abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 0
včera 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 19
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 2
2.12. 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
2.12. 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
2.12. 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 767 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: DHCP a statický routing

7.9.2005 00:47 toi | skóre: 14 | Holice
DHCP a statický routing
Přečteno: 352×
Zdravím. Spravuju menší vesnickou síť na které už je asi 5 subnetů, mám ale problém s tím, jak pomocí DHCP nastavit statický routing u klientů, potřebuju např nastavit
route add -net 172.20.0.0 gw 172.22.162.254
Na síti jsou jak windows, tak linux klienti. Zkoušel jsem nastavit routu na routeru, který mají všichni jako gateway, ale funguje jen ping - brána ho totiž přesměruje, ale jiné služby nefungují. Díky za rady.
root@pandora:/# dhcpd --version
isc-dhcpd-V3.0.1

Odpovědi

Josef Kufner avatar 7.9.2005 01:34 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: DHCP a statický routing
Pokud projde ping, tak by mělo projít i vše ostatní, takže to někde bude nejspíš zlobit firewall (iptables).

Možná přijde vhod option routers v dhcpd.conf.
Hello world ! Segmentation fault (core dumped)
7.9.2005 08:10 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: DHCP a statický routing

Volba routers umí nastavit pouze výchozí bránu, specifický routing se jejím prostřednictvím nastavit nedá.

V popisovaném uspořádání je asi jedinou šancí specifický routing nenastavovat a spolehnout se na redirekty, které zajistí výchozí brána. To by rozhodně fungovat mělo a, jak už bylo řečeno, jestliže funguje ping, pak v routingu problém není.

8.9.2005 11:54 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: DHCP a statický routing
Ale routers jde nastavit pro každý subnet zvlášť, ne? Stačí mít subnety nadefinované i v DHCP a každému přidělit jiný router, a mělo by to fungovat.
8.9.2005 11:58 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: DHCP a statický routing

To máte pravdu, ale zde je jiná situace. V tomto případě má subnet X výchozí bránu X1 (kterou stanicím samozřejmě předáte volbou routers) a zároveň pro přístup do subnetu Y používá bránu X2, kde X1!=X2. A ten specifický routing ip r a Y via X2 prostě přes DHCP nadefinovat nelze.

7.9.2005 21:48 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Iptables to opravdu jsou, ale opravdu netuším co přesně mám povolit, aby to fungovalo. Jediné co vím, je to, že když vypnu firewall tak to funguje:-)
7.9.2005 08:13 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Příkaz route nepoužívám, ale nezdá se mi, že byste mu nemusel říct, jak je ten rozsah velký. Raději použijte něco jako
  ip route add 172.20.0.0/24 via 172.22.162.254
nebo si aspoň pomocí 'ip route' zkontrolujte, co do té směrovací tabulky skutečně zapsal.

Jinak obvyklá rada: použijte tcpdump nebo ethereal ke zjištění, kde přesně se ty pakety vlastně ztrácejí, pak budete moudřejší.

7.9.2005 11:14 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Omlouvám se, samozřejmě, že jsem definoval i masku ...172.20.0.0/16...
Přikládám volbu routers z dhcpd.conf
option routers 172.22.162.1;
IP DHCP serveru a zároveň brány je 172.22.162.1
Zde je routovací tabulka na stroji 172.22.162.1:
Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

192.168.120.0   172.22.162.222  255.255.255.0   UG    0      0        0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.22.0.0      0.0.0.0         255.255.0.0     U     0      0        0 eth0
172.20.0.0      172.22.162.254  255.255.0.0     UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.10.1    0.0.0.0         UG    1      0        0 eth1
takto se chová ping, pokud se chci pingnout na stroj v síti, do které mě musí brána redirektovat:
mira@krumpl:~$ ping 172.20.123.223
PING 172.20.123.223 (172.20.123.223) 56(84) bytes of data.
64 bytes from 172.20.123.223: icmp_seq=1 ttl=127 time=7.31 ms
From 172.22.162.1: icmp_seq=2 Redirect Host(New nexthop: 172.22.162.254)
64 bytes from 172.20.123.223: icmp_seq=2 ttl=127 time=6.79 ms
Ping prostě funguje, ale pokud se chci spojit třeba na ssh toho stroje, tak dostanu chybu o timeoutu, pokud nastavím routu na mém počítači, všechno funguje jak má. Vůbec to nechápu! Díky za rady
7.9.2005 12:09 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: DHCP a statický routing

No a co vám poví tcpdump, když posloucháte na odchozím rozhraní stroje, z nějž se přihlašujete, na rozhraních příslušných bran a na příchozím rozhraní stroje, na nějž se přihlašujete?

Teorie říká, že když uděláte to, co děláte vy (tj. generujete provoz přes výchozí bránu, přičemž tento by měl být routován jinudy), tak vám 1) výchozí brána pošle zprávu ICMP redirect, 2) výchozí brána váš provoz předá tam, kam má, 3) váš stroj si to zapamatuje a příště už půjde správnou cestou.

Přestože by za normálních okolností měly být splněny všechny tři body, nemusí to být vždy pravda. Brána nemusí posílat ICMP redirekty (jde to jednak vypnout na úrovni jádra a jednak to jde zablokovat firewallem). Brána nemusí předat provoz tam, kam má (což by bylo sice hrubé porušení RFC, protože brána routovat musí VŽDY, i když existuje lepší trasa jinudy), ale dokážu si představit různé situace a pseudoimplementace, kde se brána bude chovat nekorektně. No a váš stroj může ignorovat ICMP redirekty a "nepřeučí" se podle nich routing (to je situace poměrně běžná, tyto redirekty se často záměrně ignorují jako bezpečnostní riziko, ovšem nelze to dělat v případě, kdy na nich routing spoléhá).

Kromě toho může být branou předávaný provoz na různých místech zahazován, protože typicky příchází odjinud, než by odpovídalo zdrojové adrese, takže jej mohou různě zahazovat firewally a/nebo rp-filtry.

Jinak řečeno, možných příčin jsou celé soustavy a přesnou diagnostiku musíte provést sám pomocí tcpdumpu nebo etherealu nebo něčeho takového. Víc už vám těžko někdo bez dalších informací poradí.

7.9.2005 13:44 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Super, díky za tak obsáhlé vysvětlení! Po chvilce bádání jsem zjistil, že po vypnutí firewallu na routeru vše funguje jak má, problém je ale v tom, že nevím co povolit, aby to fungovalo i po jeho zapnutí:-( Používám iptables, díky moc
7.9.2005 13:58 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: DHCP a statický routing

Takže, teď už jenom věštím, protože nemám dost údajů. Tipuju, že na bráně máte (bez omezení) forwardován protokol ICMP (což je žádoucí nastavení). No a nějak tam omezujete nějaké ty vyšší protokoly, spojení odkudsi kamsi a podobně, v čemž je zrada.

Řekněme, že máte PC s IP 10.1.0.100/24, jeho výchozí brána je 10.1.0.1/24 a přes tuto bránu snažíte se o SSH na stroj 10.2.0.100/24 do sítě 10.2.0.0/24, přičemž správně byste měl do této sítě routovat přes 10.1.0.10/24, nikoliv přes výchozí bránu.

Ta výchozí brána přijme rozhraním (řekněme) eth0 váš (neoptimálně routovaný) TCP SYN určený pro 10.2.0.100, prožene jej svým forward chainem a pak jej eventuálně opět rozhraním eth0 routuje na 10.1.0.10. (Zkuste si to namalovat.) No takže musíte mít pravidla nastavena tak, aby tato operace byla možná. Nenechte se zmýlit tím, že to ta brána "jenom odrazí stejným rozhraním", ona to normálně routuje, akorát (shodou okolností) je příchozí a odchozí rozhraní stejné.

Pravidla holt musíte posoudit a vymyslet sám, to už vám fakt bez křišťálové koule nadiktovat nejde.

7.9.2005 14:03 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Díky za snahu, zrovinka jsem chtěl napsat, že jsem to už vyřešil. Omezuji i ICMP a zapomněl jsem povolit icmp redirect! Za takovou chybu e úplně stydím, ale opravdu moc děkuji za Váš čas.
7.9.2005 18:29 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Tak se omlouvám. Nepřišel jsem na to:-( Omylem jsem firewall vypnul a všechno fungovalo, ale po zapnutí opět ne. Představit si to umím, ale přesně nevím co mám povolit! Povolil jsem
--icmp-type network-redirect
ale bez výsledku! Zkoušel jsem i samotný redirect, ale stále nic. Vím, že bych to někde našel, ale pokud mi to řeknete, bude to myslím rychlejší:-D
7.9.2005 22:50 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: DHCP a statický routing

No to mě těší, sám jsem z vašeho příspěvku o vyřešení poněkud rozpačitě nechápal, jak vám to mohlo začít fungovat.

Takže se vrátíme k mému vysvětlení, jo? Vy posíláte nějaký paket někam blbou routou. Vaše brána na to zareaguje tak, že vám 1) pošle ICMP redirect (to ona dělá, je to vidět na tom pingu), 2) má to přeroutovat správně, to ale zjevně nedělá, protože jí to zakáže vaše nastavení firewallu a 3) vaše stanice by se měla z ICMP redirectu poučit a příště to udělat správně, to ale zjevně nedělá, protože to má (asi defaultně) zakázáno.

Pochopte prosím, že nejde o filtraci ICMP redirectu. To je jen informativní zpráva, podle které by se vaše stanice mohla zařídit (ale zjevně se nezařizuje). Jde o to, že brána neforwarduje věci, které by forwardovat měla. Ale to sakra musíte nastavit sám.

Budete-li ve stavu nouze (a tím nemyslím, že jenom zmodráte), tím myslím velkou nouzi, tak sem zkuste vypsat nastavení iptables na té vaší bráně.

8.9.2005 00:28 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Díky, že se mi stále věnujete, ale my tomu přijedem na kloub:-) Takže věc se má asi tak: už jsem konečně pochopil, že to není o ICMP zprávách:-D Tak jsem hledal chybu v chainu FORWARD, tam mám nastaveno, že všechno ze zdrojových adres naší sítě, má forward povoleno-jinak by ani nešel internet
iptables -A FORWARD -i $LAN -s muj_pocitac -j ACCEPT
v tom by podle mě problém být neměl. Potom je tu pravidlo v chainu INPUT:
iptables -A INPUT -i $LAN -j ACCEPT
tady by taky problém neměl být! Vypadalo to, že problém je v chainu OUTPUT, do kterého jsem proto dopsal pravidlo
iptables -A OUTPUT -o $LAN -j ACCEPT
Zapnu firewall a zase to nefunguje:-(
Pastovat sem celý skript by byla šílenost, vycházel jsem ze vzorového firewallu na tomto webu. Můžete mrknout tam, čím by to mohlo být, ale ke zmodrání už opravdu nemám daleko. Vím, že to bude nějaká pitomost, ale její hledání mě zabíjí:-D
8.9.2005 07:26 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: DHCP a statický routing

Definitivně jste překročil hranice toho, co dokážu vyčuchat a co si dokážu vycucat z prstu. Co kdybyste mi ten skript třeba mailnul?

8.9.2005 10:09 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Jestli pořád máte chuť to řešit, což mě těší, tak se na ten skript můžete podívat zde, ale předem vás upozorňuju, že to je fakt hrůza:-D ale až na ten redirect to funguje:-)
8.9.2005 10:25 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: DHCP a statický routing

# Routing zevnitr site a zase zpet neomezujeme (kravina) :-)
#$IPTABLES -A FORWARD -i $LAN1_IFACE -o $LAN1_IFACE -j ACCEPT
Jste si jistý, že je to kravina, a že by to mělo být zakomentováno?

8.9.2005 10:58 toi | skóre: 14 | Holice
Rozbalit Rozbalit vše Re: DHCP a statický routing
Mno, jelikož mám povolený FORWARD pro všechny známé IP adresy na naší siti a v pravidle neurčuji výstupní interface, mělo by to v tom být už obsaženo. To pravidlo co jsem nazval jako kravina jsem taky zkoušel, ale tuším, že bez výsledku, ale můžu ho zkusit znova.
.....
Tak jsem to zkusil a musím uznat, že nejsem z nejbystřejších:-( Teď už to fakt funguje! V první řade vám proto děkuji, ale opravdu nechápu, jakou kombinaci pravidel jsem předtím vymyslel, že ani po zadání tohoto, routing nefungoval správně:-) Ještě jednou opavdu ze srdce děkuji!
8.9.2005 12:03 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: DHCP a statický routing

V tom případě to nechápu taky. Pokud v tom skriptu máte
$IPTABLES -A FORWARD -i $LAN1_IFACE -o $LAN1_IFACE -j ACCEPT
a o řádek níž pak
$IPTABLES -A FORWARD -i $LAN1_IFACE -s milan -j ACCEPT
a z počítače milan vám to*) bez prvního pravidla nefunguje a s prvním pravidlem jo, tak to samozřejmě nedává smysl.

Jediné vysvětelní, které mám, je to, že skript, který jste uvedl, není tak úplně přesně stejný jako skript, kterým ten firewall finálně nastavujete. Ale to už není můj problém :-)

*)To = to, o čem se tady celou tu dobu bavíme.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.