[OT] smerovani UDP paketu

Slavomir Skopalik skopalik na elektlabs.cz
Středa Březen 12 08:58:55 CET 2025 

Pro test si muzete pridat nejaky hloupy switch mezi kameru a ten velky a 
do nej dat krome kamery i cilove zarizeni.

Nicmene, z popisu problemu bych si overil, ze neni kolize MAC adress.

Dalsi moznost je si tam dat mikrotik, nebo PC a odchytit cely paket a 
podivat se, co presne v nem je (odkud jde a kam smeruje jak na Eth 
vrstve, tak IP vrstve).

Slavek

Ing. Slavomir Skopalik
Executive Head
Elekt Labs s.r.o.
MASA - Collection and evaluation of data from machines and laboratories
http://eng.elektlabs.com/products-and-services/masa
-----------------------------------------------------------------
Address:
Elekt Labs s.r.o.
Chaloupky 158
783 72 Velky Tynec
Czech Republic
---------------------------------------------------------------
Mobile: +420 724 207 851
skype:skopaliks
e-mail:skopalik na elektlabs.com
http://www.elektlabs.com

On 12.03.25 06:41, Jaroslav Buchta wrote:
> Tohle asi nebude ono, je to switch na vyrobni lince ktery tam 
> pouzivaji vsude a ma snad 100+ zasuvek
> To by mel posilat UDP vzdycky na vsechny nebo to muze mit nejakou 
> "inteligenci" a naucit se, odkud kam co chodi. Je to totiz uplne 
> jednosmerna komunikace, kamera vzdycky jen posle kratka UDP data po 
> mereni. Ale na NTB byl konfiguracni program kamery, ktery s ni 
> komunikoval asi TCP nebo i UDP intenzivne a druhe PC na lince melo 
> jenom prijimat UDP z kamery.
> Prislo by mi mozne, ze switch zjistil, kdo s kamerou mohutne 
> komunikuje a UDP posilal jen tam, zvlast, kdyz ho nezajimaji IP 
> adresy. A jestli by treba pomohlo z toho PC pred ocekavanymi daty 
> poslat na kameru nejaky nevyznamny UDP paket, aby switch pochopil, ze 
> tahle zasuvka taky s kamerou komunikuje...
>
>
> Dne 11.03.2025 v 22:21 Pavel Kořenský napsal(a):
>> Zdravím,
>>
>> možná budu opakovat notoricky známou věc, ale přesto.
>>
>> 1. Switch je zařízení, které pracuje na 2. vrstvě. Určující věcí pro 
>> to co a kam switch posílá je MAC adresa.
>> 2. UDP je protokol pracující na třetí vrstvě a určující věcí pro to 
>> co a kam se posílá je IP adresa.
>>
>> Ergo, buď ten velký switch není jenom switch, ale i router (3. 
>> vrstva) a může být problém tam. Nebo je ten switch pouze switch a v 
>> tom případě nerozlišuje mezi TCP a UDP.
>> Pokud UDP někde nechodí, tak podle mých celoživotních zkušeností je 
>> problém někde na firewallu. Zejména tedy ve velkých sítích. Často to 
>> vzniká tím, že v soupisu pravidel má network admin na konci "Deny 
>> All" a v pravidlech před tím povoluje jen TCP. Nebo má nějakou službu 
>> definovanou jako "TCP only". Nebo napíše pravidlo tak, že sice 
>> zahrnuje UDP i TCP, ale platí jen jedním směrem a zapomíná na to, že 
>> zrovna UDP je "connection-less" takže firewall si fakt nedá dohromady 
>> to, že když pravidlo platí jedním směrem, tak má platit i opačně. V 
>> tom se u moderní "statefull" firewallů často chybuje. Admin napíše 
>> pravidlo, správně nastaví povolení TCP i UDP, pomocí telnetu na 
>> cílovou adresu ověří, že pravidlo funguje. Jenže už mu nedocvakne, že 
>> pro TCP si ten firewall sám doplní, že komunikaci má povolit 
>> obousměrně, ale pro UDP nikoli.
>> Tahle chyba se dá celkem snadno odhalit podle logu na firewallu, když 
>> zapneme logování zařezávaných packetů.Pokud tam vidíme, že firewall 
>> pustil UDP jedním směrem, ale nepustil odpověď zpět, tak jsou špatně 
>> pravidla. Pokud to firewall pouští z obou stran, bývá chyba na 
>> koncovém bodu, což je u Windows ten jejich interní firewall a u 
>> Linuxu iptables nebo nějaký ekvivalent.
>>
>> Zdraví PavelK
>>
>> Dne 11.03.2025 v 16:20 Jaroslav Buchta napsal(a):
>>> Narazil jsem zase na problem s UDP, do switche (velkeho, asi 
>>> managovatelneho, typ mohu zjistit) v jedne velke firme je pripojena 
>>> kamera a PC s Win11. Kdyz tam jsem, pripojuju se notebookem, vsechno 
>>> ma pevne adresy, zadne DHCP (to muze byt 1. pricina problemu? )
>>>
>>> UDP nekdy prochazi, nekdy ne, jedna se o prenos nejakych malych dat 
>>> z kamery do PC. Treba do notebooku mi to chodilo cely pulden 
>>> vzorove, do PC pak nic, zkousel jsem to i hercules terminalem, z PC 
>>> do NTB to chodilo spolehlive, obracene jen nekdy, mozna kdyz jsem 
>>> neco odeslal obracene.
>>>
>>> Skoro se mi zda, ze to nejak blokuje ten switch, je to mozne? Jak 
>>> vlastne urci, kam to posilat? Firewall jsem zkousel nakonfigurovat i 
>>> vypnout, tim to asi nebude. Nebo je nejaka skryta zakernost ve Win11 
>>> ? Jinde tam ty aplickace chodi na Win10 a nebyl s tim problem.
>>>
>>> _______________________________________________
>>> HW-list mailing list  -  sponsored by www.HW.cz
>>> Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list