nefunkční router

Mám následující konfiguraci síťě a firewallu

Síťová rozhraní:

eth0 - do internetu
eth1 - do vnitřní síťe

konfigurace firewallu

# Defaultni politika
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# ICMP
iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 11 -j ACCEPT

# Povoleni pristupu z vnitrni site
iptables -A INPUT -p ALL -i eth1 -j ACCEPT
iptables -A INPUT -p ALL -i lo -j ACCEPT

# smerovani z eth1 na eth0
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state
 ESTABLISHED,RELATED -j ACCEPT

# Maskarada
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

A teď konečně problém - z routeru samotného se nejde dostat ven a to ani pingnout! Přitom spojeni z vnitřní síťe do internetu funguje. Kde je chyba?

Ještě pár postřehů:
Pokuď nastavim "politiku" pro INPUT na ACCEPT, tak spojení z routeru funguje. A ještě jedna zajímavá věc: Při přihlášení z lokální síťe na router pomocí ssh šíleně dlouho(20-30s) trvá ověření hesla, při ACCEPT na INPUTu to funguje normálně(hned). Dále jsem zkoušel přidat FORWARD i pro lo, ale taky žádnej výsledek

Nějaké nápady?

Každý má právo na můj názor!

Odpovědi

Mno, nepovolil jste INPUT na rozhrani do Internetu. Proto vam prihlaseni trva tak dlouho,pac se pri prihlaseni pokousi spojit s DNS serverem. Ten sice dostane dotaz, ale ten nedojde,protoze se na eth0 zahodi. Zahazuje vlastne vsechny obdrzene packety jdouci na rozhrani eth0. Cili pridat: iptables -A INPUT -i eth0 -m --state ESTABLISHED,RELATED -j ACCEPT. Toto by melo vyresit vas problem.

26.2.2004 18:37 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše nefunkční router

Tak tohle nechápu, proč by měl požadavek vůbec chodit na eth0(rozhraní do internetu), když se připojuju z vnitřní sítě (192.168.1.2) na vnitřní rozhraní roteru (eth1, 192.168.1.1)???

Každý má právo na můj názor!

26.2.2004 19:36 Alex Kubicek | skóre: 14 | Kdyně
Rozbalit Rozbalit vše nefunkční router

jelikoz se on sam snazi resolvovat svoje vlastni jmeno z DNS.. Je tam timeout, cili ceka na odezvu sveho dotazu.Pokud ale mate na inet rozhrani zakaz vseho, nedojde odpoved a tepr timeout prerusi dotaz na resolvovani.. Chyba je dle me na 98% v chybejicim pravidle pro inet rozhrani. prikaz jsem odeslal nekde predtim

26.2.2004 18:41 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše nefunkční router

Jinak ale to, že vlastně nepustim nic do routeru samotnýho (ani odpovědi na odeslané požadavky) je fakt, to bude ten problém. Díky

Každý má právo na můj názor!

No z internetu ti na ten router přijde paket a je zahozen vždy :-)

Chybí ti tam pravidlo ktere povolí příchozí pakety na input z zařízení eth0.

Jinak pro mistní stroj se používají INPUT a OUTPUT pro předávání FORWARD :-)

Jinak se můžete inspirovat něcím takovým:

firewall

sem to dal do spatny vetve. jeste jednou k tomu dlouhymu pripojovani na SSH: on sam snazi resolvovat svoje vlastni jmeno z DNS.. DNS je nastaveno v /etc/resolv.conf. Ceka na odezvu sveho dotazu.Pokud ale mate na inet rozhrani zakaz vseho, nedojde odpoved a tepr timeout prerusi dotaz na resolvovani.. Chyba je dle me na 98% v chybejicim pravidle pro inet rozhrani. prikaz jsem odeslal nekde predtim

Dotaz: nefunkční router

Odpovědi