URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5241
[ Назад ]

Исходное сообщение
"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 12:57

Здравствуйте. Имею-
enp2s4: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.12  netmask 255.255.255.0  broadcast 0.0.0.0
        inet6 fe80::2c0:26ff:fea8:c9f0  prefixlen 64  scopeid 0x20<link>
        ether 00:c0:26:a8:c9:f0  txqueuelen 1000  (Ethernet)
        RX packets 24414  bytes 4590768 (4.3 MiB)
        RX errors 0  dropped 107  overruns 0  frame 0
        TX packets 3590  bytes 410470 (400.8 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
..
wlp2s5: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.16.249.1  netmask 255.255.255.0  broadcast 172.16.249.255
        inet6 fe80::12fe:edff:fe5e:9280  prefixlen 64  scopeid 0x20<link>
        ether 10:fe:ed:5e:92:80  txqueuelen 1000  (Ethernet)
        RX packets 326  bytes 25335 (24.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 200  bytes 21757 (21.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.0.6     0.0.0.0         UG    0      0        0 enp2s4
172.16.249.0    *               255.255.255.0   U     0      0        0 wlp2s5
192.168.0.0     *               255.255.255.0   U     0      0        0 enp2s4
firewall..
Chain INPUT (policy ACCEPT 2997 packets, 972K bytes)
pkts bytes target     prot opt in     out     source               destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  wlp2s5 *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      wlp2s5  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT 854 packets, 86846 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain PREROUTING (policy ACCEPT 1084 packets, 106K bytes)
pkts bytes target     prot opt in     out     source               destination
Chain INPUT (policy ACCEPT 780 packets, 89923 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 136 packets, 8790 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain POSTROUTING (policy ACCEPT 134 packets, 8622 bytes)
pkts bytes target     prot opt in     out     source               destination
    2   168 SNAT       all  --  *      wlp2s5  0.0.0.0/0            0.0.0.0/0            to:172.16.249.1
При выполнении "ping ya.ru":
PING ya.ru (213.180.193.3) 56(84) bytes of data.
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=1 ttl=56 time=23.7 ms
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=2 ttl=56 time=24.0 ms
64 bytes from www.yandex.ru (213.180.193.3): icmp_seq=3 ttl=56 time=23.9 ms
--- ya.ru ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 23.703/23.907/24.078/0.236 ms
При выполнении "ping ya.ru -I wlp2s5":
PING ya.ru (93.158.134.3) from 172.16.249.1 wlp2s5: 56(84) bytes of data.
From old-server (172.16.249.1) icmp_seq=1 Destination Host Unreachable
From old-server (172.16.249.1) icmp_seq=2 Destination Host Unreachable
From old-server (172.16.249.1) icmp_seq=3 Destination Host Unreachable
--- ya.ru ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2008ms
pipe 3
При попытке получить ответ от узла, находящегося за шлюзом 192.168.0.6, на запрос с интерфейса wlp2s5, на шлюзе получаю нижеприведенное-
tcpdump host 192.168.0.12 -i enp2s0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:56:19.589291 IP 192.168.0.12.45043 > myhost06.domain: 19611+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.589352 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80
09:56:19.589779 IP 192.168.0.12.51202 > 10.10.0.30.domain: 19611+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.590420 IP 10.10.0.30.domain > 192.168.0.12.51202: 19611 NXDomain 0/1/0 (98)
09:56:19.591182 IP 192.168.0.12.44902 > myhost06.domain: 18046+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.591217 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80
09:56:19.591799 IP 192.168.0.12.42936 > 10.10.0.30.domain: 18046+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.592342 IP 10.10.0.30.domain > 192.168.0.12.42936: 18046 NXDomain 0/1/0 (98)
09:56:19.593603 IP 192.168.0.12.33622 > myhost06.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.593649 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80
09:56:19.594080 IP 192.168.0.12.56910 > 10.10.0.30.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:19.594600 IP 10.10.0.30.domain > 192.168.0.12.56910: 49352 NXDomain 0/1/0 (98)
09:56:21.588680 ARP, Request who-has myhost06 tell 192.168.0.12, length 46
09:56:21.588697 ARP, Reply myhost06 is-at 00:19:5b:ea:68:e1 (oui Unknown), length 28
09:56:22.599281 IP 192.168.0.12.45649 > myhost06.domain: 1122+ PTR? 1.249.16.172.in-addr.arpa. (44)
09:56:22.599336 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 80
..
Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.

Содержание

Прошу помощи с firewall,asavah, 13:18 , 04-Апр-14
- Прошу помощи с firewall,bsm, 13:39 , 04-Апр-14
Прошу помощи с firewall,reader, 13:56 , 04-Апр-14
- Прошу помощи с firewall,bsm, 14:02 , 04-Апр-14
  - Прошу помощи с firewall,asavah, 14:14 , 04-Апр-14
  - Прошу помощи с firewall,reader, 14:16 , 04-Апр-14
    - Прошу помощи с firewall,bsm, 14:32 , 04-Апр-14
      - Прошу помощи с firewall,reader, 14:59 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 15:47 , 04-Апр-14
        
        Прошу помощи с firewall,reader, 16:20 , 04-Апр-14
        
        Прошу помощи с firewall,reader, 16:30 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 16:42 , 04-Апр-14
        
        Прошу помощи с firewall,reader, 16:48 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 16:51 , 04-Апр-14
        
        Прошу помощи с firewall,reader, 16:54 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 16:58 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 17:06 , 04-Апр-14
        
        Прошу помощи с firewall,reader, 17:14 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 17:35 , 04-Апр-14
        
        Прошу помощи с firewall,reader, 17:43 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 18:01 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 18:21 , 04-Апр-14
        Прошу помощи с firewall,reader, 20:07 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 08:38 , 07-Апр-14
        
        Прошу помощи с firewall,reader, 11:30 , 07-Апр-14
        
        Прошу помощи с firewall,bsm, 12:08 , 07-Апр-14
        
        Прошу помощи с firewall,reader, 13:20 , 07-Апр-14
        
        Прошу помощи с firewall,bsm, 13:21 , 07-Апр-14
        
        Прошу помощи с firewall,reader, 13:43 , 07-Апр-14
        
        Прошу помощи с firewall,bsm, 15:57 , 07-Апр-14
        
        Прошу помощи с firewall,bsm, 16:34 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 16:35 , 04-Апр-14
        Прошу помощи с firewall,reader, 16:41 , 04-Апр-14
    - Прошу помощи с firewall,bsm, 14:42 , 04-Апр-14
      - Прошу помощи с firewall,asavah, 17:09 , 04-Апр-14
        
        Прошу помощи с firewall,bsm, 17:27 , 04-Апр-14
        Прошу помощи с firewall,Дядя_Федор, 19:32 , 05-Апр-14

Сообщения в этом обсуждении

"Прошу помощи с firewall"
Отправлено asavah , 04-Апр-14 13:18

> Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.
Включить forwarding в sysctl не?

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 13:39

>> Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.
> Включить forwarding в sysctl не?
Включен.

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 13:56

>[оверквотинг удален]
> 09:56:19.594080 IP 192.168.0.12.56910 > 10.10.0.30.domain: 49352+ PTR? 1.249.16.172.in-addr.arpa.
> (44)
> 09:56:19.594600 IP 10.10.0.30.domain > 192.168.0.12.56910: 49352 NXDomain 0/1/0 (98)
> 09:56:21.588680 ARP, Request who-has myhost06 tell 192.168.0.12, length 46
> 09:56:21.588697 ARP, Reply myhost06 is-at 00:19:5b:ea:68:e1 (oui Unknown), length 28
> 09:56:22.599281 IP 192.168.0.12.45649 > myhost06.domain: 1122+ PTR? 1.249.16.172.in-addr.arpa.
> (44)
> 09:56:22.599336 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable,
> length 80
> ..
и что тут нужно было увидеть?
на myhost06 нет DNS или вас на него не пустили.
DNS есть на 10.10.0.30
> Как добиться получения ответа на интерфейсе wlp2s5? Спасибо.
а 192.168.0.6 что знает о 172.16.249.0
в общем пока выглядит каким-то бредом

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 14:02

> а 192.168.0.6 что знает о 172.16.249.0
> в общем пока выглядит каким-то бредом
Если у Вас имеются рекомендации, я готов их использовать.

"Прошу помощи с firewall"
Отправлено asavah , 04-Апр-14 14:14

>> а 192.168.0.6 что знает о 172.16.249.0
>> в общем пока выглядит каким-то бредом
> Если у Вас имеются рекомендации, я готов их использовать.
Мля, ping -I на ifname не будет работать если на этом интерфейсе нет маршрута по умолчанию
почему хз
работать будет ping -I ip_on_needed_iface
vlan1102 -> белый, внешний, на нём висит маршрут по умолчанию.
vlan75 -> серый, 192.168.75.9, за натом на 1102
# ping -I vlan1102 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from ... vlan1102: 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=50 time=40.9 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=50 time=68.3 ms
64 bytes from 8.8.8.8: icmp_req=3 ttl=50 time=40.7 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 40.748/50.031/68.373/12.972 ms
# ping -I vlan75 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.75.9 vlan75: 56(84) bytes of data.
From 192.168.75.9 icmp_seq=1 Destination Host Unreachable
From 192.168.75.9 icmp_seq=2 Destination Host Unreachable
From 192.168.75.9 icmp_seq=3 Destination Host Unreachable
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 received, +3 errors, 100% packet loss, time 3004ms
pipe 3
# ping -I 192.168.75.9 8.8.8.8 <- так работает падла.
PING 8.8.8.8 (8.8.8.8) from 192.168.75.9 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=50 time=40.8 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=50 time=40.6 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 40.650/40.731/40.813/0.217 ms

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 14:16

>> а 192.168.0.6 что знает о 172.16.249.0
>> в общем пока выглядит каким-то бредом
> Если у Вас имеются рекомендации, я готов их использовать.
Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний, потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6 при том что есть 192.168.0.12 выглядит непонятным

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 14:32

> Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний,
> потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6
> при том что есть 192.168.0.12 выглядит непонятным
Если я не указываю какой интерфейс использую для выхода во внешнюю, за шлюз, сеть, то используется интерфейс epn2s4,- это проводное соединение. Всё работает. Интерфейс wlp2s5 - программная точка доступа и через неё необходим выход во внешние сети. С внешнего wi-fi устройства я имею доступ к программной точке доступа, но не далее шлюза. Как добиться работы на интерфейсе wlp2s5, подобно интерфейсу enp2s4,- для меня, пока, не понятно. Сам разобраться не могу, поэтому и обращаюсь к сообществу.

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 14:59

>> Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний,
>> потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6
>> при том что есть 192.168.0.12 выглядит непонятным
> Если я не указываю какой интерфейс использую для выхода во внешнюю, за
> шлюз, сеть, то используется интерфейс epn2s4,- это проводное соединение. Всё работает.
> Интерфейс wlp2s5 - программная точка доступа и через неё необходим выход
> во внешние сети. С внешнего wi-fi устройства я имею доступ к
> программной точке доступа, но не далее шлюза. Как добиться работы на
> интерфейсе wlp2s5, подобно интерфейсу enp2s4,- для меня, пока, не понятно. Сам
> разобраться не могу, поэтому и обращаюсь к сообществу.
если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера
если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5 пакета не будет

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 15:47

> если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера
> если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет
> с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5
> пакета не будет
Интерфейсы enp2s4 и wlp2s5 находятся на одном системном блоке. Внешний wi-fi - планшет. Если я с планшета пингую 192.168.0.12 (ip enp2s4), 172.16.249.1 (ip wlp2s5), 192.168.0.6 (ip шлюза)- ответ я получаю. При попытке пинговать, что-либо находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу в tcpdump, попытке резолвить ip с которого выполняется ping, в данном случае с 172.16.249.3 (ip планшета).

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 16:20

>> если внешний wi-fi находится за wlp2s5 , то читайте темы 2 провайдера
>> если внешний wi-fi находится за enp2s4 и какая то программа отправляет пакет
>> с ip 172.16.249.1, то пакет пойдет через enp2s4 , на wlp2s5
>> пакета не будет
> Интерфейсы enp2s4 и wlp2s5 находятся на одном системном блоке. Внешний wi-fi -
> планшет. Если я с планшета пингую 192.168.0.12 (ip enp2s4), 172.16.249.1 (ip
> wlp2s5), 192.168.0.6 (ip шлюза)- ответ я получаю. При попытке пинговать, что-либо
> находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу
> в tcpdump, попытке резолвить ip с которого выполняется ping, в данном
> случае с 172.16.249.3 (ip планшета).
значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть?
а forward от/к 172.16.249.0 на шлюзе разрешен?
на 172.16.249.3 шлюзом 172.16.249.1 указан?
DNS на 172.16.249.3 прописан?
tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс, то отдельно с внутреннего и внешнего интерфейса
и обращаетесь с планшета в инет

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 16:30

>[оверквотинг удален]
>> находящееся за шлюзом,- ответ не приходит, а на плюзе я вижу
>> в tcpdump, попытке резолвить ip с которого выполняется ping, в данном
>> случае с 172.16.249.3 (ip планшета).
> значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть?
> а forward от/к 172.16.249.0 на шлюзе разрешен?
> на 172.16.249.3 шлюзом 172.16.249.1 указан?
> DNS на 172.16.249.3 прописан?
> tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс,
> то отдельно с внутреннего и внешнего интерфейса
> и обращаетесь с планшета в инет
и snat уберите
2 168 SNAT all -- * wlp2s5 0.0.0.0/0 0.0.0.0/0 to:172.16.249.1

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 16:42

Состояние firewall-
firewall..
Chain INPUT (policy ACCEPT 3634 packets, 568K bytes)
pkts bytes target     prot opt in     out     source               destination
Chain FORWARD (policy ACCEPT 365 packets, 27720 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 1046 packets, 135K bytes)
pkts bytes target     prot opt in     out     source               destination
Chain PREROUTING (policy ACCEPT 183 packets, 19386 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain INPUT (policy ACCEPT 134 packets, 16497 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 27 packets, 1848 bytes)
pkts bytes target     prot opt in     out     source               destination
Chain POSTROUTING (policy ACCEPT 1 packets, 84 bytes)
pkts bytes target     prot opt in     out     source               destination
   53  3333 SNAT       all  --  *      enp2s4  0.0.0.0/0            0.0.0.0/0            to:192.168.0.12
ping с планшета на шлюз (192.168.0.6) и внешние узлы, если указать их адрес, идёт. Но при указании имени внешнего узла- ping не проходит.

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 16:48

>[оверквотинг удален]
>    out     source
>
>  destination
>    53  3333 SNAT
>  all  --  *
> enp2s4  0.0.0.0/0
>    0.0.0.0/0
>     to:192.168.0.12
> ping с планшета на шлюз (192.168.0.6) и внешние узлы, если указать их
> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
ну так DNS пропишите

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 16:51

>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
> ну так DNS пропишите
Как это сделать на androide я не знаю.

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 16:54

>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
>> ну так DNS пропишите
> Как это сделать на androide я не знаю.
там дополнительные настройки для подключения должны быть, там ручками все прописываете

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 16:58

>>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
>>> ну так DNS пропишите
>> Как это сделать на androide я не знаю.
> там дополнительные настройки для подключения должны быть, там ручками все прописываете
Сейчас попробую.

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 17:06

>>>>> адрес, идёт. Но при указании имени внешнего узла- ping не проходит.
>>>> ну так DNS пропишите
>>> Как это сделать на androide я не знаю.
>> там дополнительные настройки для подключения должны быть, там ручками все прописываете
Не нашёл. Но при запросе из браузера планшета узла google.ru tcpdump на шлюзе показал:
[root@myhost06 bsm]# tcpdump host 192.168.0.12 -i enp2s0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:02:08.840973 IP 192.168.0.12.citrixima > myhost06.domain: 10403+ A? www.google.ru. (31)
16:02:08.841029 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.846629 IP 192.168.0.12.32299 > myhost06.domain: 10403+ A? www.google.ru. (31)
16:02:08.846663 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.850171 IP 192.168.0.12.35610 > myhost06.domain: 35650+ A? www.google.ru. (31)
16:02:08.850212 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.852806 IP 192.168.0.12.57182 > myhost06.domain: 35650+ A? www.google.ru. (31)
16:02:08.852849 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.861031 IP 192.168.0.12.16138 > myhost06.domain: 5716+ A? www.google.ru. (31)
16:02:08.861074 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.863149 IP 192.168.0.12.21919 > myhost06.domain: 5716+ A? www.google.ru. (31)
16:02:08.863189 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:08.866280 IP 192.168.0.12.14506 > myhost06.domain: 48707+ A? www.google.ru. (31)
16:02:13.870427 IP 192.168.0.12.14506 > myhost06.domain: 48707+ A? www.google.ru. (31)
16:02:13.870500 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable, length 67
16:02:18.875896 ARP, Request who-has 192.168.0.12 tell myhost06, length 28
16:02:18.876045 ARP, Reply 192.168.0.12 is-at 00:c0:26:a8:c9:f0 (oui Unknown), length 46
^C
17 packets captured
17 packets received by filter
0 packets dropped by kernel
Быть может это прояснит ситуацию?

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 17:14

>[оверквотинг удален]
> 16:02:13.870500 IP myhost06 > 192.168.0.12: ICMP myhost06 udp port domain unreachable,
> length 67
> 16:02:18.875896 ARP, Request who-has 192.168.0.12 tell myhost06, length 28
> 16:02:18.876045 ARP, Reply 192.168.0.12 is-at 00:c0:26:a8:c9:f0 (oui Unknown), length
> 46
> ^C
> 17 packets captured
> 17 packets received by filter
> 0 packets dropped by kernel
> Быть может это прояснит ситуацию?
myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно было
если ваш шлюз, поднимите на нем кеширующий DNS

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 17:35

> myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно
> было
> если ваш шлюз, поднимите на нем кеширующий DNS
Это шлюз, DNS для него находится в сети провайдера на 10.10.0.30

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 17:43

>> myhost06 - это шлюз? tcpdump с ключом -n что бы ip видно
>> было
>> если ваш шлюз, поднимите на нем кеширующий DNS
> Это шлюз, DNS для него находится в сети провайдера на 10.10.0.30
но планшет обращается к шлюзу за разрешением имени
tcpdump на wlp2s5 смотрите
после
53 3333 SNAT all -- * enp2s4 0.0.0.0/0 0.0.0.0/0 to:192.168.0.12
шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12.
поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24.
а на 192.168.0.12 что DNS ?

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 18:01

> tcpdump на wlp2s5 смотрите
При шлюза с планшета-
[root@old-server adapter]# tcpdump -i wlp2s5 -nv
tcpdump: listening on wlp2s5, link-type EN10MB (Ethernet), capture size 65535 bytes
16:58:15.790277 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 354)
    172.16.249.3.68 > 172.16.249.1.67: BOOTP/DHCP, Request from 00:3a:05:a1:fa:75, length 326, xid 0xd2913cd0, secs 290, Flags [none]
      Client-IP 172.16.249.3
      Client-Ethernet-Address 00:3a:05:a1:fa:75
      Vendor-rfc1048 Extensions
        Magic Cookie 0x63825363
        DHCP-Message Option 53, length 1: Request
        MSZ Option 57, length 2: 1500
        Vendor-Class Option 60, length 39: "dhcpcd-5.2.10:Linux-3.0.8+:armv7l:sun5i"
        Hostname Option 12, length 24: "android-27547da37548c169"
        Parameter-Request Option 55, length 9:
          Subnet-Mask, Static-Route, Default-Gateway, Domain-Name-Server
          Domain-Name, BR, Lease-Time, RN
          RB
16:58:15.829317 IP (tos 0x0, ttl 64, id 21152, offset 0, flags [DF], proto UDP (17), length 328)
    172.16.249.1.67 > 172.16.249.3.68: BOOTP/DHCP, Reply, length 300, xid 0xd2913cd0, secs 290, Flags [none]
      Client-IP 172.16.249.3
      Your-IP 172.16.249.3
      Client-Ethernet-Address 00:3a:05:a1:fa:75
      Vendor-rfc1048 Extensions
        Magic Cookie 0x63825363
        DHCP-Message Option 53, length 1: ACK
        Server-ID Option 54, length 4: 172.16.249.1
        Lease-Time Option 51, length 4: 600
        Subnet-Mask Option 1, length 4: 255.255.255.0
        Default-Gateway Option 3, length 4: 172.16.249.1
        Domain-Name-Server Option 6, length 4: 192.168.0.6
        Domain-Name Option 15, length 15: "bsm_TestHostapd"
        BR Option 28, length 4: 172.16.249.255
16:58:20.315136 EAPOL key (3) v2, len 143
16:58:20.345382 EAPOL key (3) v1, len 95
16:58:36.770420 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 1, length 64
16:58:36.770751 IP (tos 0x0, ttl 63, id 57756, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 1, length 64
16:58:37.773170 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 2, length 64
16:58:37.773490 IP (tos 0x0, ttl 63, id 57757, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 2, length 64
16:58:38.773465 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    172.16.249.3 > 192.168.0.6: ICMP echo request, id 29957, seq 3, length 64
16:58:38.773792 IP (tos 0x0, ttl 63, id 57758, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.0.6 > 172.16.249.3: ICMP echo reply, id 29957, seq 3, length 64
16:58:41.774241 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.3 tell 172.16.249.1, length 28
16:58:41.847806 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.3 is-at 00:3a:05:a1:fa:75, length 28
16:59:09.852753 IP (tos 0x0, ttl 64, id 7323, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.20023 > 192.168.0.6.53: 37834+ A? ya.ru. (23)
16:59:09.853085 IP (tos 0xc0, ttl 63, id 57759, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7323, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.20023 > 192.168.0.6.53: 37834+ A? ya.ru. (23)
16:59:09.860916 IP (tos 0x0, ttl 64, id 7324, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.44856 > 192.168.0.6.53: 37834+ A? ya.ru. (23)
16:59:09.861212 IP (tos 0xc0, ttl 63, id 57760, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7324, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.44856 > 192.168.0.6.53: 37834+ A? ya.ru. (23)
16:59:09.869265 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.3379 > 192.168.0.6.53: 2007+ A? ya.ru. (23)
16:59:09.869550 IP (tos 0xc0, ttl 63, id 57761, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.3379 > 192.168.0.6.53: 2007+ A? ya.ru. (23)
16:59:09.871797 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.14604 > 192.168.0.6.53: 2007+ A? ya.ru. (23)
16:59:09.872092 IP (tos 0xc0, ttl 63, id 57762, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.14604 > 192.168.0.6.53: 2007+ A? ya.ru. (23)
16:59:09.874138 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.61203 > 192.168.0.6.53: 50544+ A? ya.ru. (23)
16:59:09.874424 IP (tos 0xc0, ttl 63, id 57763, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.61203 > 192.168.0.6.53: 50544+ A? ya.ru. (23)
16:59:09.876147 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.7269 > 192.168.0.6.53: 50544+ A? ya.ru. (23)
16:59:09.876432 IP (tos 0xc0, ttl 63, id 57764, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.7269 > 192.168.0.6.53: 50544+ A? ya.ru. (23)
16:59:09.878399 IP (tos 0x0, ttl 64, id 7325, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23)
16:59:14.867572 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.3 tell 172.16.249.1, length 28
16:59:14.883434 IP (tos 0x0, ttl 64, id 7326, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23)
16:59:14.883756 IP (tos 0xc0, ttl 63, id 57765, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7326, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.23865 > 192.168.0.6.53: 54321+ A? ya.ru. (23)
16:59:14.886158 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.3 is-at 00:3a:05:a1:fa:75, length 28
16:59:14.886219 IP (tos 0x0, ttl 64, id 7826, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.7252 > 192.168.0.6.53: 55958+ A? ya.ru. (23)
16:59:14.886494 IP (tos 0xc0, ttl 63, id 57766, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7826, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.7252 > 192.168.0.6.53: 55958+ A? ya.ru. (23)
16:59:14.887964 IP (tos 0x0, ttl 64, id 7826, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.35554 > 192.168.0.6.53: 55958+ A? ya.ru. (23)
16:59:14.888244 IP (tos 0xc0, ttl 63, id 57767, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7826, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.35554 > 192.168.0.6.53: 55958+ A? ya.ru. (23)
16:59:14.889848 IP (tos 0x0, ttl 64, id 7827, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.35667 > 192.168.0.6.53: 39+ A? ya.ru. (23)
16:59:14.890138 IP (tos 0xc0, ttl 63, id 57768, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7827, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.35667 > 192.168.0.6.53: 39+ A? ya.ru. (23)
16:59:14.891616 IP (tos 0x0, ttl 64, id 7827, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.19908 > 192.168.0.6.53: 39+ A? ya.ru. (23)
16:59:14.891902 IP (tos 0xc0, ttl 63, id 57769, offset 0, flags [none], proto ICMP (1), length 79)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 59
    IP (tos 0x0, ttl 63, id 7827, offset 0, flags [DF], proto UDP (17), length 51)
    172.16.249.3.19908 > 192.168.0.6.53: 39+ A? ya.ru. (23)
16:59:21.266517 IP (tos 0x0, ttl 64, id 8464, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.16623 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37)
16:59:21.266845 IP (tos 0xc0, ttl 63, id 57770, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8464, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.16623 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37)
16:59:21.269835 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.20943 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37)
16:59:21.270127 IP (tos 0xc0, ttl 63, id 57771, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.20943 > 192.168.0.6.53: 5984+ A? play.googleapis.com. (37)
16:59:21.271667 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.5821 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37)
16:59:21.271981 IP (tos 0xc0, ttl 63, id 57772, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.5821 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37)
16:59:21.273423 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.32916 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37)
16:59:21.273726 IP (tos 0xc0, ttl 63, id 57773, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.32916 > 192.168.0.6.53: 50097+ A? play.googleapis.com. (37)
16:59:21.276173 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.38982 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37)
16:59:21.276472 IP (tos 0xc0, ttl 63, id 57774, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.38982 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37)
16:59:21.278065 IP (tos 0x0, ttl 64, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.47614 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37)
16:59:21.278352 IP (tos 0xc0, ttl 63, id 57775, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8465, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.47614 > 192.168.0.6.53: 1085+ A? play.googleapis.com. (37)
16:59:21.279917 IP (tos 0x0, ttl 64, id 8466, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
16:59:26.268964 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.1 tell 172.16.249.3, length 28
16:59:26.269022 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.1 is-at 10:fe:ed:5e:92:80, length 28
16:59:26.298231 IP (tos 0x0, ttl 64, id 8467, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
16:59:26.298544 IP (tos 0xc0, ttl 63, id 57776, offset 0, flags [none], proto ICMP (1), length 93)
    192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53 unreachable, length 73
    IP (tos 0x0, ttl 63, id 8467, offset 0, flags [DF], proto UDP (17), length 65)
    172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
^C
54 packets captured
54 packets received by filter
0 packets dropped by kernel
[root@old-server adapter]#
> после
>  53  3333 SNAT       all
>  --  *      enp2s4
> 0.0.0.0/0
>  0.0.0.0/0
>   to:192.168.0.12
Сейчас так и выполняется.
> шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12.
> поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24.
> а на 192.168.0.12 что DNS ?
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.6     0.0.0.0         UG    0      0        0 enp2s4
172.16.249.0    0.0.0.0         255.255.255.0   U     0      0        0 wlp2s5
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 enp2s4

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 18:21

Спасибо всем принимавшим участие в обсуждении темы. На сегодня всё. Появлюсь в понедельник.

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 20:07

>[оверквотинг удален]
> Domain-Name-Server Option 6, length 4: 192.168.0.6
планшету выдали dns
> 16:59:21.279917 IP (tos 0x0, ttl 64, id 8466, offset 0, flags [DF],
> proto UDP (17), length 65)
>     172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
> 16:59:26.268964 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.249.1 tell
> 172.16.249.3, length 28
> 16:59:26.269022 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.16.249.1 is-at 10:fe:ed:5e:92:80,
> length 28
> 16:59:26.298231 IP (tos 0x0, ttl 64, id 8467, offset 0, flags [DF],
> proto UDP (17), length 65)
>     172.16.249.3.3169 > 192.168.0.6.53: 18090+ A? play.googleapis.com. (37)
об чем и речь, 172.16.249.3 считает что dns на 192.168.0.6
> 16:59:26.298544 IP (tos 0xc0, ttl 63, id 57776, offset 0, flags [none],
> proto ICMP (1), length 93)
>     192.168.0.6 > 172.16.249.3: ICMP 192.168.0.6 udp port 53
> unreachable, length 73
>  IP (tos 0x0, ttl 63, id 8467, offset 0, flags [DF],
> proto UDP (17), length 65)
а в ответ - болт, так как порт 53 там никто не слушает

>[оверквотинг удален]
>> после
>>  53  3333 SNAT       all
>>  --  *      enp2s4
>> 0.0.0.0/0
>>  0.0.0.0/0
>>   to:192.168.0.12
> Сейчас так и выполняется.
>> шлюз (192.168.0.6) не будет видеть 172.16.249.3, будет 192.168.0.12.
>> поэтому на шлюзе в FORWARD не 172.16.249.0/24 , а 192.168.0.0/24.
>> а на 192.168.0.12 что DNS ?
зачем таблица маршрутизации?
если по ip работает, то с маршрутизацией нормально все.
какой адрес DNS сервера прописан?
cat /etc/resolv.conf или где вы его там прописывали.
и смотрите чего по настаивали в этой софтине, что точку делает.
DHCP поднимали для выдачи адресов?
>[оверквотинг удален]
> UG    0      0
>        0 enp2s4
> 172.16.249.0    0.0.0.0
>  255.255.255.0   U     0
>     0
>  0 wlp2s5
> 192.168.0.0     0.0.0.0
>   255.255.255.0   U     0
>      0
>   0 enp2s4

"Прошу помощи с firewall"
Отправлено bsm , 07-Апр-14 08:38

> а в ответ - болт, так как порт 53 там никто не
> слушает
А как же слушаются запросы с 192.168.0.12 (интерфейс enp2s4)?
> какой адрес DNS сервера прописан?
> cat /etc/resolv.conf или где вы его там прописывали.
[root@old-server ~]# cat /etc/resolv.conf
# Пн апр  7 07:31:05 EEST 2014
nameserver 192.168.0.6
nameserver 10.10.0.30

> и смотрите чего по настаивали в этой софтине, что точку делает.
> DHCP поднимали для выдачи адресов?
ddns-update-style none;
option domain-name bsm_TestHostapd;
option domain-name-servers 192.168.0.6 ;
subnet 172.16.249.0 netmask 255.255.255.0 {
    option routers 172.16.249.1;
    range 172.16.249.2 172.16.249.14;
    option broadcast-address 172.16.249.255;
    default-lease-time 600;
    max-lease-time 7200;
    log-facility local7;
}
Иначе как я получу адрес для планшета?

"Прошу помощи с firewall"
Отправлено reader , 07-Апр-14 11:30

>> а в ответ - болт, так как порт 53 там никто не
>> слушает
> А как же слушаются запросы с 192.168.0.12 (интерфейс enp2s4)?
>> какой адрес DNS сервера прописан?
>> cat /etc/resolv.conf или где вы его там прописывали.
> [root@old-server ~]# cat /etc/resolv.conf
> # Пн апр  7 07:31:05 EEST 2014
> nameserver 192.168.0.6
> nameserver 10.10.0.30
это с 192.168.0.12? тут 2 ip DNS, на 192.168.0.6 вы не поднимали DNS и соответственно ответов от DNS на 192.168.0.6 не получите, но есть 10.10.0.30 с него ответ приходит
>> и смотрите чего по настаивали в этой софтине, что точку делает.
>> DHCP поднимали для выдачи адресов?
> ddns-update-style none;
> option domain-name bsm_TestHostapd;
> option domain-name-servers 192.168.0.6 ;
вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет
потом когда на 192.168.0.6 поднимите DNS , если захотите, тогда укажите его или оба
> subnet 172.16.249.0 netmask 255.255.255.0 {
>     option routers 172.16.249.1;
>     range 172.16.249.2 172.16.249.14;
>     option broadcast-address 172.16.249.255;
>     default-lease-time 600;
>     max-lease-time 7200;
>     log-facility local7;
> }
> Иначе как я получу адрес для планшета?

"Прошу помощи с firewall"
Отправлено bsm , 07-Апр-14 12:08

> это с 192.168.0.12? тут 2 ip DNS, на 192.168.0.6 вы не поднимали
> DNS и соответственно ответов от DNS на 192.168.0.6 не получите, но
> есть 10.10.0.30 с него ответ приходит
route на 192.168.0.6:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 ppp0
10.0.0.0        10.10.1.1       255.0.0.0       UG    0      0        0 enp2s2
10.10.0.18      10.10.1.1       255.255.255.255 UGH   0      0        0 enp2s2
10.10.1.0       *               255.255.255.0   U     0      0        0 enp2s2
172.16.249.0    *               255.255.255.0   U     0      0        0 enp2s0
192.162.116.1   *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     0      0        0 enp2s0
cat /etc/resolv.conf на 192.168.0.6:
# Generated by resolvconf
nameserver 10.10.0.30
Если не использовать программную точку доступа 172.16.249.1 (wlp2s5), а работать лишь через 192.168.0.12 (enp2s4), то всё работает; при этом в firewall на 192.168.0.6 прописаны правила для узла с ip 192.168.0.12 и для сети 172.16.249.0/24, как для адреса 192.168.0.12.
> вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет
Сейчас попробую.
Попробовал- на шлюзе 192.168.0.6, при пинговании с интерфейса wlp2s5 выполняется попытка отрезолвить адрес программной точки доступа.

"Прошу помощи с firewall"
Отправлено reader , 07-Апр-14 13:20

>[оверквотинг удален]
> # Generated by resolvconf
> nameserver 10.10.0.30
> Если не использовать программную точку доступа 172.16.249.1 (wlp2s5), а работать лишь через
> 192.168.0.12 (enp2s4), то всё работает; при этом в firewall на 192.168.0.6
> прописаны правила для узла с ip 192.168.0.12 и для сети 172.16.249.0/24,
> как для адреса 192.168.0.12.
>> вместо 192.168.0.6 пропишите 10.10.0.30 и перезапустите DHCP и переподключите планшет
> Сейчас попробую.
> Попробовал- на шлюзе 192.168.0.6, при пинговании с интерфейса wlp2s5 выполняется попытка
> отрезолвить адрес программной точки доступа.
да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет это не нужно

"Прошу помощи с firewall"
Отправлено bsm , 07-Апр-14 13:21

> да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет
> это не нужно
Согласен, но по их наличию я проверяю возможность доступа а интернет.

"Прошу помощи с firewall"
Отправлено reader , 07-Апр-14 13:43

>> да сдались вам эти пинги с wlp2s5, для выпуска планшета в инет
>> это не нужно
> Согласен, но по их наличию я проверяю возможность доступа а интернет.
нет, DNS - разные, настройки форвардинга - разные, маршрутизация - разные, цепи в firewall - разные, вы проверяете только возможность выхода в инет с ip на wlp2s5, поэтому возможность выхода в инет через wifi проверяйте с устройства подключенного по wifi

"Прошу помощи с firewall"
Отправлено bsm , 07-Апр-14 15:57

> нет, DNS - разные, настройки форвардинга - разные, маршрутизация - разные, цепи
> в firewall - разные, вы проверяете только возможность выхода в инет
> с ip на wlp2s5, поэтому возможность выхода в инет через wifi
> проверяйте с устройства подключенного по wifi
Ура, всё заработало. Что сделано- в dhcpd.conf для программной точки доступа строка
option domain-name-servers 192.168.0.6;
заменена на строку-
option domain-name-servers 10.10.0.30;
Всем спасибо. Тема закрыта.

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 16:34

> значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть?
> а forward от/к 172.16.249.0 на шлюзе разрешен?
Указаний о сети 172.16.249.0/24 на шлюзе нет.
> на 172.16.249.3 шлюзом 172.16.249.1 указан?
> DNS на 172.16.249.3 прописан?
После установки соединения планшета с 172.16.249.1 и получения им адреса 172.16.249.3, адрес 172.16.249.1 становится для планшета шлюзом.
> tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс,
> то отдельно с внутреннего и внешнего интерфейса
На шлюзе- linux. tcpdump для 172.16.249.0/24 ничего не выдаёт, лишь для 192.168.0.12 (enp2s4)
> и обращаетесь с планшета в инет
Нет, далее шлюза не идёт.

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 16:35

>> на 172.16.249.3 шлюзом 172.16.249.1 указан?
>> DNS на 172.16.249.3 прописан?
> После установки соединения планшета НА 172.16.249.1 и получения им адреса 172.16.249.3,
> адрес 172.16.249.1 становится для планшета шлюзом.

"Прошу помощи с firewall"
Отправлено reader , 04-Апр-14 16:41

>> значит маршрут к 172.16.249.0 на шлюзе (192.168.0.6) есть?
>> а forward от/к 172.16.249.0 на шлюзе разрешен?
> Указаний о сети 172.16.249.0/24 на шлюзе нет.
>> на 172.16.249.3 шлюзом 172.16.249.1 указан?
>> DNS на 172.16.249.3 прописан?
> После установки соединения планшета с 172.16.249.1 и получения им адреса 172.16.249.3,
> адрес 172.16.249.1 становится для планшета шлюзом.
DNS?
>> tcpdump -i any host 172.16.249.3 с шлюза , если там не линукс,
>> то отдельно с внутреннего и внешнего интерфейса
> На шлюзе- linux. tcpdump для 172.16.249.0/24 ничего не выдаёт, лишь для 192.168.0.12
> (enp2s4)
snat на enp2s4 (192.168.0.12) ?
>> и обращаетесь с планшета в инет
> Нет, далее шлюза не идёт.

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 14:42

> Прочитать как работает сеть и озвучить основную задачу с учетом этих знаний,
> потому что абстрактный вопрос как с 172.16.249.1 установить соединение через 192.168.0.6
> при том что есть 192.168.0.12 выглядит непонятным
Как не странно:
[root@old-server adapter]# ping -c 3 8.8.8.8 -I wlp2s5
PING 8.8.8.8 (8.8.8.8) from 172.16.249.1 wlp2s5: 56(84) bytes of data.
From 172.16.249.1 icmp_seq=1 Destination Host Unreachable
From 172.16.249.1 icmp_seq=2 Destination Host Unreachable
From 172.16.249.1 icmp_seq=3 Destination Host Unreachable
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2007ms
pipe 3
[root@old-server adapter]# ping -c 3 8.8.8.8 -I 172.16.249.1
PING 8.8.8.8 (8.8.8.8) from 172.16.249.1 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=50 time=37.1 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=50 time=36.9 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=50 time=37.1 ms
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 36.950/37.066/37.148/0.237 ms

"Прошу помощи с firewall"
Отправлено asavah , 04-Апр-14 17:09

> Как это сделать на androide я не знаю.
Если вы не знаете где нсы гандроиду вбить ручками - не рановато ли вам шлюзы индусить?
>Как не странно:
Я парой постов выше это расписал.
Если на _интерфейсе_ нет маршрута к тому кого мы пингуем с -I ifname пакеты уходят в лес.
Вы очень невнятно расписали _что_ вы пытаетесь сделать.
Шлюз 192.168.0.6 _знает_ (я о маршруте) о сетке 172.x.x.x ?????
Если знает то нат нах не нужен ни на одном интерфейсе.
Если не знает то SNAT надо делать на 192.168.0.12 , а не на 172.чего.то.там.
Насколько я вижу у вас в голове огромная путаница, вы элементарно не понимаете базовых принципов работы сетей хотябы на L3.Скопипастить пару кривеньких правил с гугла не подразумевает понимания.
Учите матчасть и увидите как всё прояснится.

"Прошу помощи с firewall"
Отправлено bsm , 04-Апр-14 17:27

> Вы очень невнятно расписали _что_ вы пытаетесь сделать.
Я пытаюсь, подняв программную точку доступа, через неё выйти в интернет с планшета или иного устройства.
> Шлюз 192.168.0.6 _знает_ (я о маршруте) о сетке 172.x.x.x ?????
Сейчас на шлюзе прописал-
iptables -I FORWARD -s 172.16.249.0/24 -j ACCEPT
iptables -I FORWARD -d 172.16.249.0/24 -j ACCEPT
Выполнил на планшете ping ya.ru - ответа не получил.
> Если знает то нат нах не нужен ни на одном интерфейсе.
> Если не знает то SNAT надо делать на 192.168.0.12 , а не
> на 172.чего.то.там.
Сделано
> Насколько я вижу у вас в голове огромная путаница, вы элементарно не
> понимаете базовых принципов работы сетей хотябы на L3.Скопипастить пару кривеньких правил
> с гугла не подразумевает понимания.
> Учите матчасть и увидите как всё прояснится.
Когда чтение документации не помогает, приходится прибегать к помощи сообщества.

"Прошу помощи с firewall"
Отправлено Дядя_Федор , 05-Апр-14 19:32

> Если на _интерфейсе_ нет маршрута к тому кого мы пингуем с -I
> ifname пакеты уходят в лес.
Ну почему же в лес? На дефолтный шлюз уйдут. :) Ну, если не настроена марштуризация по источнику, конечно, на каждом интерфейсе.