2.6 kernel / bridge probléma

Linux-kezdő

2.6 kernel / bridge probléma

  • 667 megtekintés

( laja | 2004. 07. 08., cs – 08:55 )

Üdv!

A problémát röviden nem tudom megnevezni, előre is bocs.

User-Mode Linux segítségével kialakítottam egy kicsi hálózatot, 4 virtuális géppel (+2 fizikai gép). Bridge-ek segítségével tettem ezt. Namost a 2.6-os kernel már jobban odafigyel a hidakra, és megakasztja a csomagjaimat.

Egy példa:

A host gép a fizikai gép, a kalauz gép az a virtuális gép, ahol fut a dns szerver. A hoston létrehoztam egy brkalauz nevű bridge-et (bridge-utils segítségével), egy kalauz0 nevű tun/tap valamit, ami a virtuális gépben eth0-ként funkcionál. A bridge-hez hozzáadott egyetlen interface a kalauz0.

A hálózatban a bridge címe 192.168.2.10, a dns-t futtató virtuális gép címe 192.168.2.1. A hoston úgy van beállítva a routolás, hogy minden 192.168.2.0/24 menjen a bridge felé.
Amikor a helyi hálózat valamelyik gépén megadom a resolv.conf-ban, hogy a 192.168.2.1 legyen a nameserver, akkor működik a névfeloldás.

A Host gépen a csomagszűrőt a shorewall program segítségével állítom be. Itt én azt szerettem volna beállítani (ill. régen ez működött), hogy minden tcp és udp 53-as kérés menjen a 192.168.2.1 gépre. Tehát a rules file-ba ezt írtam:

DNAT all dns:192.168.2.1 tcp 53
DNAT all dns:192.168.2.1 udp 53

----
Eddig a zavaros ismertető, most jön a probléma: Amikor be van állítva, hogy a namserver 192.168.2.1 legyen, akkor jó a névfeloldás. Amikor valami más van beállítva, akkor a host gépen előjön a fenti dnat szabály, és a shorewall a következőt írja:

Shorewall:all2all:REJECT:IN= OUT=eth1 SRC=192.168.2.10 DST=192.168.2.1 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=37826 DF PROTO=UDP SPT=32768 DPT=53 LEN=50

Ez az, ami a 2.4-es kernel csomagszűrőjében nem volt, ott a fenti kérés simán eljutott a 192.168.2.1-hez.

A probléma annyira nem vészes, beállíthatom arra a pár gépre, hogy mi legyen a dns, viszont egy másik gépen viszont squid van, és ott is ugyanez a probléma. Nem akarom a helyi hálózat böngészőit átállítani, hogy használják a proxyt, maradjon csak transzparens.

Szóval, ha tud valaki olyan shorewall beállítást, ami segítségével ezt megoldom, vagy valami más módszert, az írjon:) Annyira nagyon nem szeretnék kézzel iptables/ebtables parancsokat kiadni.

Laja