IPSec - Destination/Peer down - sockets haengen

Florian Lohoff flo at rfc822.org
Fri Jun 19 09:34:40 CEST 2009 

On Thu, Jun 18, 2009 at 07:25:44PM +0200, Jan 'RedBully' Seiffert wrote:
> Im connect fall fuer datagram sockets wird schon mehr gemacht.
> Er konntrolliert denke ich die Route (fuer ENETUNREACH). Und er alloziert einen
> Port (noetig fuer ungebundene Sockets) auf dem interface (connect(2): EAGAIN -
> No more free local ports or ...).

Port wird bei einem "bind" allokiert 

	socket
	bind
	connect

ist der vorgang - Connect macht bei TCP sockets den verbindungsaufbau,
bei Datagram sockets nur das speichern der adresse ...

Und die routingtabelle duerfte er GAR nicht angucken - Ich kann auch nen
ping auf irgendwas machen wenn ich ALLE interfaces runterfahre. Sobald
ich die hochfahre kriege ich antworten ...

> Bei meinem minimalen IPSec use hab ich auch ein On-Demand-Dail verhalten
> festgestellt (Irgend eine Option? keine Ahnung, hab das nur kopiert wegen "damit
> laeuft es"), vielleicht spielt das hier Boese mit. Der Kernel gibt deshalb
> vielleicht nicht sofort einen Fehler zurueck da er erwartet das ja gleich eine
> Verbindung da ist.

Eben - Ich nutze racoon-tool was ja quasi auch ein on demand setup macht -
Trotzdem sollte das anhand eines Paketes und nicht des sockets passieren ...

> -v
> Tod im Sinne von kill/Prozess ende oder Tod im Sinne von haengt?

Die haengen alle die prozesse - Ich kann die alle prima mit kill -9 killen
aber named, ping/fping von mon haengen, munin connection attempts haengen

> Bei ersterem ist die Frage was das ausloest.
> Letzteres ist nur programmatisch zu loesen in dem man allen Programmen beibringt
>  nicht ewig zu blocken damit die Ausfuehrung nicht zum Stillstand kommt
> (nonblocking-multiplexing, fuer connect & tcp mag das noch gehen, fuer
> send/sendto ist das bei datagram sockets kontraproduktiv, denn du moechtest
> meist keine partiellen/fragmentierten Datagramme schicken).

Nicht der send/sendto haengt sondern der connect - und das auf datagram
sockets - voelliger bullshit ...

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-171-2280134
	Those who would give up a little freedom to get a little 
          security shall soon have neither - Benjamin Franklin
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20090619/61b1fa27/attachment.sig>

More information about the Linux mailing list