Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
witam! po tygodniu przegladania chyba wszystkich juz mozliwych tematów na forum i nei znalezieniu rozwiazania mojego problemu zdecydowalem sie opisać problem z nadzieją na pomoc:)
serverek na debianie ... na któym jest siec LAN (jest i działa) oraz dzielenie połączenia przez IPTABLES (nie działą)
połączenie ze światem
eth0 ip 192.168.2.2 maska 255.255.255.0 brama 192.168.2.1
LAN
ip 10.10.0.1 maska 255.255.255.0 brama 192.168.2.1
plik dhcpd.conf (przykladowy komputer uzyskuje ip jakie mu przypisuje)
subnet 10.10.0.1 netmask 255.255.255.0; range 10.10.0.2 10.10.0.155; option routers 10.10.0.1; option subnet-mask 255.255.255.0; option broadcast-addres 10.10.0.255; .... host lapek_1 { hardware ethernet 00:16:36:31:B9:83; fixed-address 10.10.0.3; .... }
zrobiłem tak jak w przykładowym artykule plik /etc/init.d/firewall i w nim umiescilem regolki
# wlaczenie w kernelu forwardowania itp echo 1 > /proc/sys/net/ipv4/ip_forward echo 200 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait echo 340 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established # czyszczenie starych regul iptables -F iptables -X iptables -t nat -X iptables -t nat -F # ustawienie polityki dzialania iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #.... iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh iptables -A INPUT -s 0/0 -d 192.168.2.2 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 192.168.2.2 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -d 192.168.2.2 -p udp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 192.168.2.2 -p udp --dport 22 -j ACCEPT # zezwolenie nna laczenie sie z naszym wewnetrznym ip po ssh iptables -A INPUT -s 0/0 -d 10.10.0.1 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 10.10.0.1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -d 10.10.0.1 -p udp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 10.10.0.1 -p udp --dport 22 -j ACCEPT #odblokowanie pingu iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # udostepniaie internetu w sieci lokalnej # dla kompa nr 1 iptables -t nat -A POSTROUTING -s 10.10.0.3 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:16:36:31:B9:83 -j ACCEPT
plik resolve.conf
nameserver 194.204.152.34 nameserver 194.204.159.1
tu natomiast mi się znacznie namieszało i juz sam nei ogarniam co z tym zrobić... polecenie route -n zwraca
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.10.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 192.168.2.2 0.0.0.0 UG 0 0 0 eth0 0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth1 0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0 0.0.0.0 10.10.0.1 0.0.0.0 UG 0 0 0 eth1
sytuacja po porstu wygląda tak że komputer(y) w lan nie mają internetu zupełnie .. przynajmnij ani nie pinguja po domenach ani po ip z wszystkim co poza sieciom... strony oczywiscie sie też nie otwierają... :/
bardzo byłbym wdzięczny za wskazanie lub jaką kolwiek podpowiedz..
Offline
LAN
Kod:
ip 10.10.0.1 maska 255.255.255.0 brama 192.168.2.1[/quote]
na wewnetrznym nie ustawiasz routingu domyslnego (bramki) ... po czesci z tego ten dziwny route -n
wylacz tez na serwerze pobieranie adresow z dhcp i wpisz statycznie w /etc/network/interfaces ... bo wyglada ze sam pobiera adres bramki z wlasnego dhcp ...
sprawdz czy koncowka uzyskuje poprawne IP i reszte konfiguracji (bo nie mam pewnosci czy jezeli adres przyznawany w oparciu o mac jest z zakresu range to bedzie to dobrze chodzilo - ja robie je z innej poli ...)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
...
LANKod:
ip 10.10.0.1 maska 255.255.255.0 brama 192.168.2.1...[/quote]
no dobra [b]ppatrykp[/b], powiedz ptysiu, jak twoj LAN ma wejsc do innej sieci (w tym przypadku zewnetrznej), w ktorej jest internet? Maska 255.255.255.0 mowi ze masz dostepne tylko 254 adresy IP. Potrzebna twojemu LANowi bramka (gateway) z prawidlowa adresacja IP (np.: 10.10.0.254). A na serwerze juz masz zrobiony nat i forwarding. Nie wnikam w prawidlowosci pozostalych zapisow na serwerze. To wlasnie jako pierwsze uderzylo mnie na samum poczatku.!!!!
Generalnie ja mam w dhcp tak (mozesz wykorzystac :))) )
Kod:
ddns-update-style ad-hoc; server-identifier MISIEK; shared-network DHCP { option subnet-mask 255.255.255.0; authoritative; ignore unknown-clients; subnet 192.168.1.0 netmask 255.255.255.0 { option broadcast-address 192.168.1.255; option routers 192.168.1.1; option domain-name-servers 194.204.159.1,194.204.152.34,192.168.1.1; default-lease-time 21600; max-lease-time 43200; } } host K2 { hardware ethernet 00:02:xx:xx:xx:xx; fixed-address 192.168.1.2; }Acha, wyp... (przepraszam: wyczysc) ten routin i napisz go po ludzku!!!
Offline
oknem na świat dla eth0 jest router ktory podaje mu statyczne ip 192.168.2.2 bramka 198.168.2.1 maska 255.255.255.0 ... podkreslam ze server ma polaczenie z internetem sprawne:) pinguje o ip domenach:)
poprawnie w interfejsie karty do której jest podpiety LAN nie powinno byc bramki? nie wiedzialem o tym...:/
jak masowo oczyścić tablice routingu ... mam tam sporo wpisów.. i na co mam wskazać ją aby było z sensem... ?
Offline
poprawnie w interfejsie karty do której jest podpiety LAN nie powinno byc bramki? nie wiedzialem o tym...:/[/quote]
tak nie powinno ... bramka (router domyslny) okresla adres IP do ktorego maja byc przeslane pakiety nie majace trasy routingu (taka trase zawsze wyznacza ip interfejsu wraz z maska) ... a do karty LANowskiej chcemy wysylac tylko to co idzie na ta podsiec ...
jak masowo oczyścić tablice routingu ... mam tam sporo wpisów.. i na co mam wskazać ją aby było z sensem... ?[/quote]
problemem sa automatyczne wpisy zwiazane z konfiguracja iterfejsow ... usuwanieKod:
ip route delete adres_bramkijest tez
Kod:
ip route delete table allale wbrew pozorm nie usuwa wszystkiego ...
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 [/quote]
wynika z konfiguracji podsieci w ktorej jest eth0 i router ... powinno byc
10.10.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 [/quote]
wynika z konfiguracji podsieci w ktorej jest eth1 ... powinno byc
0.0.0.0 192.168.2.2 0.0.0.0 UG 0 0 0 eth0[/quote]
bledne ... nie wiem zkad to sie wzielo (pokaz /etc/network/interfaces)
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth1 [/quote]
bledne ... jak wyzej ...
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0 [/quote]
ok
0.0.0.0 10.10.0.1 0.0.0.0 UG 0 0 0 eth1 [/quote]
bledne ... czyzby serwer sluchal swoijego dhcp (wylacz na serwerze klijenta dhcp)
[i]Edit:[/i]
czy ten serwer jest jedynym klijentem tego routera 192.168.0.1 lub przynajmniej robienia na nim NATu ... jezeli tak to moze warto zrezygnowac z tego routera (bo dwa NATy to lekka przesada ...)
[i]Edit 2:[/i]
sprawdz jeszcze (co pisalem juz powyzej) czy jakas koncowka w LANie uzyskuje poprawna konfiguracje od DHCP z serwera oraz czy ma polaczenie z serwerem (ping)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)Offline
#6 2006-11-03 13:14:25
Nickleodeon - Członek DUG
- Nickleodeon
- Członek DUG
- Skąd: Drawsko Pomorskie
- Zarejestrowany: 2005-08-19
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
oknem na świat dla eth0 jest router ktory podaje mu statyczne ip 192.168.2.2 bramka 198.168.2.1 maska 255.255.255.0 ... podkreslam ze server ma polaczenie z internetem sprawne:) pinguje o ip domenach:) [/quote]
router(192.168.2.1/24)<===> eth0(192.168.2.2/24)==NAT,FORWARD==eth1(10.10.0.1/24)<==miski_w_LANie
ja ma taki (zmodyfikowany routing):
Kernel IP routing table
Destination............Gateway................Genmask.............Flags...........Metric..........Ref......... ..........Use..........Iface
100.100.166.32.....0.0.0.0................255.255.255.224........U...........0............0................ 0..............eth0
192.168.1.0...........0.0.0.0.................255.255.255.0...........U...........0................0................ 0...............eth1
127.0.0.0...............0.0.0.0.................255.0.0.0..................U..............0.............0............... ...............0...................lo
0.0.0.0...................100.100.166.33.........0.0.0.0...............UG.........0...................... 0.............0...............eth0
Chyba nic dodac nic ujacOffline
#7 2006-11-03 22:10:30
ppatrykp - Użytkownik
- ppatrykp
- Użytkownik
- Zarejestrowany: 2006-11-03
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
poprawiłem (tak mi sie zdaje) tablicę routingu .. teraz wyglada tak
Kod:
Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 127.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 lo 10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0a moj /etc/network/interfaces
Kod:
# The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.2.2 netmask 255.255.255.0 network 192.168.2.0 broadcast 192.168.2.255 gateway 192.168.2.1 auto eth1 iface eth1 inet static address 10.10.0.1 netmask 255.255.255.0 network 10.10.0.0 broadcast 10.10.0.255czy ten serwer jest jedynym klijentem tego routera 192.168.0.1 lub przynajmniej robienia na nim NATu ... jezeli tak to moze warto zrezygnowac z tego routera (bo dwa NATy to lekka przesada ...) [/quote]
tzn w tej chwili stoi on po prostu u mnie w domu i go konfiguruje poprostu wiec raczej nie moge zrezygnowac z routera..:)
sprawdz jeszcze (co pisalem juz powyzej) czy jakas koncowka w LANie uzyskuje poprawna konfiguracje od DHCP z serwera oraz czy ma polaczenie z serwerem (ping)[/quote]
sprawdziłem.. komputery dostają ip przez dhcp .. oraz widza server (ping odpowiada)
a problem dalej nie znika ... czy tablica routingu jets już okej?
może jakiś port np dla bind9'a otworzyć na sieć lan? juz naprawde nie wiemOffline
#8 2006-11-04 02:51:33
bercik - Moderator Mamut
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
wyglada ok ...
sprawdz ping z hosta w sieci na zewnetrzne ip serwera i na router ...
sproboj moze takze mniej restrykcyjnych regulek NAT:Kod:
iptables -A FORWARD -i eth0 -s 10.10.10.0/24 -o eth1 -d 0.0.0.0/0 -j ACCEPT iptables -A FORWARD -i eth0 -s 0.0.0.0/0 -o eth1 -d 10.10.10.0/24 -j ACCEPT iptables -A POSTROUTING -t nat -o eth0 -s 10.10.10.0/24 -d 0.0.0.0/0 -j MASQUERADE
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)Offline
#9 2006-11-04 13:56:02
ppatrykp - Użytkownik
- ppatrykp
- Użytkownik
- Zarejestrowany: 2006-11-03
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
DUŻY krok na przód!:) już miski w lanie pinguja z ip routera a nawet z jego zewnetrznym ip... ale poza dalej nie.... nawet z bramą tego ip nie ...(dziwne)
i tu się pojawia moje pytanie.. ponieważ do testów korzystam z mojego łącza z kablówki ... czy ustawienia sprzętu usługodwacy mogą mieć coś z tym wspólnego?Offline
#10 2006-11-04 16:02:34
bercik - Moderator Mamut
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
DUŻY krok na przód!:) już miski w lanie pinguja z ip routera a nawet z jego zewnetrznym ip... ale poza dalej nie.... nawet z bramą tego ip nie ...(dziwne)
i tu się pojawia moje pytanie.. ponieważ do testów korzystam z mojego łącza z kablówki ... czy ustawienia sprzętu usługodwacy mogą mieć coś z tym wspólnego?[/quote]
raczej nie jest to kwestia ustawien uslugodawcy (skoro z jednym NATem - na routerze jest OK to z NATem za NATem tez powinno byc OK) ... raczej cos niedobrego moze robic ten router ... (do niego dochodzi a dalej juz nie ...)
dla testu sproboj odlaczyc router od kablowki (modemu) i polaczyc to tak:
kompLAN - serwer -router -komTEST
i zobacz czy kompLAN moze polaczyc sie z kompTEST (ping i dla pewnosci jeszcze jedna usluga)
i jeszcze jedno pytanie ... rozumiem ze pingi na zewnatrz nie ida takze gdy pingujesz po ip a nie po domenie ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)Offline
#11 2006-11-04 17:25:07
ppatrykp - Użytkownik
- ppatrykp
- Użytkownik
- Zarejestrowany: 2006-11-03
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
i jeszcze jedno pytanie ... rozumiem ze pingi na zewnatrz nie ida takze gdy pingujesz po ip a nie po domenie ...[/quote]
tak sprawdzałem po ip jak i domenach z poza sieci...
najdziwniejsze jest to że komp w lanie pinguje z routerem po jego ZEWNETRZNYM ip ! przeciez zeby cos takiego mialo miejsce komputer musi sie porozumiec z dns'em zew. a probowalem pingowac je i tez "upłynoł czas.."
przbuduje troszke regulki iptables .. interfaces... i zobacze czy jak podepne kompa(server) bezpośrednio do modemu czy bedzei działało....
p.s. router jaki mam to asmax br 604Offline
#12 2006-11-04 19:41:15
bercik - Moderator Mamut
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
najdziwniejsze jest to że komp w lanie pinguje z routerem po jego ZEWNETRZNYM ip ! przeciez zeby cos takiego mialo miejsce komputer musi sie porozumiec z dns'em zew. a probowalem pingowac je i tez "upłynoł czas.."[/quote]
zeby komunikowac sie po IP ktore znamy (jakichkolwiek i gdziekolwiek) nie jest konieczny DNS
przbuduje troszke regulki iptables .. interfaces... i zobacze czy jak podepne kompa(server) bezpośrednio do modemu czy bedzei działało.... [/quote]
jezeli nie pojdzie to byloby dziwne i przypuszczalbym jednak jakis problem z urzadzeniami ISP ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)Offline
#13 2006-11-07 22:04:08
ppatrykp - Użytkownik
- ppatrykp
- Użytkownik
- Zarejestrowany: 2006-11-03
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
witam ponownie.. sprawdziłem problem odłanczajać router i podlanczając bezpośrednio server wszystko działało błyskawicznie .... po prostu nalezy unikać tej marki routerów w tym przedziale cenowym (~100zł) :)
jeszcze raz dziękuje za pomoc..
pozdrawiamOffline
#14 2006-11-08 22:07:03
bercik - Moderator Mamut
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
czyli byl problem z NATem za NATem ... i router nie radzil sobie z taka konfiguracja ... ale jak jest juz Debian z skonfigurowanym iptables to problemu niema :-)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)Offline
#15 2006-11-08 22:41:01
ppatrykp - Użytkownik
- ppatrykp
- Użytkownik
- Zarejestrowany: 2006-11-03
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
nie chce zaśmiecac kolejnym tematem żeby zadać jendo pytanie....
ponieważ ciekawi mnie taka sytuacja.... gdyby np gdyby server miał ip przydzielane od usługodawcy przed dhcp ale na stałe.. po przez mac karty sieciowej:)
Co wtedy podać w tablicy routingu?
czy można podawać śmiało to przydzielane dynamicznie ip jako stałe ip naszego interfesju wyjściowego?
I analogiczn epytanie co do regułek iptables czy moge podawać te ip w regułkach jako ip stałe? czy nie bedzie żadnych konfliktów?
pozdrawiamOffline
#16 2006-11-08 23:27:55
bercik - Moderator Mamut
Re: nieciakwy problem -> iptables+dhcp=brak netu na lan
IP stale od dynamicznego roznia sie tylko tym ze jak masz stale to nie zakladasz ze sie zmieni jak masz dynamiczne to zakladasz taka mozliwosc (pozatym to takie samo IP) ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » nieciakwy problem -> iptables+dhcp=brak netu na lan
Informacje debugowania
Time (s) Query 0.00013 SET CHARSET latin2 0.00004 SET NAMES latin2 0.00106 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.116.20.108' WHERE u.id=1 0.00296 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.116.20.108', 1732727907) 0.00054 SELECT * FROM punbb_online WHERE logged<1732727607 0.00079 SELECT topic_id FROM punbb_posts WHERE id=43765 0.00250 SELECT id FROM punbb_posts WHERE topic_id=5708 ORDER BY posted 0.00057 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=5708 AND t.moved_to IS NULL 0.00027 SELECT search_for, replace_with FROM punbb_censoring 0.00108 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=5708 ORDER BY p.id LIMIT 0,25 0.00083 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=5708 Total query time: 0.01077 s