Тема: ИЗведнъж рутирането ми изчезна (Прочетена 5889 пъти)

int13 · « **Отговор #15 -:** Aug 26, 2005, 12:30 »

ами външното е динамично при всяко закачане се сменя, това е ИП-то с което се виждам в интернет, а вътрешното ми е от сорта на 10.2.х.х - т.е в локалната. Външните се раздават чрез pppoe протокола. Това за ехо "1" > ...еди какво си, го имам включено. Като се закача с adsl-start и ми се вдига ppp0 интерфейса който е с външното айпи. Тва е системата в общи линии.

zeridon · « **Отговор #16 -:** Aug 26, 2005, 15:36 »

хич не му мисли ами слагай patchomatic-ng от http://www.netfilter.org и шибвай някакъв по свестен TTL и би трябвало да си готов

dbaniza · « **Отговор #17 -:** Aug 27, 2005, 11:59 »

Съжалявам, аз съм индианец. Свалих си пача, но пак не става. Ето изрязка от скрипта ми за firewall:

Примерен код

iptables -t mangle -A PREROUTING -i eth1 -j TTL --ttl-inc 1
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

като eth1 ми е вътрешния а eth0 външния интерфейс. Някой да ми подскаже как се прави правилно?

Bogo · « **Отговор #18 -:** Aug 27, 2005, 14:11 »

iptables -t mangle -A OUTPUT -o eth0 -j TTL --ttl-set 64

dbaniza · « **Отговор #19 -:** Aug 28, 2005, 17:00 »

Поради хардуерни проблеми чак сега можах да тествам дали след поправката на TTL интернета ми работи и какво да ви кажа, все още не бачка! Вече почвам да се отчайвам, ето ми го файъруол скрипта:

Примерен код

#set policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#correct TTL
iptables -t mangle -A OUTPUT -o eth0 -j TTL --ttl-set 64

#allow communication through the loopback interface
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#allow communication through eth1
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

#allow forwarding from and partly to eth1
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#set masquerading
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Останалото са само правила за забраняване и разрешаване на връзки към ftp, ssh и тн.
/proc/sys/net/ipv4/ip_forward също си е 1.
Някакви идеи?

ПС: Сори че толкова нагло си присвоих темата ти, int13...

ray · « **Отговор #20 -:** Aug 28, 2005, 17:18 »

Опитай дали има връзка без 'firewall'.
Румен

Uvigii · « **Отговор #21 -:** Aug 28, 2005, 17:27 »

Цитат

.......Друго какво може да гледа ?.........

Примерно:

dbaniza · « **Отговор #22 -:** Aug 28, 2005, 19:33 »

Цитат (ray @ Авг. 28 2005,18:18)

Опитай дали има връзка без 'firewall'.
Румен

Мне, опитвал съм го много пъти и пак не е ставало.

'>

alex_c · « **Отговор #23 -:** Aug 28, 2005, 21:19 »

Ами провери дали въобще излизат пакети от ppp0 интерфейса навън, когато правиш някакви заявки от NAT-натата машина. Това става с командата:
tcpdump -n -i ppp0 host адреса_на_ppp0_интерфейса
Адресът може да се види с ifconfig ppp0
Преди да пуснеш дъмпа, на клиентската машина пускаш да върви пинг до някакъв IP адрес, който предварително знаеш (не по име, защото явно няма да имаш DNS резолвинг). Ако от дъмпа виждаш пингове от адреса на ppp0 интерфейса към този адрес, значи че маскирането ти работи и наистина е възможно доставчика ти да прави проблеми (малко вероятно). Ако не виждаш да излизат пакети от адреса на ppp0 интерфейса към адреса, който пингваш - проблема е при теб. Чак след този тест трябва да се впускаш в patch-o-matic-ване и т.н. BTW с обикновен модем ли си или ползваш PPPoE, PPTP или нещо такова?
P.S. За да си сигурен, че пакетите от клиентската машина идват до рутера ти, можеш да пуснеш един дъмп и на вътрешния интерфейс на рутера: tcpdump -n -i eth1 host адреса_на_клиентския_комп
Въобще, ползването на tcpdump е задължително за мрежовия администратор.
Best wishes!
Alex

int13 · « **Отговор #24 -:** Aug 28, 2005, 22:15 »

Със следната команда:

Цитат

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

пакетите се рутират до етх0 ( върху която карта се закача ппп0 интерфейса чрез протокола pppoe) , но не излизат през ппп0. Защо? Нямам обяснение

'>

PS: пинг до гейтуея ми връща стойности на ттл=48 ,това говори ли нещо

'>?

alex_c · « **Отговор #25 -:** Aug 29, 2005, 13:32 »

А кой ти е default gateway-а след като стартираш adsl-start - би трябвало да е IP адрес, който се рутира през ppp0, а не през eth0

int13 · « **Отговор #26 -:** Aug 29, 2005, 16:29 »

Default gateway си се определя от pppoe-то (там си бродкаства пакечтета и си се оправят някакси, не разбирам много), въпроса е че като дам tcpdump -i eth0 host вътрешната_машина виждам че вътрешната машина се опитва да пинга външно ай пи(аз съм пуснал да го прави), но пакетите си остават в eth0.Като дам tcpdump -i ppp0 host вътрешната_машина, никакви пингове към гоогле(в случая) не се виждат. От там правя заключение ,че пинговете си остават в eth0 и не се рутират до ppp0, защо е така, при положение ,че командата за НАТ-вано рутиране е правилна- а именно:

Цитат

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

и

Цитат

echo "1" > /proc/sys/net/ipv4/ip_forward

'> Пълна мистерия!!!!

'>((

vlad73 · « **Отговор #27 -:** Aug 29, 2005, 19:41 »

Цитат (dbaniza @ Авг. 28 2005,18<!--emo& ':0'

)

Поради хардуерни проблеми чак сега можах да тествам дали след поправката на TTL интернета ми работи и какво да ви кажа, все още не бачка! Вече почвам да се отчайвам, ето ми го файъруол скрипта:

Примерен код

#set policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#correct TTL
iptables -t mangle -A OUTPUT -o eth0 -j TTL --ttl-set 64

#allow communication through the loopback interface
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#allow communication through eth1
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

#allow forwarding from and partly to eth1
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#set masquerading
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Останалото са само правила за забраняване и разрешаване на връзки към ftp, ssh и тн.
/proc/sys/net/ipv4/ip_forward също си е 1.
Някакви идеи?

ПС: Сори че толкова нагло си присвоих темата ти, int13...

Тези редове действително ли са така или просто е грешка в преписването?
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
защото това би обяснило доста неща...

Edit:
Сега се зачетох по-подробно, мисля, че и други редове не са ОК, този дето ти коригира ttl-a най-вече, по-горе са ти писали, че те вълнува ppp0 интерфейса, даже са ти написали реда...

dbaniza · « **Отговор #28 -:** Aug 29, 2005, 21:57 »

Ъъм, аз по принцип нямам ppp0, това се е отнасяло до int13. А редовете съм взаимствл от едно howto на tldp.org и на мене лично ми се струват напълно логични. Както и да е де, с "iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE" пак не става.
Според теб как трябва да изглежда реда с ттл?
Поздрави

vlad73 · « **Отговор #29 -:** Aug 29, 2005, 23:22 »

Да, моя грешка, извинявай
единственото, което ми хрумва е да има някое policy из mangle и nat останало на DROP, но ми се вижда малко вероятно

Автор Тема: ИЗведнъж рутирането ми изчезна (Прочетена 5889 пъти)