Kirjoittaja Aihe: [Ratkaistu]Mysteeri ongelma verkon reitityksen kanssa  (Luettu 2635 kertaa)

Sapa

  • Käyttäjä
  • Viestejä: 6
  • Registered Linux user #382747
    • Profiili
Hei!

Vaihdoin tuossa vihdosta ja viimein noin kuukausi sitten Mandrakesta Kubuntuuun (Feisty) ja sain samalla käsiini toisen verkkokortin.
Nyt tarvittais jonkun gurun neuvoja mitenkäs saapi nuo verkkokortit tajuamaa mitä mie haluan.

taustaa..
Eli aloitetaan rautapuolelta.  Telewellin ADSL modeemi, jossa 4 porttia(1&2 windows koneet, 3 kubuntu LAN, 4 suoraan netissä)
Raimon loistavan mini-howto ohjeitten mukaisesti asetin iptablesit piiloon ja tarvittavat portit auki, aika helppoa kun on edes haju asiasta.
Kaikki toimii juuri niinkuin pitää, kun on eth0(eli adsl modeemin 4 portissa oleve) piuhoissa. Lisätään eth1:lle piuha ja kaikki menee sekaisin.
Selain käyttää eth1, mistään edes auki olevasta portista ei pääse sisään eth0:n ip:llä.

Lainaus
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere
ACCEPT     0    --  192.168.0.0/24       anywhere
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:14534
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:51234
ACCEPT     udp  --  anywhere             anywhere            udp dpt:8767
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:webmin
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:auth
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:6881
ACCEPT     udp  --  anywhere             anywhere            udp spt:4444

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     0    --  anywhere             192.168.0.0/24

tuossa on mitä seisoo iptables säännöissä, rivit 2 INPUT ja OUTPUT ketjuissa on kokeilu rajoittaa eth1 vain sisäisiin ip osoitteisiin.

Kertokee hyvät gurut missä olen astunut harhaan.
Kiitos etukäteen.
« Viimeksi muokattu: 18.02.08 - klo:23.27 kirjoittanut Sapa »

Sapa

  • Käyttäjä
  • Viestejä: 6
  • Registered Linux user #382747
    • Profiili
Vs: Mysteeri ongelma iptablesin kanssa
« Vastaus #1 : 14.02.08 - klo:19.09 »
Hieman etsiskelemällä ja googlettamalla törmäsin toiseen reittiin lähestyä tätä, mutta kun tämä menee hieman yli ymmäryksen niin pitää kysyä ensin ja kokeilla sitten.

Jos siirtää koko eth1 osan eth0:n jälkeen niin toimisiko se?

/etc/network/interfaces

Lainaus
auto lo
iface lo inet loopback
address 127.0.0.1
netmask 255.0.0.0


iface eth1 inet dhcp

auto eth1

iface eth0 inet dhcp
        post-up iptables-restore < /etc/iptables.up.rules

auto eth0

Eipä toiminut tuo, eikä tämä seuraavakaan :(

rivit 2 INPUT:ssa ja 1 OUTPUT:ssa on määritetty kyllä eth1, mutta jostai syystä se ei näy tuolla.

Lainaus
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     0    --  anywhere             anywhere
2    ACCEPT     0    --  192.168.0.0/24       anywhere
3    ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED
4    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
5    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
6    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:14534
7    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:51234
8    ACCEPT     udp  --  anywhere             anywhere            udp dpt:8767
9    ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:webmin
10   ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:auth
11   ACCEPT     tcp  --  anywhere             anywhere            tcp spt:6881
12   ACCEPT     udp  --  anywhere             anywhere            udp spt:4444

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     0    --  anywhere             192.168.0.0/24
2    ACCEPT     0    --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
« Viimeksi muokattu: 14.02.08 - klo:20.23 kirjoittanut Sapa »

juyli

  • Vieras
Vs: Mysteeri ongelma iptablesin kanssa
« Vastaus #2 : 14.02.08 - klo:20.42 »
Kaikki toimii juuri niinkuin pitää, kun on eth0(eli adsl modeemin 4 portissa oleve) piuhoissa. Lisätään eth1:lle piuha ja kaikki menee sekaisin.

Mitä oikein haluat tuolla toisella kortilla tehdä? Kahdella kortilla voit toki reitittää liikennettä, mutta, kun käytössäsi on jo reititin, mitä liikennettä toisella kortilla reitität ja mihin verkkoon.

Sapa

  • Käyttäjä
  • Viestejä: 6
  • Registered Linux user #382747
    • Profiili
Vs: Mysteeri ongelma iptablesin kanssa
« Vastaus #3 : 14.02.08 - klo:21.56 »
eth0 on tarkoitus näkyä ja olla tavoitettavissa internetistä, eth1 on tarkoitus olla vain paikallisen verkon käytössä(samba & printteri jaot yms).
Eli yritän rajoittaa eth1 liikenteen vain lähiverkko ip osoitteisiin.

Jostain syystä vaan kaikki selaimet yms käyttää eth1:stä eikä eth0:llaa, joten palvelin ohjelmat(teamspeak, SSH) kuuntelee väärää verkkokorttia eikä kuule toiseltä tulevia kutsuja.

Ainiin, olisi varmaan pitänyt jo aluksi mainita, että ADSL portit 1-3 on NATin takana ja pääsevät sieltä suoraan nettiin.
« Viimeksi muokattu: 14.02.08 - klo:22.05 kirjoittanut Sapa »

ubuntus

  • Käyttäjä
  • Viestejä: 15
    • Profiili
Vs: Mysteeri ongelma iptablesin kanssa
« Vastaus #4 : 16.02.08 - klo:13.25 »
En nyt oikein saa otetta että minkälaista verkkoa oikein rakentelet. Eli käsitinkö nyt oikein että Linux koneen eth0 on modeemin portissa 4 kiinni ja eth1 modeemin portissa 3????? Miltä näyttää kun ajat netstat -rn komentoriviltä ja kummatkin eth0 ja eth1 ovat kytkettyinä????

Sapa

  • Käyttäjä
  • Viestejä: 6
  • Registered Linux user #382747
    • Profiili
Vs: Mysteeri ongelma reitityksen kanssa
« Vastaus #5 : 17.02.08 - klo:22.24 »
En nyt oikein saa otetta että minkälaista verkkoa oikein rakentelet. Eli käsitinkö nyt oikein että Linux koneen eth0 on modeemin portissa 4 kiinni ja eth1 modeemin portissa 3????? Miltä näyttää kun ajat netstat -rn komentoriviltä ja kummatkin eth0 ja eth1 ovat kytkettyinä????

tarkoitit varmaan "netstat -r" ?

Koodia: [Valitse]
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.0.0     *               255.255.255.0   U         0 0          0 eth1
91.153.160.0    *               255.255.240.0   U         0 0          0 eth0
link-local      *               255.255.0.0     U         0 0          0 eth0
default         adsli.purkki    0.0.0.0         UG        0 0          0 eth1
default         a91-153-160-1.e 0.0.0.0         UG        0 0          0 eth0

liitteenä karkea kuva aiotusta verkosta ja muutin topikkia sopivammaksi

[ylläpito on poistanut liitteen]

Vapaan koodin kananmuna

  • Käyttäjä
  • Viestejä: 1536
    • Profiili
Vs: Mysteeri ongelma verkon reitityksen kanssa
« Vastaus #6 : 18.02.08 - klo:18.27 »
Ihan aluksi voisit konffata sen eth1:n staattisille asetuksille, niin ettei se käytä tuota adsl-modeemia oletusreittinä, elikkä /etc/network/interfaces
Koodia: [Valitse]
iface eth1 inet static
address 192.168.0.215
netmask 255.255.255.0
215 on ihan heitto tuossa, käytä jotain osoitetta joka on alueella josta modeemin dhcp ei jaa osoitteita.
Luulisin, että ongelmana on, että kone kommunikoi yhteyden ottajalle väärän yhdyskäytävän kautta, älä siis laita tuolle nattiverkolle mitään yhdyskäytävää, kun kuitenkin haluat kommunikoida ulkomaailmaan eth0:n avulla.
« Viimeksi muokattu: 18.02.08 - klo:18.29 kirjoittanut Vapaan koodin kananmuna »
En Vastaa Vaikeisiin Kysymyksiin.

Sapa

  • Käyttäjä
  • Viestejä: 6
  • Registered Linux user #382747
    • Profiili
Vs: Mysteeri ongelma verkon reitityksen kanssa
« Vastaus #7 : 18.02.08 - klo:20.47 »
Pitääpä kokeilla tuota kun pääsee töistä poies. Kiitos.

Mutta kun on tyhmä niin pitää kysyä.
Pitänee varmaan myös ottaa telewellin dchp serveristä linukan verkkokortti määritykset?
Tällä hetkellä se jakaa kiinteät ip:t MAC osoitteen perusteella NAT:n sisällä.

Sapa

  • Käyttäjä
  • Viestejä: 6
  • Registered Linux user #382747
    • Profiili
Vs: Mysteeri ongelma verkon reitityksen kanssa
« Vastaus #8 : 18.02.08 - klo:22.37 »
Kiinteä ip oli se avain, kiitosta.
Nyt näyttäis reitittävän ihan niinkuin pitääkin, mutta sambaan en pääse nyt jostain syystä käsiksi.
Se näkyy kyllä windowsilla, muttei päästä sisään.

EDIT: En ole kyllä ihan satavarma mitä muutin mutta nyt se vaan taitaa toimia. Nyt en kyllä koske mihkään asetukseen vähään aikaan  :P

ipconfig sanoo tätä
Koodia: [Valitse]
eth0      Link encap:Ethernet  HWaddr 00:jne
          inet addr:91.153.***.***  Bcast:91.153.175.255  Mask:255.255.240.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:143256 errors:0 dropped:0 overruns:0 frame:0
          TX packets:129354 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:52105809 (49.6 MB)  TX bytes:16623374 (15.8 MB)
          Interrupt:9 Base address:0x6f80

eth1      Link encap:Ethernet  HWaddr 00:jne
          inet addr:192.168.0.88  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3364 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3350 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1564865 (1.4 MB)  TX bytes:537167 (524.5 KB)
          Interrupt:5 Base address:0xae00

netstat -r sanoo näin
Koodia: [Valitse]
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.0.0     *               255.255.255.0   U         0 0          0 eth1
91.153.160.0    *               255.255.240.0   U         0 0          0 eth0
link-local      *               255.255.0.0     U         0 0          0 eth0
default         a91-153-160-1.e 0.0.0.0         UG        0 0          0 eth0

/etc/network/interfaces sisältää:
Koodia: [Valitse]
auto lo
iface lo inet loopback
address 127.0.0.1
netmask 255.0.0.0

pre-up iptables-restore < /etc/iptables.up.rules
auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.0.88
netmask 255.255.255.0

ja iptables säännöt(on tehty webminillä joten saattaa näyttää sekavalta)
Koodia: [Valitse]
# Generated by iptables-save v1.3.6 on Thu Feb 14 19:51:35 2008
*raw
:PREROUTING ACCEPT [3758:541441]
:OUTPUT ACCEPT [3534:317512]
COMMIT
# Completed on Thu Feb 14 19:51:35 2008
# Generated by iptables-save v1.3.6 on Thu Feb 14 19:51:35 2008
*nat
:PREROUTING ACCEPT [165:18663]
:POSTROUTING ACCEPT [119:13741]
:OUTPUT ACCEPT [119:13741]
COMMIT
# Completed on Thu Feb 14 19:51:35 2008
# Generated by iptables-save v1.3.6 on Thu Feb 14 19:51:35 2008
*mangle
:PREROUTING ACCEPT [3758:541441]
:INPUT ACCEPT [3716:537571]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3534:317512]
:POSTROUTING ACCEPT [3678:338844]
COMMIT
# Completed on Thu Feb 14 19:51:35 2008
# Generated by iptables-save v1.3.6 on Thu Feb 14 19:51:35 2008
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 20,21
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 14534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51234 -j ACCEPT
-A INPUT -p udp -m udp --dport 8767 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
# samba
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --sports 135,139,445
# samba
-A INPUT -p udp -m udp -m multiport -j ACCEPT --sports 137,138
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
COMMIT
# Completed on Thu Feb 14 19:51:35 2008
« Viimeksi muokattu: 18.02.08 - klo:23.26 kirjoittanut Sapa »