[caiu] Possível filtro L3 TIWS / TATA / LEVEL3
Rafael Lopes
rafael em l0pes.com
Terça Fevereiro 23 16:48:54 BRT 2016
Boa tarde,
Há alguns dias, alguns assinantes estão reportando dificuldade para acesso
à algumas páginas como www.tjba.jus.br, bankline.itau.com.br e outras mais.
Já identificamos que as conexões partindo de alguns prefixos nossos para
estes destinos param em um dos operadores citados (TIWS, TATA, LEVEL3).
Quando mudamos o IP de origem (usando masquerade NAT), o site abre
normalmente. Como exemplo, seguem testes de traceroute para o site
www.tjba.jus.br:
Traceroute com IP 177.21.22.254 sem masquerade NAT
C:\Users\R>tracert www.tjba.jus.br
Rastreando a rota para plutao.tjba.jus.br [200.217.70.40]
com no máximo 30 saltos:
1 1 ms 1 ms <1 ms 253.22.21.177.teletalk.net.br
[177.21.22.253]
2 1 ms 1 ms 1 ms 177.21.1.81.teletalk.net.br [177.21.1.81]
3 107 ms 60 ms 38 ms 13.0.21.177.teletalk.net.br [177.21.0.13]
4 2 ms 1 ms 1 ms
xe-1-2-0-0-grtssatw1.net.telefonicaglobalsolutions.com [176.52.253.48]
5 20 ms 20 ms 21 ms 94.142.97.17
6 87 ms 86 ms 86 ms
te0-6-0-3-grtmiana4.red.telefonica-wholesale.net [94.142.127.74]
7 86 ms 86 ms 86 ms ix-1-0-3-0.tcore1.MLN-Miami.as6453.net
[63.243.152.141]
8 * * * Esgotado o tempo limite do pedido.
9 * * * Esgotado o tempo limite do pedido.
10 * * * Esgotado o tempo limite do pedido.
11 * * * Esgotado o tempo limite do pedido.
12 * * * Esgotado o tempo limite do pedido.
13 * * * Esgotado o tempo limite do pedido.
14 * * * Esgotado o tempo limite do pedido.
15 * * * Esgotado o tempo limite do pedido.
16 ^C
C:\Users\R>
Traceroute com IP 177.21.22.254 usando masquerade NAT (177.21.1.82)
C:\Users\R>tracert www.tjba.jus.br
Rastreando a rota para plutao.tjba.jus.br [200.217.70.40]
com no máximo 30 saltos:
1 1 ms <1 ms 1 ms 253.22.21.177.teletalk.net.br
[177.21.22.253]
2 1 ms 1 ms 1 ms 177.21.1.81.teletalk.net.br [177.21.1.81]
3 72 ms 69 ms 49 ms 13.0.21.177.teletalk.net.br [177.21.0.13]
4 2 ms 2 ms 1 ms
xe-1-2-0-0-grtssatw1.net.telefonicaglobalsolutions.com [176.52.253.48]
5 20 ms 19 ms 19 ms
xe1-1-1-0-grafortw2.net.telefonicaglobalsolutions.com [84.16.14.105]
6 87 ms 87 ms 87 ms
te-0-7-0-3-grtmiana4.red.telefonica-wholesale.net [176.52.250.246]
7 86 ms 86 ms 87 ms ix-1-3-5-0.tcore1.MLN-Miami.as6453.net
[63.243.152.49]
8 115 ms 120 ms 113 ms 63.243.152.130
9 * 133 ms 124 ms 100.122.20.2
10 134 ms 129 ms 128 ms 100.122.20.123
11 125 ms 127 ms * 200-164-47-132.host.telemar.net.br
[200.164.47.132]
12 137 ms 155 ms 144 ms 200-164-47-130.host.telemar.net.br
[200.164.47.130]
13 134 ms 133 ms 130 ms 200.223.46.246
14 135 ms 154 ms 151 ms 187.12.11.74
15 * * * Esgotado o tempo limite do pedido.
16 * 151 ms 149 ms 187.12.11.74
17 * * * Esgotado o tempo limite do pedido.
18 * * * Esgotado o tempo limite do pedido.
19 * * * Esgotado o tempo limite do pedido.
20 * * * Esgotado o tempo limite do pedido.
21 * * * Esgotado o tempo limite do pedido.
22 * * ^C
C:\Users\R>
Vejam que no primeiro traceroute o pacote vai até o host 63.243.152.141
(AS6453 TATA COMMUNICATIONS) e para. Aparentemente, algum filtro L3 na
TATA, pois basta mudar o IP de origem que conseguimos acesso aos sites.
Provisoriamente, estamos fazendo NAT das conexões para os destinos com
problema.
Enviamos um e-mail para a TATA mas eles reportam que só dão suporte para
clientes da operadora e recomendaram encaminhar a solicitação para a TIWS.
Alguém aqui já passou por uma situação parecida ou tem informações que
possam ajudar? Além da TATA, tem alguns destinos que passam pela LEVEL3 e
TIWS, que é onde o pacote "morre".
Att,
--
Rafael Lopes
Teletalk Telecomunicações
AS53242
Mais detalhes sobre a lista de discussão caiu