Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: Cepela 18 Května 2009, 22:37:27
-
Ahoj,
potreboval bych poradit s me zahadnym problemem. Mam Ubuntu 9.04 server, ktery je jednou sitovkou (eth0) pripojen k adsl modemu a druhou (eth1) sdili net do vnitrni site + dalsi sluzby. Nastavil sem /ect/network/interfaces
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 10.0.0.206
netmask 255.255.255.0
gateway 10.0.0.138
network 10.0.0.0
broadcast 10.0.0.255
auto eth1
iface eth1 inet static
address 192.168.10.206
netmask 255.255.255.0
Nainstaloval firehol a nastavil ho
/etc/firehol/firehol.conf
version 5
FIREHOL_LOG_LEVEL="7"
DEFAULT_CLIENT_PORTS="1024:65535"
public_ip="cepela.homelinux.org"
server_icq_ports="tcp/5190"
client_icq_ports="default"
home_ips="192.168.10.206/24"
interface eth1 internal src "${home_ips}"
policy reject
server http accept
server netbios_ns accept
server netbios_dgm accept
server netbios_ssn accept
server samba accept
server icmp accept
server ping accept
server ssh accept
server dhcp accept
server cups accept
server dns accept
server webmin accept
server https accept
server ftp accept
server smtp accept
client all accept
interface eth0 external src not "${home_ips} ${UNROUTABLE_IPS}"
protection strong 10/sec 10
policy drop
server icmp accept
server ping accept
server ident reject with tcp-reset
client all accept
router internal2external inface eth1 outface eth0
masquerade
route all accept
#router external2internal inface eth0 outface eth1
# masquerade reverse
# client all accept
# server ident reject with tcp-reset
Na klientech vse bezi jak ma, dostanou ip adresy (od DHCP na tomto serveru), internet jede, ale na serveru nejdou ani pingy, jen na vnitrni sit. Pokud chci pingnout modem dostanu
ping 10.0.0.138
PING 10.0.0.138 (10.0.0.138) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
^C
--- 10.0.0.138 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3001ms
Pokud to zadam jako sudo ping 10.0.0.138 dostanu to same. Kdyz dam ping treba na www.seznam.cz dostanu toto:
ping: unknown host www.seznam.czJakmile firehol vypnu, tak net na serveru jde, ale pochopitelne nejde na klientech. Hledal sem chybu nekde v routovani, ale uplne ten samy config fireholu sem pouzival na ubuntu 8.10 server pred reinstalaci a vse jelo OK (u puvodni instalace byly prohozeny eth0 a eth1, to sem ale jak v interfaces tak firehol.conf prehodil). Nic sem nenasel, tak prosim nekoho o radu, co by to mohlo byt. Pro jistotu jeste pridavam routovaci tabulku.
Směrovací tabulka v jádru pro IP
Adresát Brána Maska Přízn Metrik Odkaz Užt Rozhraní
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.10.0 * 255.255.255.0 U 0 0 0 eth1
192.168.122.0 * 255.255.255.0 U 0 0 0 virbr0
default 10.0.0.138 0.0.0.0 UG 100 0 0 eth0
Propo, kdyby mi jeste nekdo objasnil co je za zarizeni to virbr0, tak bych byl taky vdecen, v U8.10 to nebylo a je to az ted v U9.04
-
tak za prvé v dnešní době už firehol nemá cenu > doporučuji ufw (je default v distru a používá se)
je vidět, že to tedy dělá nějaké pravidlo.... zkoušel jsi netcat? nebo jen ping?
jak se chová netcat a zapnutí tcpdump?
jinak konfig jsem nekontroloval...
a za další to nestavení nemusí být ani tak složitý...
no a na závěr dej sem výpisy
ip a
ip n
ip r
-
Tak doufam ze netcat sem pouzil spravne, protoze ho neznam. Po zadani nc -v www.seznam.cz 80 to vyhodi
nc: getaddrinfo: Name or service not known
ip a:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:1f:1f:14:75:a2 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.206/24 brd 10.0.0.255 scope global eth0
inet6 fe80::21f:1fff:fe14:75a2/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:13:d3:bf:25:88 brd ff:ff:ff:ff:ff:ff
inet 192.168.10.206/24 brd 10.0.0.255 scope global eth1
inet6 fe80::213:d3ff:febf:2588/64 scope link
valid_lft forever preferred_lft forever
ip n
192.168.10.106 dev eth1 lladdr 00:1e:8c:12:03:07 REACHABLE
10.0.0.138 dev eth0 lladdr 00:02:cf:ce:92:02 REACHABLE
192.168.10.100 dev eth1 lladdr 00:16:ce:54:3c:44 REACHABLE
ip r
10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.206
192.168.10.0/24 dev eth1 proto kernel scope link src 192.168.10.206
default via 10.0.0.138 dev eth0 metric 100
Patrne asi nastuduju ufw a zkusim ho pouzit. Na firehol sem byl uz zvikly a jednoduse se pouzival.
-
tak zkuste
nc -v -n 77.75.72.3 80
nc -v -n 10.0.0.138 80 (předpokládám modem/router s přístupem na http)
jinak ufw
http://wiki.ubuntu.cz/UFW
https://help.ubuntu.com/community/Uncomplicated_Firewall_ufw
-
Tak uz se mi to podarilo vyresit pomoci webminu, v nastaveni site sem v kolonce routery a brany nasel ze brana byla sice nastaveni na 10.0.0.138, ale na eth1, tak sem to prehodil na eth0 a vse uz jede jak ma. Jeste zkusim porovnat nastaveni v terminalu jak vypada ted, protoze sem nejak nepochopil, kde sem to mel puvodne videt... Kazdopadne moc dekuji za pomoc.
-
cože???
vždyť viz
ip r
Kód:
10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.206
192.168.10.0/24 dev eth1 proto kernel scope link src 192.168.10.206
default via 10.0.0.138 dev eth0 metric 100
tady je jasně řečeno, že 10.0.0.138 jde přes eth0
-
Taky tomu moc nerozumim, ale je to tak... :o Kazdopadne dekuji za pomoc.