Прошу помочь разобраться с локальной сетевой картойСтоит Red Hat 4.0 AS
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
194.135.55.160 * 255.255.255.224 U 0 0 0 eth0
192.168.21.0 * 255.255.255.0 U 0 0 0 eth1
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
default 194.135.55.190 0.0.0.0 UG 0 0 0 eth0
проблема:
при пинге из локальной сети с любого компьютера на сервер
192.168.21.9 -> 192.168.21.20 то ответа нет
если после этого послать пакет с сервера на этот комп то пинг поднимается на обоих машинах
Чо это может быть не подскажете, может мак адрес сервера не доступен вначале?
Смотрите настройки firewall-а.
>Смотрите настройки firewall-а.# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
Статические arp таблицы случайно не используете?
>Статические arp таблицы случайно не используете?Я думаю нет, как система встала так больше не настраивал, если только она сама прописала что то, что самое интересное c eth0 проблем вообще нет
Попробуйте сниффером посмотреть на интерфейсе, что происходит в такие моменты.
tpcdump им можно?
Конечно.
>>Смотрите настройки firewall-а.># Firewall configuration written by system-config-securitylevel
># Manual customization of this file is not recommended.
>*filter
>:INPUT ACCEPT [0:0]
>:FORWARD ACCEPT [0:0]
>:OUTPUT ACCEPT [0:0]
Что-то не очень понятно в шапочных заворотах..
iptables -L -v можно?
похоже, что нет ответа на arp - запрос, а после пинга arp доступен
ИМХО дело не в правилах. iptables не может блокировать arp ответы.
>ИМХО дело не в правилах. iptables не может блокировать arp ответы.
Но все равно посмотреть вывод стоит...
Второй вариант - не совпадают маски подсетей у сервера и станций... тогда карта на широковещательные отзываться не будет.
>Но все равно посмотреть вывод стоит...
Согласен.>Второй вариант - не совпадают маски подсетей у сервера и станций... тогда
>карта на широковещательные отзываться не будет.
А вот это уже действительно вариант. Я не подумал об этом.
>проблема:
>при пинге из локальной сети с любого компьютера на сервер
>192.168.21.9 -> 192.168.21.20 то ответа нет
>если после этого послать пакет с сервера на этот комп то пинг
>поднимается на обоих машинах
>Чо это может быть не подскажете, может мак адрес сервера не доступен
>вначале?
Может железо какое подвисает. Редкая проблема, но бывает.
Проблема решилась простым переустановкой системы, но осталось одно, с клиентской машины внешний шлюз и днс сервер пингуется но mail.ru к примеру не открывается, на клиенте фаервола нет
>Проблема решилась простым переустановкой системы, но осталось одно, с клиентской машины внешний
>шлюз и днс сервер пингуется но mail.ru к примеру не открывается,
>на клиенте фаервола нетПереустановить еще раз.. Ж8-)
А если серьезно - мало информации... Телепатов, чтоб видеть чужие конфиги, здесь нет.
P.S. в конфиге файрвола нет упоминания о маскараде.. а установлен и работает ли прокси?
Машина не умнее человека - пока не знаешь, что нужно делать, за тебя она не разберется
>
>Переустановить еще раз.. Ж8-)
>А если серьезно - мало информации... Телепатов, чтоб видеть чужие конфиги, здесь
>нет.
>P.S. в конфиге файрвола нет упоминания о маскараде.. а установлен и работает
>ли прокси?
>Машина не умнее человека - пока не знаешь, что нужно делать, за
>тебя она не разберетсяНастройки остались те же самые, работает не прокси а нат, сама строчка маскарада есть, то есть при те же самых настройках не ресолвится mail.ru и т.д. Эта проблема была в предыдущий раз, но как ее решил так и не понял
Сейчас пингуется внешний днс, нат работает
>Настройки остались те же самые
Блин, какие??? И, между прочем, другие - раз работает не так, как раньше
>, работает не прокси а нат, сама строчка
> маскарада есть,
а я ее не вижу... В приведенном скрипте маскарад не казан - ткните меня носом в masquerade (кстати, в данном случае правильно использовать snat) в приведенной записи. Сложно набрать iptables -L -v ?
кроме того, что далеко не у всех капелюшек, нужно видеть результат...
> то есть при те же самых настройках не
>ресолвится mail.ru и т.д. Эта проблема была в предыдущий раз, но
>как ее решил так и не понял
>Сейчас пингуется внешний днс, нат работает
что говорит nslookup? где обрывается traceroute?
Никто не ответит на вопрос, если нет данных.
Для того, чтоб задать вопрос, надо знать как минимум половину ответа (с) не мой
Прощу прощения, все верно телепатов нет
строчка стоит такая
-A POSTROUTING -s 192.168.21.9 -j MASQUERADEК сожалению из за ситуации Москвы с электричеством не могу сделать iptables -L -v
позор мне про nslookup я забыл, а если сделать tracert (win OS) то ответ что не удается разрешить имя узла mail.ru
>Прощу прощения, все верно телепатов нет
>строчка стоит такая
>-A POSTROUTING -s 192.168.21.9 -j MASQUERADE
>
>К сожалению из за ситуации Москвы с электричеством не могу сделать iptables
>-L -v
>
>позор мне про nslookup я забыл, а если сделать tracert (win OS)
>то ответ что не удается разрешить имя узла mail.ru
Ну воооот....
1 - на клиентском компе не настроен ДНС
2 - файрвол не пропускает клиентские запросы ДНС
3 - файрвол не пропускает ответы ДНС
4 - ДНС не резолвит
на клиентском dns прописан сам 81.94.128.4 к примеру
Подскажите пожалуйста как правильно прописать маскарад
>на клиентском dns прописан сам 81.94.128.4 к примеру
>Подскажите пожалуйста как правильно прописать маскарад
iptables -A POSTROUTING -t nat --out-interface eth<номер_внешнего> -j SNAT --to-source <ip-внешнего-интерфейса>
и все-же.. было сказано что с клиентской ДНС пингуется??????
>>на клиентском dns прописан сам 81.94.128.4 к примеру
>>Подскажите пожалуйста как правильно прописать маскарад
>iptables -A POSTROUTING -t nat --out-interface eth<номер_внешнего> -j
SNAT --to-source <ip-внешнего-интерфейса>
а ip клиентского компьютера, я не хочу чтобы другие ходили в нет?
>и все-же.. было сказано что с клиентской ДНС пингуется??????да, днс пингуются
>>и все-же.. было сказано что с клиентской ДНС пингуется??????
>
>да, днс пингуются
тогда - nslookup с клиентской? traceroute сайта не по имени а по адресу?
>>>и все-же.. было сказано что с клиентской ДНС пингуется??????
>>
>>да, днс пингуются
>тогда - nslookup с клиентской? traceroute сайта не по имени а по
>адресу?да все именно так, как будто фаервол закрыл icmp пакеты
>>тогда - nslookup с клиентской? traceroute сайта не по имени а по
>>адресу?
>
>да все именно так, как будто фаервол закрыл icmp пакетыЕще раз - я повторяю...
_результаты_ сюды, если хочешь чтоб помогли.
Если хост неразрешим - это никак не icmp - ДНС работает по UDP или TCP 53 порт.
Пинг по ip сайта? на какой точке затыкается трасса?
>>>тогда - nslookup с клиентской? traceroute сайта не по имени а по
>>>адресу?
>>
>>да все именно так, как будто фаервол закрыл icmp пакеты
>
>Еще раз - я повторяю...
>_результаты_ сюды, если хочешь чтоб помогли.
>Если хост неразрешим - это никак не icmp - ДНС работает по
>UDP или TCP 53 порт.
>Пинг по ip сайта? на какой точке затыкается трасса?
C:\Documents and Settings\Safronov>ping 194.67.57.26Обмен пакетами с 194.67.57.26 по 32 байт:
Ответ от 194.67.57.26: число байт=32 время<10мс TTL=120
Ответ от 194.67.57.26: число байт=32 время<10мс TTL=120
Ответ от 194.67.57.26: число байт=32 время<10мс TTL=120
Ответ от 194.67.57.26: число байт=32 время<10мс TTL=120это mail.ru а если по домену пинговать то не найден указанный узел
>>>>тогда - nslookup с клиентской? traceroute сайта не по имени а по
>>>>адресу?
>>>
>>>да все именно так, как будто фаервол закрыл icmp пакеты
>>
>>Еще раз - я повторяю...
>>_результаты_ сюды, если хочешь чтоб помогли.
>>Если хост неразрешим - это никак не icmp - ДНС работает по
>>UDP или TCP 53 порт.
>>Пинг по ip сайта? на какой точке затыкается трасса?
>C:\Documents and Settings\Safronov>ping 194.67.57.26
>
>Обмен пакетами с 194.67.57.26 по 32 байт:
>
>Ответ от 194.67.57.26: число байт=32 время<10мс TTL=120
>Ответ от 194.67.57.26: число байт=32 время<10мс TTL=120
>Ответ от 194.67.57.26: число байт=32 время<10мс TTL=120
>Ответ от 194.67.57.26: число байт=32 время<10мс TTL=120
>
>это mail.ru а если по домену пинговать то не найден указанный узел
>
Вооот... Значит, icmp открыто, в инет машина выходит скорее всего - если в браузере набрать ip, то сайт откроется, думаю. Проверь - если откроется, значит и tcp есть. Проблема в ДНС - то ли он не отдает, то ли режется файрволом. Результаты nslookup с клиентской и листинг файрвола - iptables -L -v в студию
>Вооот... Значит, icmp открыто, в инет машина выходит скорее всего - если
>в браузере набрать ip, то сайт откроется, думаю. Проверь - если
>откроется, значит и tcp есть. Проблема в ДНС - то ли
>он не отдает, то ли режется файрволом. Результаты nslookup с клиентской
>и листинг файрвола - iptables -L -v в студиюПриехал домой сразу отвечаю.
http://194.67.57.26 (mail.ru) открылся
nslookup
***Can`t find server name for address 81.94.128.4 (dns server)Привожу еще раз настройки iptables
# Generated by iptables-save v1.2.11 on Tue May 24 02:24:49 2005
*nat
:PREROUTING ACCEPT [104:4864]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.21.9 -j MASQUERADE
-A POSTROUTING -s 192.168.21.11 -j MASQUERADE
-A POSTROUTING -s 192.168.21.191 -j MASQUERADE
COMMIT
# Completed on Tue May 24 02:24:49 2005
# Generated by iptables-save v1.2.11 on Tue May 24 02:24:49 2005
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6249:8902284]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
_ОЧЕНЬ_ похожие проблемы с сетевухами на marvell yukon
грешу на них. Пинг то есть, то нет.
>_ОЧЕНЬ_ похожие проблемы с сетевухами на marvell yukon
>грешу на них. Пинг то есть, то нет.Не похоже. Это четко проблемы с ДНС
nslookup
***Can`t find server name for address 81.94.128.4 (dns server)
81.94.128.4 - точно ДНС ? и он станет отвечать на твои запросы? может, у него restriction на эту сеть...
И вывод iptables -L -v в который раз прошу... файл save может содержать что угодно - нужен живой вывод.
P.S. И маскарад лучше прописать поаккуратнее- как я сказал, меньше ресурсов жрать будет