Jaunty iptables (shorewall) gond?!

Hálózatok általános

Pár napja furcsaságokat kezdett produkálni a szerveren az iptables (shorewall) és nemtudom hova tenni a dolgot.

Először azt hittem a hálókártyával van a gond esetleg, vagy a cisco 2950-es switch vacakolna. De másik gépen is ugyanez történt, se ping, se net.

Teljesen random, amikor jólesik neki hirtelen megszűnik a laptopon a net a szerveren pedig ha épp bevagyok lépve az alábbit látom a syslogban:

May 22 10:17:20 kubuntu kernel: [52731.139400] Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth2 SRC=192.168.xxx.10 DST=74.125.43.18 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=57457 DF PROTO=TCP SPT=2047 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
May 22 10:17:20 kubuntu kernel: [52731.586843] Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth2 SRC=192.168.xxx.10 DST=74.125.43.18 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=57472 DF PROTO=TCP SPT=2047 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0

Tegnap leszedtem a 3.x-es shorewallt és felraktam csomagból a 4-est, de ugyanaz történik.

Ha kilövöm a shorewallt megy a ping és az ssh is a szerverre, ha visszakapcsolom akkor amig olyanja van addig se ping, se ssh se net semmi. Más eszközöket a hálóban simán tudok pingelni.

Aztán van hogy pár perc múlva újra megy minden. Ez mitől lehet illetve miért tilt le a saját tűzfalam egy időre? Esetleg jaunty gond?

  • 1603 megtekintés

( Foltos | 2009. 05. 22., p – 10:44 )

A shorewall csak a kernel beallitasait allitgatja (netfilter?).
Ergo ha a kerneled kergult meg (pl frissitetted) akkor akarmilyen shorewall -lal sem fog maskent menni.

Mas.
Probalj meg olyan szabalyokat berakni amik log -oljak merre mennek a csomagok. Igy ki tudod talalni hol es miert dobja el a kernel. (A shorewall is tud ilyet, de amugy man iptables.)

Foltos

( bugos | 2009. 05. 22., p – 10:46 )

A rendszert intrepidről frissitettem jaunty-ra a kernel viszont ugyanaz a 2.6.29.1 verzió, amit saját magam forgattam és eddig ment rendesen.

( bugos | 2009. 05. 22., p – 18:41 )

Próbaképp kikapcsoltam a maclist opciót a lan adapteren, de érdekes mód a fő gépem jelenleg nem tud netezni lásd a logrészletet:

May 22 18:36:56 kubuntu kernel: [82707.166250] Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth2 SRC=192.168.xxx.10 DST=213.46.246.53 LEN=70 TOS=0x00 PREC=0x00 TTL=127 ID=39671 PROTO=UDP SPT=63057 DPT=53 LEN=50
May 22 18:36:56 kubuntu kernel: [82707.167041] Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth2 SRC=192.168.xxx.10 DST=213.46.246.54 LEN=70 TOS=0x00 PREC=0x00 TTL=127 ID=39672 PROTO=UDP SPT=63057 DPT=53 LEN=50

A laptop amiről irok (ASUS WL500gP routeren wifin csatlakozik ugyanarra a hálózatra) pedig megy rendesen. Ez már egyre érthetetlenebb.

( bugos | 2009. 05. 28., cs – 22:09 )

kb. 5-10 percenként letiltja az ip-met aztán újra engedi. Egyszerüen nem értem, eddig ment rendesen minden (jaunty elött), azóta már felraktam a csomagos shorewall-t (4.0, elötte 3.4.x volt), de teljesen ugyanaz a helyzet. Ráadásul van még egy express card-os gigabit kártyám is, azzal is ugyanezt csinálja, viszont az ugyanezen a hálón levő asus wifi router mögötti másik gépen nem tapasztaltam ilyet. minden gép és eszköz egy cisco 2950-en csatlakozik a szerverhez.

( bugos | 2009. 05. 28., cs – 22:53 )

Van hogy egy hálókábel kihuzás néhány mp-ig majd vissza megoldja a gondot. Érthetetlen hogy miért kap néha INPUT és FORWARD rejectet.

( bugos | 2009. 05. 31., v – 00:36 )

Még mindig nem világos mitől lesz időnként INPUT és FORWARD reject a kliens gépem ipje. A cisco 2950 switch körül lesz valami gond talán, mert ha wifivel (asus wl-500gp + dd-wrt) vagyok fent akkor nem jelentkezik a hiba, bár ő is a switchen lóg. Viszont ha etherneten (alaplapi és express cardos ethernettel is) vagyok fent akkor random időnként letilt a saját szerverem.

hali

a jaunty-hoz adott kernelt (2.6.28) én is felfrissítettem 2.6.30 ra aztan le 2.6.29 re és hasonló problémáim lettek..
teljesen hasonlóan viselkedett.
Sajnos nem tudtam még rájönni mi lehet ez úgyhogy most 2.6.28-at használok, a gyárit amit jauntyhoz kapni és azt újraforgattam, lehet vanilla 2.6.28-al hasonlókat produkálna, arra tippelek valami ubuntus patch van a kernelben amitől iptables megy rendessen 2.6.28 on.

Ha rájösz szólj légyszíves hogy mi lehet a megoldás :)

ja ps: netfilter modulok be vannak kapcsolva kernelben neked ?

Nekem 2.6.29.1 fut. Lehet vissza kéne térni a 2.6.28-11-generic -re. Az kicsit megnyugtat hogy akkor nem a cisco 2950T switch-em kavar be. De ha a wifi routeren keresztül csatlakozok, azon megy a net mindig, ez a fura. És a router is ugyanoda csatlakozik mint a gép etherneten. Az aktuális kapcsolatok nem szoktak megszakadni (éppen folyó letöltés, ssh kapcsolat stb) viszont új kapcsolatokat nem tudok létesíteni az INPUT és FORWARD rejectek miatt. Szóval vszínű valami kernel bug lesz akkor.

most forgatom a 2.6.30-rc7 et tesztelés gyanánt..... átnéztem netfilteres részt elvileg be van kapcsolva minden....most make oldconfig al... kiváncsi vagyok ...találtam pár thread-et erröl a bugrol ... mind a netfilter ...xtables..körül témázik ... még kb 2 óra azt kiderül.

Egész biztos hogy nem a switch-eddel van a gáz, nekem is azt csinalta hogy pingelni se tudtam a routert, érdekes módon a 29 es kernelnél totál levágta a netet ... mintha hálókátya meghalna, 30-as nál meg ha engedélyezek minden traffic-ot akkor ment 1 darabig (kb 1 óra).

Most majd kiderül :/

na 2.6.30-rc7 el most úgy tűnik megy szépen ....

eddig úgy forgattam a kernelt hogy csak siman bemásoltam az éppen használatos kernel .config-ját a /boot-ból az új kernel forrásba.
most make oldconfig-al csináltam (cp /boot/config-$(uname -r) .config && yes "" | make oldconfig) nem tudom hogy ez segített, vagy az rc7-ben van javítás (kétlem mivel 29-es kernel-el sem ment).

iptables-en semmit se álítottam..... szóval valami kernel téma lesz.

nem tudsz valami tippet hogy tudnám megnézni valami gyors parancsal a két kernel konfig közötti külömbséget ?
valami sed vagy perl témára gondolok.

( bugos | 2009. 05. 31., v – 19:56 )

Egyenlőre nekem is úgy tűnik megy rendesen ezzel a jaunty default kernelel. Azóta nem volt tűzfal letiltás. Én .config opciót szoktam választani a kernel forditáskor és ilyenkor make install berakja a .config-ot is a boot dirbe és ha jól sejtem, amikor új kernelt forgatok ezt felolvassa és kipipálja amit csak megadtam benne, és max az új dolgokat kell csak állitgatni.