i hercules terminalem, z PC do NTB to
>> chodilo spolehlive, obracene jen nekdy, mozna kdyz jsem neco odeslal
>> obracene.
>>
>> Skoro se mi zda, ze to nejak blokuje ten switch, je to mozne? Jak
>> vlastne urci, kam to posilat? Firewall jsem zkousel nakonfigurovat i
>> vypnout, tim to asi nebude. Nebo je nejaka skryta zakernost ve Win11
>> ? Jinde tam ty aplickace chodi na Win10 a nebyl s tim problem.
>>
>> _______________________________________________
>> HW-list mailing list - sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
Další informace o konferenci Hw-list