Strona 1 z 2

ping

: 13 października 2007, 16:48
autor: butek
Mam problem z pingami
Konfiguracja
1) Serwer 172.23.198.1 do którego jest podłaczony switch "A"
2) Do switcha "A" jest podłączonych 16 stacji z sieci 172.23.198.0/24 . Między nimi i serwerem pingi chodzą
3) Do switcha "A" ponadto jest podłączony drugi switch "B" , do którego jest podłączonych 20 stacji z sieci 192.168.10/24 obsługiwanych przez inny serwer
4) Do switcha "B" jest podłączony switch "C" i 4 stacje w sieci 172.23.198.0 i UWAGa między tymi stacjami pingi NIE CHODZ¡, ale mają okno na świat przez serwer 172.23.198.1 - dlaczego ??
Mój firewall
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -p udp --dport 4025 -j ACCEPT
iptables -A INPUT -p tcp --dport 4025 -j ACCEPT

iptables -A INPUT -p udp --dport 42 -j ACCEPT
iptables -A INPUT -p tcp --dport 42 -j ACCEPT

iptables -A INPUT -i eth0 -s 172.23.198.0/24 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp --dport 4025 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 4025 -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT

iptables -A INPUT -p udp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 3128 -m state --state NEW -j ACCEPT

iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT


iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT


iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 53 -j ACCEPT


iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 42 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 42 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 42 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 42 -j ACCEPT


iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT


iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9403 -j ACCEPT


iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403 -j ACCEPT

#Port Nagios
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 12489 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 12489 -j ACCEPT


#ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT



# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


# udostepniaie internetu w sieci lokalnej

iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT



iptables -t nat -A POSTROUTING -s 172.23.198.0/24 -j MASQUERADE


iptables -t nat -A PREROUTING -s 172.23.198.0/24 -p tcp -d 0/0 --dport 80 -j DNAT --to-destination 172.23.198.1:3128
--
Używam klienta poczty Opera Mail: http://www.opera.com/mail/

: 13 października 2007, 17:43
autor: nightwish86
Sprawdź tablicę routingu i z palca ustaw hopy dla pakietów. Powinno banglać

: 13 października 2007, 18:44
autor: butek
Tablica routingu

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth1
172.23.198.0    *               255.255.255.0   U     0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth1
eth0: 172.23.198.1
eth1: 192.168.1.35
Co to są "hopy" ?

: 13 października 2007, 19:33
autor: kayo
butek pisze:Tablica routingu

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth1
172.23.198.0    *               255.255.255.0   U     0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth1
eth0: 172.23.198.1
eth1: 192.168.1.35
Co to są "hopy" ?
Powtórzę to co na DUGu: routing ustawiony? Z tego co widzę to nie. Więc pakiety nie wiedzą jak latać.

: 13 października 2007, 19:50
autor: butek
Czy to wystarczy ? Nie łapie tego ...

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

: 13 października 2007, 20:04
autor: nightwish86
Pakiety muszą wiedzieć, gdzie przejść po kolejnym hopie (hop = przeskok pakietu skutkujący zmniejszeniem TTL). Twoje pakiety wiedzą jak lecieć "W świat" ale nie wiedzą jak poruszać się po sieci lokalnej.

: 14 października 2007, 08:43
autor: butek
A dlaczego stacje podłączone do switcha "A" pingują do siebie ?

: 14 października 2007, 10:26
autor: kayo
butek pisze:A dlaczego stacje podłączone do switcha "A" pingują do siebie ?
Czy switch A jest zarzadzalny i ma ustawione vlany? Jesli nie to bedziesz mial w pewnym czasie klopoty i bedziesz sie zastanawial dlaczego ci siec siada. Jesli tak mozliwe ze sam switch zapewnia juz miedzy vlanami komunikacje

: 14 października 2007, 10:55
autor: butek
Zmieniłem tablicę routingu
I jak ma to sens ?

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     192.168.1.35    255.255.255.0   UG    0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.23.198.0    172.23.198.1    255.255.255.0   UG    0      0        0 eth0
172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1
Nie potrafię usunąć tych linii

Kod: Zaznacz cały

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

Kod: Zaznacz cały

172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
Jak je usuwam to usuwają się trasy z bramkami (UG)

Re: ping

: 14 października 2007, 12:41
autor: regi
butek pisze: 4) Do switcha "B" jest podłączony switch "C" i 4 stacje w sieci 172.23.198.0 i UWAGa między tymi stacjami pingi NIE CHODZ¡, ale mają okno na świat przez serwer 172.23.198.1 - dlaczego
sluchaj po piwrwsze (mimo ze starales sie jasno przedstawic sprawe) to ja na przyklad nie wiem o jakie kompy ci chodzi w tym zdaniu

nie chodza ci pingi miedzy kompami z sieci 172.23.198.0 ??
watpie

---
butek pisze:Zmieniłem tablicę routingu
I jak ma to sens ?

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     192.168.1.35    255.255.255.0   UG    0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.23.198.0    172.23.198.1    255.255.255.0   UG    0      0        0 eth0
172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1
Nie potrafię usunąć tych linii

Kod: Zaznacz cały

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

Kod: Zaznacz cały

172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
Jak je usuwam to usuwają się trasy z bramkami (UG)
nic dziwnego jak chcesz usunac wpis

Kod: Zaznacz cały

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
to wtedy wpis

Kod: Zaznacz cały

192.168.1.0     192.168.1.35    255.255.255.0   UG    0      0        0 eth1
straci sens, oznacza on ze pakiety do sieci 192.168.1.0/24 nalezy wyslac przez hosta 192.168.1.35 ale jak usuniesz poprzedni wpis to polozenie tego hosta jest nieznane


jesli masz wszystko w jednej sieci (fizycznie)
i problem z pinagami to polaczenie sieci 172.23.198.0/24 i 192.168.1.0

to:

na domyslnej bramce kompow z 172.23.198.0/24 dodaj trase do 192.168.1.0 w ten sposob:

Kod: Zaznacz cały

route add -net 192.168.1.0 netmask 255.255.255.0 dev <i tu interfejs kompa np: eth1 (oczywiscie podajesz ten przez ktory ma wysylac pakiety do kompow z 192.168.1.0)>

i

na domyslnej bramce kompow z 192.168.1.0 dodaj trase do 172.23.198.0/24 w ten sposob:

Kod: Zaznacz cały

route add -net 172.23.198.0 netmask 255.255.255.0 dev <i tu interfejs kompa np: eth1 (oczywiscie podajesz ten przez ktory ma wysylac pakiety do kompow z 172.23.198.0/24)>