alháló probléma

Linux-kezdő

alháló probléma

  • 596 megtekintés

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 15:26 )

[quote:83e3484d06="bog"]ip_forward szerintem oké (1).

Inetrnetezni mindenki tud, a szerveren futó alkalmazásokat (samba, ftp) mindenki látja.

Ha proxy-n keresztul netezel ami a szeveren van, akkor tipikusan azt irad le, amikor _csak_ a ofrward nem mukodik, minden mas OK.
Ha nincs forwrd, attol meg a szerver minden IP cime valaszol. kifele nem megy csomag a masik halokartyan.
tcpdump mit mond?

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 15:38 )

Proxy az nincs a szerveren. Sajnos nem tudom pontosan mit kellene látni a tcpdump-ban. Az alábbit akkor adja, amikor 192.168.1.20-ról próbálom pingelni 192.168.0.30-at (ez volna az egyes.local):

15:33:27.558616 192.168.1.20 > egyes.local: icmp: echo request
15:33:32.981629 192.168.1.20 > egyes.local: icmp: echo request
15:33:37.987169 192.168.1.20 > egyes.local: icmp: echo request
15:33:42.992698 192.168.1.20 > egyes.local: icmp: echo request

( popacsek | 2004. 05. 26., sze – 15:54 )

Bár nem tudom mik azok a forward_int és forward_ext target-ek,
de ha az amire tippelek, akkor nem forward-al van a gond. Viszont más ötletem nincs.

( andrej_ v | 2004. 05. 28., p – 01:09 )

[quote:5b16642640="bog"]Itt lesz a probléma!

Flush-oltam a láncokat, ahogy javasoltatott, minden policy-t accept-ra állítottam. Megy a ping mindenhonnan mindenhova. Tehát nyálazhatom végig a láncokat, hogy korábban mi nem klappolt.

Köszönöm mindenkinek a segítséget!

Javaslom, szep sorjaban tegyel fel rule-okat. :)

( Névtelen (nem ellenőrzött) | 2004. 05. 28., p – 09:14 )

Ha csak a FORWARD chain-t ürítem ki és állítom a policy-t ACCEPT-ra, akkor minden működik. E szerint elképzelhető, hogy csak itt kellene beállítani egy megfelelő szabályt?

( pete | 2004. 05. 28., p – 11:09 )

Kérdésedben a válasz :)
Igen, nagyon valószínű.

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 18:22 )

Ugy tudom, ha az iptablesben nem defaultban "mindenki tiltott", akkor nem kell semmilyen szabályt felállítanod ahhoz, hogy a felhasználóid lássák egymást. Pl.: Ha mindenki a saját IP címével mehet kifelé (NAT sem kell), akkor kell egy jó route tábla-táblák és mindenki mehet amerre lát. Persze en nagyon nem biztonságos...::)

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 20:16 )

Ja persze az echo 1 > /proc/....sor kell, és az iptables "0 0 DROP all -- any any anywhere anywhere" sora elég gáz...

( andrej_ v | 2004. 05. 26., sze – 20:37 )

[quote:7c963da3a6="bog"]Tisztelt tapasztalt vén rókák!

Adva vagyon egy suse8.2-doboz, amit szerverként (is) használok, benne három hálókártya:

eth0: 192.168.0.1/255.255.255.0 -> egyik alhálózat
eth1: 192.168.1.1/255.255.255.0 -> másik alhálózat
(eth2: 192.168.2.1 -> internet)

A gondom az, hogy a különböző alhálókon lévő kliensek nem tudják pingelni egymást. Viszont simán megpingelem mondjuk 192.168.1.20-ról 192.168.0.1-et és 192.168.0.30-ról 192.168.1.1-et. Ez normális? Valami ötlet, hogy minek nézzek utána?

A válaszokat előre is köszönöm!

route mit mond? elvileg elpkepzelheto hogy automatice nem routolja jo iranyba a csomagokat, es kipakolja netre ha az a default gw. (pl: 0.0.0.0/0 ppp0) Ha ez a hejzet, akkor egy szep uj route szabalyt felteszel es jo lesz elvileg.

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 22:02 )

Na szóval...

A iptables gázosnak mondott sorát eltüntettem. Sajna ettől nem gyógyult meg a dolog.
Ide teszem a route-ot, hátha nektek nyilvánvaló, ami nekem elkerülte a figyelmemet:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
145.236.225.140 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 145.236.225.140 0.0.0.0 UG 0 0 0 ppp0

( pete | 2004. 05. 26., sze – 23:56 )

próbáld meg esetleg, hogy kiüríted az összes láncot, minden policy-t acceptra teszel és úgy pingelsz. A desktopokon használhatsz etherealt is, szép grafikus csomagelemző.

A teszt idejére érdemes kikapcsolni a netet - én egyszer egy smb szerveren vettem le a tűzfalat pár órára és elbortzadtam, mikor egy jó hónappal később rákukkantottam a samba logokra (debug módban maradt)

( Névtelen (nem ellenőrzött) | 2004. 05. 27., cs – 00:12 )

Itt lesz a probléma!

Flush-oltam a láncokat, ahogy javasoltatott, minden policy-t accept-ra állítottam. Megy a ping mindenhonnan mindenhova. Tehát nyálazhatom végig a láncokat, hogy korábban mi nem klappolt.

Köszönöm mindenkinek a segítséget!

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 14:52 )

Tisztelt tapasztalt vén rókák!

Adva vagyon egy suse8.2-doboz, amit szerverként (is) használok, benne három hálókártya:

eth0: 192.168.0.1/255.255.255.0 -> egyik alhálózat
eth1: 192.168.1.1/255.255.255.0 -> másik alhálózat
(eth2: 192.168.2.1 -> internet)

A gondom az, hogy a különböző alhálókon lévő kliensek nem tudják pingelni egymást. Viszont simán megpingelem mondjuk 192.168.1.20-ról 192.168.0.1-et és 192.168.0.30-ról 192.168.1.1-et. Ez normális? Valami ötlet, hogy minek nézzek utána?

A válaszokat előre is köszönöm!

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 14:54 )

[quote:a8c6c89761="bog"]Tisztelt tapasztalt vén rókák!

Adva vagyon egy suse8.2-doboz, amit szerverként (is) használok, benne három hálókártya:

eth0: 192.168.0.1/255.255.255.0 -> egyik alhálózat
eth1: 192.168.1.1/255.255.255.0 -> másik alhálózat
(eth2: 192.168.2.1 -> internet)

A gondom az, hogy a különböző alhálókon lévő kliensek nem tudják pingelni egymást. Viszont simán megpingelem mondjuk 192.168.1.20-ról 192.168.0.1-et és 192.168.0.30-ról 192.168.1.1-et. Ez normális? Valami ötlet, hogy minek nézzek utána?

A válaszokat előre is köszönöm!

ip_forward a te baratod.
echo 1 > /proc/sys/net/ipv4/ip_forward

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 14:59 )

ip_forward szerintem oké (1).

Inetrnetezni mindenki tud, a szerveren futó alkalmazásokat (samba, ftp) mindenki látja.

( popacsek | 2004. 05. 26., sze – 15:03 )

Sztem is forward probléma. iptables-t használsz?
Esetleg próbáld ki ezt, és írd le mit ír ki a köv parancs:
iptables -L FORWARD -v

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 15:09 )

Kösz hogy máris írtatok!

Ha az ip_forward nem működne, akkor is működnének a fönt leírt pingek?

Itt az iptables -L FORWARD -v out-ja:

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 TCPMSS tcp -- any any anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
0 0 ACCEPT all -- eth1 eth1 anywhere anywhere
0 0 ACCEPT all -- eth0 eth0 anywhere anywhere
0 0 ACCEPT all -- ppp0 ppp0 anywhere anywhere
0 0 forward_ext all -- ppp0 any anywhere anywhere
0 0 forward_int all -- eth1 any anywhere anywhere
0 0 forward_int all -- eth0 any anywhere anywhere
0 0 LOG all -- any any anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-ILLEGAL-ROUTING '
0 0 DROP all -- any any anywhere anywhere
0 0 ACCEPT all -- any any anywhere anywhere state NEW,RELATED,ESTABLISHED
0 0 LOG all -- any any anywhere anywhere LOG level warning tcp-options ip-options prefix `SuSE-FW-FORWARD-ERROR '

( arrabonus v | 2004. 05. 26., sze – 15:11 )

[quote:da94620c82="Anonymous"][quote:da94620c82="bog"]Tisztelt tapasztalt vén rókák!

Adva vagyon egy suse8.2-doboz, amit szerverként (is) használok, benne három hálókártya:

eth0: 192.168.0.1/255.255.255.0 -> egyik alhálózat
eth1: 192.168.1.1/255.255.255.0 -> másik alhálózat
(eth2: 192.168.2.1 -> internet)

A gondom az, hogy a különböző alhálókon lévő kliensek nem tudják pingelni egymást. Viszont simán megpingelem mondjuk 192.168.1.20-ról 192.168.0.1-et és 192.168.0.30-ról 192.168.1.1-et. Ez normális? Valami ötlet, hogy minek nézzek utána?

A válaszokat előre is köszönöm!

ip_forward a te baratod.
echo 1 > /proc/sys/net/ipv4/ip_forward

Ugye az egyes szegmenseken lévő gépek default gateway-ként a szerver ugyanazon szegmensen lévő IP címét használják?

( Névtelen (nem ellenőrzött) | 2004. 05. 26., sze – 15:13 )

Igen.

A 192.168.0.x című gépek standard átjárója 192.168.0.1, a 192.168.1.x címűeké pedig 192.168.1.1