Forum Debian Users Gang

ppatrykp · 2006-11-03 01:31:31

witam! po tygodniu przegladania chyba wszystkich juz mozliwych tematów na forum i nei znalezieniu rozwiazania mojego problemu zdecydowalem sie opisać problem z nadzieją na pomoc:)

serverek na debianie ... na któym jest siec LAN (jest i działa) oraz dzielenie połączenia przez IPTABLES (nie działą)

połączenie ze światem

Kod:

eth0
ip 192.168.2.2
maska 255.255.255.0
brama 192.168.2.1

LAN

Kod:

ip 10.10.0.1
maska 255.255.255.0
brama 192.168.2.1

plik dhcpd.conf (przykladowy komputer uzyskuje ip jakie mu przypisuje)

Kod:

subnet 10.10.0.1 netmask 255.255.255.0;
range 10.10.0.2   10.10.0.155;
option routers 10.10.0.1;
option subnet-mask 255.255.255.0;
option broadcast-addres 10.10.0.255;
....

host lapek_1 {
 hardware ethernet 00:16:36:31:B9:83; fixed-address 10.10.0.3;
....
}

zrobiłem tak jak w przykładowym artykule plik /etc/init.d/firewall i w nim umiescilem regolki

Kod:

# wlaczenie w kernelu forwardowania itp
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
echo 340 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#....
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -s 0/0 -d 192.168.2.2 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 192.168.2.2 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 192.168.2.2 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 192.168.2.2 -p udp --dport 22 -j ACCEPT

# zezwolenie nna laczenie sie z naszym wewnetrznym ip po ssh
iptables -A INPUT -s 0/0 -d 10.10.0.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 10.10.0.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 10.10.0.1 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 10.10.0.1 -p udp --dport 22 -j ACCEPT

#odblokowanie pingu
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


# udostepniaie internetu w sieci lokalnej

# dla kompa nr 1 
iptables -t nat -A POSTROUTING -s 10.10.0.3 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:16:36:31:B9:83 -j ACCEPT

plik resolve.conf

Kod:

nameserver 194.204.152.34
nameserver 194.204.159.1

tu natomiast mi się znacznie namieszało i juz sam nei ogarniam co z tym zrobić... polecenie route -n zwraca

Kod:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.10.0.0       0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.2.2     0.0.0.0         UG    0      0        0 eth0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth1
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0
0.0.0.0         10.10.0.1       0.0.0.0         UG    0      0        0 eth1

sytuacja po porstu wygląda tak że komputer(y) w lan nie mają internetu zupełnie .. przynajmnij ani nie pinguja po domenach ani po ip z wszystkim co poza sieciom... strony oczywiscie sie też nie otwierają... :/

bardzo byłbym wdzięczny za wskazanie lub jaką kolwiek podpowiedz..

bercik · 2006-11-03 01:50:20

LAN

Kod:

ip 10.10.0.1
maska 255.255.255.0
brama 192.168.2.1

na wewnetrznym nie ustawiasz routingu domyslnego (bramki) ... po czesci z tego ten dziwny route -n

wylacz tez na serwerze pobieranie adresow z dhcp i wpisz statycznie w /etc/network/interfaces ... bo wyglada ze sam pobiera adres bramki z wlasnego dhcp ...

sprawdz czy koncowka uzyskuje poprawne IP i reszte konfiguracji (bo nie mam pewnosci czy jezeli adres przyznawany w oparciu o mac jest z zakresu range to bedzie to dobrze chodzilo - ja robie je z innej poli ...)

Nickleodeon · 2006-11-03 07:23:52

...
LAN

Kod:

ip 10.10.0.1
maska 255.255.255.0
brama 192.168.2.1

...

no dobra ppatrykp, powiedz ptysiu, jak twoj LAN ma wejsc do innej sieci (w tym przypadku zewnetrznej), w ktorej jest internet? Maska 255.255.255.0 mowi ze masz dostepne tylko 254 adresy IP. Potrzebna twojemu LANowi bramka (gateway) z prawidlowa adresacja IP (np.: 10.10.0.254). A na serwerze juz masz zrobiony nat i forwarding. Nie wnikam w prawidlowosci pozostalych zapisow na serwerze. To wlasnie jako pierwsze uderzylo mnie na samum poczatku.!!!!

Generalnie ja mam w dhcp tak (mozesz wykorzystac :))) )

Kod:

ddns-update-style ad-hoc;
server-identifier MISIEK;
shared-network DHCP {
     option subnet-mask 255.255.255.0;
        authoritative;
        ignore unknown-clients;
     subnet 192.168.1.0 netmask 255.255.255.0 {
        option broadcast-address 192.168.1.255;
        option routers 192.168.1.1;
        option domain-name-servers 194.204.159.1,194.204.152.34,192.168.1.1;
        default-lease-time 21600;
        max-lease-time 43200;
        }

}
host K2 {
hardware ethernet 00:02:xx:xx:xx:xx;
fixed-address 192.168.1.2;
}

Acha, wyp... (przepraszam: wyczysc) ten routin i napisz go po ludzku!!!

ppatrykp · 2006-11-03 10:00:44

oknem na świat dla eth0 jest router ktory podaje mu statyczne ip 192.168.2.2 bramka 198.168.2.1 maska 255.255.255.0 ... podkreslam ze server ma polaczenie z internetem sprawne:) pinguje o ip domenach:)
poprawnie w interfejsie karty do której jest podpiety LAN nie powinno byc bramki? nie wiedzialem o tym...:/

jak masowo oczyścić tablice routingu ... mam tam sporo wpisów.. i na co mam wskazać ją aby było z sensem... ?

bercik · 2006-11-03 12:50:38

poprawnie w interfejsie karty do której jest podpiety LAN nie powinno byc bramki? nie wiedzialem o tym...:/

tak nie powinno ... bramka (router domyslny) okresla adres IP do ktorego maja byc przeslane pakiety nie majace trasy routingu (taka trase zawsze wyznacza ip interfejsu wraz z maska) ... a do karty LANowskiej chcemy wysylac tylko to co idzie na ta podsiec ...

jak masowo oczyścić tablice routingu ... mam tam sporo wpisów.. i na co mam wskazać ją aby było z sensem... ?

problemem sa automatyczne wpisy zwiazane z konfiguracja iterfejsow ... usuwanie

Kod:

ip route delete adres_bramki

jest tez

Kod:

ip route delete table all

ale wbrew pozorm nie usuwa wszystkiego ...

192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

wynika z konfiguracji podsieci w ktorej jest eth0 i router ... powinno byc

10.10.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

wynika z konfiguracji podsieci w ktorej jest eth1 ... powinno byc

0.0.0.0 192.168.2.2 0.0.0.0 UG 0 0 0 eth0

bledne ... nie wiem zkad to sie wzielo (pokaz /etc/network/interfaces)

0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth1

bledne ... jak wyzej ...

0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0

ok

0.0.0.0 10.10.0.1 0.0.0.0 UG 0 0 0 eth1

bledne ... czyzby serwer sluchal swoijego dhcp (wylacz na serwerze klijenta dhcp)

Edit:
czy ten serwer jest jedynym klijentem tego routera 192.168.0.1 lub przynajmniej robienia na nim NATu ... jezeli tak to moze warto zrezygnowac z tego routera (bo dwa NATy to lekka przesada ...)

Edit 2:
sprawdz jeszcze (co pisalem juz powyzej) czy jakas koncowka w LANie uzyskuje poprawna konfiguracje od DHCP z serwera oraz czy ma polaczenie z serwerem (ping)

Nickleodeon · 2006-11-03 13:14:25

oknem na świat dla eth0 jest router ktory podaje mu statyczne ip 192.168.2.2 bramka 198.168.2.1 maska 255.255.255.0 ... podkreslam ze server ma polaczenie z internetem sprawne:) pinguje o ip domenach:)

router(192.168.2.1/24)<===> eth0(192.168.2.2/24)==NAT,FORWARD==eth1(10.10.0.1/24)<==miski_w_LANie

ja ma taki (zmodyfikowany routing):
Kernel IP routing table
Destination............Gateway................Genmask.............Flags...........Metric..........Ref......... ..........Use..........Iface
100.100.166.32.....0.0.0.0................255.255.255.224........U...........0............0................ 0..............eth0
192.168.1.0...........0.0.0.0.................255.255.255.0...........U...........0................0................ 0...............eth1
127.0.0.0...............0.0.0.0.................255.0.0.0..................U..............0.............0............... ...............0...................lo
0.0.0.0...................100.100.166.33.........0.0.0.0...............UG.........0...................... 0.............0...............eth0

Chyba nic dodac nic ujac

ppatrykp · 2006-11-03 22:10:30

poprawiłem (tak mi sie zdaje) tablicę routingu .. teraz wyglada tak

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.255.255.0   U     0      0        0 lo
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

a moj /etc/network/interfaces

Kod:

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.2.2
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
gateway 192.168.2.1

auto eth1
iface eth1 inet static
address 10.10.0.1
netmask 255.255.255.0
network 10.10.0.0
broadcast 10.10.0.255

czy ten serwer jest jedynym klijentem tego routera 192.168.0.1 lub przynajmniej robienia na nim NATu ... jezeli tak to moze warto zrezygnowac z tego routera (bo dwa NATy to lekka przesada ...)

tzn w tej chwili stoi on po prostu u mnie w domu i go konfiguruje poprostu wiec raczej nie moge zrezygnowac z routera..:)

sprawdz jeszcze (co pisalem juz powyzej) czy jakas koncowka w LANie uzyskuje poprawna konfiguracje od DHCP z serwera oraz czy ma polaczenie z serwerem (ping)

sprawdziłem.. komputery dostają ip przez dhcp .. oraz widza server (ping odpowiada)

a problem dalej nie znika ... czy tablica routingu jets już okej?
może jakiś port np dla bind9'a otworzyć na sieć lan? juz naprawde nie wiem

bercik · 2006-11-04 02:51:33

wyglada ok ...

sprawdz ping z hosta w sieci na zewnetrzne ip serwera i na router ...

sproboj moze takze mniej restrykcyjnych regulek NAT:

Kod:

iptables -A FORWARD -i eth0 -s 10.10.10.0/24 -o eth1 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -i eth0 -s 0.0.0.0/0 -o eth1 -d 10.10.10.0/24 -j ACCEPT
iptables -A POSTROUTING -t nat -o eth0 -s 10.10.10.0/24 -d 0.0.0.0/0 -j MASQUERADE

ppatrykp · 2006-11-04 13:56:02

DUŻY krok na przód!:) już miski w lanie pinguja z ip routera a nawet z jego zewnetrznym ip... ale poza dalej nie.... nawet z bramą tego ip nie ...(dziwne)
i tu się pojawia moje pytanie.. ponieważ do testów korzystam z mojego łącza z kablówki ... czy ustawienia sprzętu usługodwacy mogą mieć coś z tym wspólnego?

bercik · 2006-11-04 16:02:34

DUŻY krok na przód!:) już miski w lanie pinguja z ip routera a nawet z jego zewnetrznym ip... ale poza dalej nie.... nawet z bramą tego ip nie ...(dziwne)
i tu się pojawia moje pytanie.. ponieważ do testów korzystam z mojego łącza z kablówki ... czy ustawienia sprzętu usługodwacy mogą mieć coś z tym wspólnego?

raczej nie jest to kwestia ustawien uslugodawcy (skoro z jednym NATem - na routerze jest OK to z NATem za NATem tez powinno byc OK) ... raczej cos niedobrego moze robic ten router ... (do niego dochodzi a dalej juz nie ...)

dla testu sproboj odlaczyc router od kablowki (modemu) i polaczyc to tak:
kompLAN - serwer -router -komTEST
i zobacz czy kompLAN moze polaczyc sie z kompTEST (ping i dla pewnosci jeszcze jedna usluga)

i jeszcze jedno pytanie ... rozumiem ze pingi na zewnatrz nie ida takze gdy pingujesz po ip a nie po domenie ...

ppatrykp · 2006-11-04 17:25:07

i jeszcze jedno pytanie ... rozumiem ze pingi na zewnatrz nie ida takze gdy pingujesz po ip a nie po domenie ...

tak sprawdzałem po ip jak i domenach z poza sieci...

najdziwniejsze jest to że komp w lanie pinguje z routerem po jego ZEWNETRZNYM ip ! przeciez zeby cos takiego mialo miejsce komputer musi sie porozumiec z dns'em zew. a probowalem pingowac je i tez "upłynoł czas.."

przbuduje troszke regulki iptables .. interfaces... i zobacze czy jak podepne kompa(server) bezpośrednio do modemu czy bedzei działało....

p.s. router jaki mam to asmax br 604

bercik · 2006-11-04 19:41:15

najdziwniejsze jest to że komp w lanie pinguje z routerem po jego ZEWNETRZNYM ip ! przeciez zeby cos takiego mialo miejsce komputer musi sie porozumiec z dns'em zew. a probowalem pingowac je i tez "upłynoł czas.."

zeby komunikowac sie po IP ktore znamy (jakichkolwiek i gdziekolwiek) nie jest konieczny DNS

przbuduje troszke regulki iptables .. interfaces... i zobacze czy jak podepne kompa(server) bezpośrednio do modemu czy bedzei działało....

jezeli nie pojdzie to byloby dziwne i przypuszczalbym jednak jakis problem z urzadzeniami ISP ...

ppatrykp · 2006-11-07 22:04:08

witam ponownie.. sprawdziłem problem odłanczajać router i podlanczając bezpośrednio server wszystko działało błyskawicznie .... po prostu nalezy unikać tej marki routerów w tym przedziale cenowym (~100zł) :)

jeszcze raz dziękuje za pomoc..
pozdrawiam

bercik · 2006-11-08 22:07:03

czyli byl problem z NATem za NATem ... i router nie radzil sobie z taka konfiguracja ... ale jak jest juz Debian z skonfigurowanym iptables to problemu niema :-)

ppatrykp · 2006-11-08 22:41:01

nie chce zaśmiecac kolejnym tematem żeby zadać jendo pytanie....
ponieważ ciekawi mnie taka sytuacja.... gdyby np gdyby server miał ip przydzielane od usługodawcy przed dhcp ale na stałe.. po przez mac karty sieciowej:)
Co wtedy podać w tablicy routingu?
czy można podawać śmiało to przydzielane dynamicznie ip jako stałe ip naszego interfesju wyjściowego?
I analogiczn epytanie co do regułek iptables czy moge podawać te ip w regułkach jako ip stałe? czy nie bedzie żadnych konfliktów?

pozdrawiam

bercik · 2006-11-08 23:27:55

IP stale od dynamicznego roznia sie tylko tym ze jak masz stale to nie zakladasz ze sie zmieni jak masz dynamiczne to zakladasz taka mozliwosc (pozatym to takie samo IP) ...

Forum Debian Users Gang

Ogłoszenie

#1 2006-11-03 01:31:31

ppatrykp - Użytkownik

nieciakwy problem -> iptables+dhcp=brak netu na lan

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

#2 2006-11-03 01:50:20

bercik - Moderator Mamut

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

Kod:

#3 2006-11-03 07:23:52

Nickleodeon - Członek DUG

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

Kod:

Kod:

#4 2006-11-03 10:00:44

ppatrykp - Użytkownik

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#5 2006-11-03 12:50:38

bercik - Moderator Mamut

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

Kod:

Kod:

#6 2006-11-03 13:14:25

Nickleodeon - Członek DUG

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#7 2006-11-03 22:10:30

ppatrykp - Użytkownik

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

Kod:

Kod:

#8 2006-11-04 02:51:33

bercik - Moderator Mamut

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

Kod:

#9 2006-11-04 13:56:02

ppatrykp - Użytkownik

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#10 2006-11-04 16:02:34

bercik - Moderator Mamut

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#11 2006-11-04 17:25:07

ppatrykp - Użytkownik

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#12 2006-11-04 19:41:15

bercik - Moderator Mamut

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#13 2006-11-07 22:04:08

ppatrykp - Użytkownik

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#14 2006-11-08 22:07:03

bercik - Moderator Mamut

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#15 2006-11-08 22:41:01

ppatrykp - Użytkownik

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

#16 2006-11-08 23:27:55

bercik - Moderator Mamut

Re: nieciakwy problem -> iptables+dhcp=brak netu na lan

Stopka forum