Problem s nekterymi strankami pri prechodu cez NAT

Zdravim.

Uz dlhsiu dobu riesim problem s nedostupnostou napr. about.com microsoft.com, live.cz z vnutornej siete. Z routru(firewallu)tieto stranky funguju...
Pripojenie je cez pppoe (ppp0->eth0) a vnutorna sietovka je eth1 Nastavenie firewallu je pomerne klasicke, dolezite je snad iba nastavenie NAT:


iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -o ppp0 -j SNAT --to-source VONKAJSIA_IP

a filtru:


iptables -t filter -A FORWARD -i ppp0 -j ACCEPT

iptables -t filter -A FORWARD -i eth1 -j ACCEPT

takze tam by problem nemal byt.

Napadlo ma este ci by to nemohlo byt v nastaveniach sysctl, ale ani rozne ich zmeny nepomohli. Momentalne explicitne nastavene hodnoty su (ostatne su ponechane defaultne):


net.ipv4.ip_forward = 1

net.ipv4.ip_dynaddr = 1

net.ipv4.tcp_ecn = 0

net.ipv4.conf.default.rp_filter = 0

net.ipv4.conf.all.rp_filter = 0

net.ipv4.tcp_syncookies = 1

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0

net.ipv4.conf.all.accept_redirects = 1

net.ipv4.conf.default.accept_redirects = 1

net.ipv4.conf.all.secure_redirects = 1

net.ipv4.conf.default.secure_redirects = 1

net.ipv4.icmp_echo_ignore_broadcasts = 1

Dalsia vec ktoru som skusil bola (kedze ppp0 ma MTU 1492) nastavit MTU na vnutornej sietovke (eth0) na rovnaku ako ppp0, cize 1500->1492, ale nepomohlo ani to.

Nastavenie pppoe je:


lock

connect /bin/true

debug

defaultroute

noipdefault

hide-password

holdoff 1

noauth

persist

mtu 1492

lcp-echo-interval 15

lcp-echo-failure 3

ipcp-accept-remote

ipcp-accept-local

ak by mi niekto vedel pomoct bol by som velmi vdacny, lebo som nad tym stravil uz pekne vela casu.

Ludo

Odpovědi

iptables -t filter -A FORWARD -i ppp0 -j ACCEPT iptables -t filter -A FORWARD -i eth1 -j ACCEPT

No a jak potom ty pakety z jiného PC můžou projít na ppp0 když nemáte povolen i opačný směr v FORWARDu ? Prostě v FORWARDu bych zapnul ACCEPT u navázaných spojení a potom povolil odchozí z vaší sítě takže "iptables -t filter -A FORWARD -o ppp0 -j ACCEPT" atd.... Jinak co to znamená že stránky nefungují ?

7.1.2007 14:24 Ludo
Rozbalit Rozbalit vše Re: Problem s nekterymi strankami pri prechodu cez NAT

opacny smer je "-i eth1" (ze jo?:) a nefunguje to ani z default policy ACCEPT, takze tam problem nebude. Nefunguje znamena... ako som upresnil vyssie ze z nich nedostanem ziadne data.

Kdyz jsme pouzivali linky s MTU mensim nez 1500, tak jsme meli podobny problem pri komunikaci s nekterymi servery, ktere ignorovali ICMP zpravy o zahazovani mensich paketu. Pomohlo nam nastaveni TCP MSS:

 iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --set-mss 1440 -o eth1

7.1.2007 18:08 Ludo
Rozbalit Rozbalit vše Re: Problem s nekterymi strankami pri prechodu cez NAT

Diky, presne v tom bol problem:) v man iptables to je na cca 1500 riadku...:))) dokonca tam doporuciju obecnejsie --clamp-mss-to-pmtu ktora akurat znizi mss o 40 oproti MTU na linke.

Co rekne telnet about.com 80?

7.1.2007 18:16 Ludo
Rozbalit Rozbalit vše Re: Problem s nekterymi strankami pri prechodu cez NAT

Uz je to vyriesene... ale telnet sa normalne pripojil ale stranky nesli. Problem bol, ako som sa docital v man iptables, ze problem je na strane servrov ktore "This target is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets."

Dotaz: Problem s nekterymi strankami pri prechodu cez NAT

Odpovědi