AbcLinuxu:/ Poradna / Linuxová poradna / sdileni pripojeni

Štítky: DHCP, distribuce, DNS, firewally, Gentoo, Internet, iptables, KDE, kernel, komunikace, LAN, NAT, sítě, stahování, tcpdump, textové editory, Ubuntu, Vim, wget

Dotaz: sdileni pripojeni

28.7.2006 10:22 newman | skóre: 7
sdileni pripojeni

Přečteno: 233×

Odpovědět | Admin

Zdravim vsechny,

vim, ze tu tenhle dotaz a problem je tu zas a znova, ale prestoze jsem si precetl vsechny diskuze na Abicku, tak jsem to ani po dvo dnech nevyresil. Muj problem je takovy:

PC1:

pripojeni k internetu pres kabelovku (DHCP, za NATem), Ubuntu 6.06, 2 sitovky (eth1: 10.2.1.75/16 z DHCP, eth0: 192.168.1.1/24 staticka adresa)

PC2 - notebook:

potrebuju pripojit k internetu pres PC1, Gentoo, 1 sitovka (eth0: 192.168.1.2/24 staticka adresa)

Zatim jsem na PC1 nastavil:

net/ipv4/ip_forward=1 v /etc/sysctl.conf (cat /proc/sys/net/ipv4/ip_forward 1)

/etc/rc.local (skript se spusti pri startu):

iptables -t nat -A PREROUTING -i eth1 -j ACCEPT -d 192.168.1.0/24

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE -s 192.168.1.0/24

/etc/hosts.allow:
ALL:192.168.1.1
ALL:192.168.1.2
/etc/hosts.deny je prazdny

ip route na PC1:

192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.1

10.2.0.0/16 dev eth1  proto kernel  scope link  src 10.2.1.75

default via 10.2.0.1 dev eth1

na PC2 jsem nastavil default gw na 192.168.1.1 a tam se taky dostanu.

Co funguje:

PC1: vse
PC2: ping na obe sitovky (eth0, eth1) na PC1, ven se nedostanu

/etc/resolv.conf jsou na obou PC stejne:

search ktk.lan

nameserver 217.195.160.1

na PC2 bych pripadne dopsal 192.168.1.1

Prosim poradte, uz nevim, kde hledat chybu. Diky.

Nástroje: Začni sledovat (0) ?

Odpovědi

28.7.2006 12:05 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: sdileni pripojeni

Zkuste rcpdumpem zjistit, kam až se dostanou pakety, když se pokoušíte "dostat ven".

Divné je dávat do PREROUTING -j ACCEPT, pravidlo s MASQUERADE by IMHO mělo stačit. Jaká máte pravidla pro chain FORWARD?

28.7.2006 12:05 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: sdileni pripojeni

sorry za překlep, rcpdump -> tcpdump

28.7.2006 12:39 lefti | skóre: 18 | blog: OneAndOnlyTrueBlog
Rozbalit Rozbalit vše Re: sdileni pripojeni

misto toho /etc/rc.local (fuj,pouzvivej /etc/init.d/iptables) raci ukaz iptables -nL a iptables -t nat -nL na bezicim systemu na PC1.

28.7.2006 14:29 newman | skóre: 7
Rozbalit Rozbalit vše Re: sdileni pripojeni

iptables -t nat -nL:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.1.0/24      

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

iptables -nL je prazdne.

28.7.2006 14:35 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: sdileni pripojeni

A default policy pro FORWARD?

Opravdu by pomohlo zjistit, kde se ty pakety zarazí tím tcpdumpem (tcpdump -ni ethX), ono je docela náročné si jen podle samotných iptables pravidel představit, co všechno firewallem projde a co ne.

28.7.2006 23:07 newman | skóre: 7
Rozbalit Rozbalit vše Re: sdileni pripojeni

na tom serveru vlastne zadny firewall neni...

a co konkretne by ten FORWARD mel delat? preposilat pakety z eth0 na eth1? tohle urcite funguje (dopingnu na eth1 [packet jde pres eth0]).

29.7.2006 10:19 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: sdileni pripojeni

Jestli na routeru přidáváte pravidla pomocí iptables, tak tam firewall je :-)

I když je pravda, že -t nat není firewall v pravém smyslu slova. FORWARD konkrétně je chain, kterým prochází veškerá komunikace která nesměřuje z nebo na lokální stroj.

Dopingnete se někam dál než na eth1? Podle toho mála, co zatím víme, bych tipoval, že odchozí pakety jsou OK, ale někde se ztratí příchozí. Jde o to, zda se ztratí ještě před vaším routerem (tj. na eth1 nepřijde žádná odpověď), pak by se zřejmě chybně přepisovaly hlavičky v paketu. Nebo je možné, že odpověď dorazí na eth1, ale router neví, co s ním dál.

Zkuste pustit na routeru tcpdump -ni eth0 'proto \tcp and port 80' a stáhnout z notebooku wgetem titulní stránku Seznamu: wget 212.80.76.3. Pak to samé udělejte i pro eth1 v tcpdump. Pokud se v obou případech stránka stáhne (wget napíše něco jako `index.html' saved), je problém v nastavení DNS. Pokud se nestáhne, dejte sem do diskuze prvních třeba 20 řádků z výpisu každého tcpdumpu, podle toho poznáme, kde se pakety ztrácí.

29.7.2006 11:33 newman | skóre: 7
Rozbalit Rozbalit vše Re: sdileni pripojeni

pokud pouziju wget na seznam s tcpdumpem na routeru, tak tcpdump nema zadny vystup a wget napise "no route to host" v obou pripadech (eth0, eth1).

pokud misto wget pouziju ping na seznam, tak z tcpdumpu na eth0 vyleze:

10:59:48.577501 arp who-has 212.80.76.3 tell 192.168.1.1

a na eth1 vyleze:

11:19:26.096178 arp who-has 10.2.1.38 tell 10.2.0.1 11:19:26.377686 arp who-has 10.2.6.167 tell 10.2.0.1 11:19:26.414930 arp who-has 10.2.0.54 tell 10.2.0.1 11:19:27.379567 arp who-has 10.2.0.63 tell 10.2.0.1 11:19:27.536314 arp who-has 10.2.0.177 tell 10.2.0.1 11:19:28.183540 arp who-has 10.2.0.110 tell 10.2.0.1 11:19:28.908572 arp who-has 10.2.1.38 tell 10.2.0.1 11:19:29.102381 arp who-has 10.2.0.54 tell 10.2.0.1 11:19:29.803086 arp who-has 10.2.1.63 tell 10.2.0.1 11:19:29.971616 arp who-has 10.2.0.124 tell 10.2.0.1 11:19:30.722851 arp who-has 10.2.0.177 tell 10.2.0.1 11:19:30.755059 arp who-has 10.2.0.63 tell 10.2.0.1

ted se divam, ze se ani nedopingnu z notebooku na eth1...

pridal jsem na PC1: iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

29.7.2006 12:01 lefti | skóre: 18 | blog: OneAndOnlyTrueBlog
Rozbalit Rozbalit vše Re: sdileni pripojeni

zase, to ze pridas iptables -A FORWARD je informace k uplne nicemu, protoze nevime co je predtim. Muzes konecne ukazat kompletni vypis iptables -vnL a iptables -t nat -vnL (treba na pastebin)?

29.7.2006 12:34 newman | skóre: 7
Rozbalit Rozbalit vše Re: sdileni pripojeni

uz to funguje. diky vsem za pomoc.

to ze jsem se nemohl tedka dopingnout na eth1 bylo zpusobeno tim, ze jsem mel stejnou IP adresu na notasu (eth0) a na PC1 (eth0), tedy stejne IPecka na obou stranach dratu. problem byl opravdu v preposilani packetu z eth0 na eth1 na PC1; pomohl radek s -A FORWARD v minulem prispevku.

12.2.2007 11:49 newman | skóre: 7
Rozbalit Rozbalit vše Re: sdileni pripojeni

jeste dodam, abych to uz nemusel nikdy vymyslet, ze tim pravym orechovym je:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE -s 192.168.1.0/24

12.2.2007 21:46 newman | skóre: 7
Rozbalit Rozbalit vše Re: sdileni pripojeni

samozrejme jsem kecal. spravne je: # input interface; WAN IFACE="eth1" # output interface; LAN OFACE="eth0"


        iptables -A FORWARD -i ${IFACE} -s 192.168.0.0/255.255.0.0 -j ACCEPT 

        iptables -A FORWARD -i ${OFACE} -d 192.168.0.0/255.255.0.0 -j ACCEPT 

        iptables -t nat -A POSTROUTING -o ${OFACE} -j MASQUERADE

28.7.2006 14:31 newman | skóre: 7
Rozbalit Rozbalit vše Re: sdileni pripojeni

iptables -t nat -nL:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.1.0/24      

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

iptables -nL je prazdne.

Založit nové vlákno • Nahoru

Tiskni Sdílej: