[SOLVED]maskarada -nie zawsze dziala

[misterLu]

Mam gentoo na serwerze. Do tego NEO+ (sagem shit 800 USB). Czasami z kompa wew. domowej sieci, za sprawa maskarady, nie moge wejsc na niektore serwery. Jesli sie ssh-uje na moja bramke, to za pomoca Linksa2 moge wejsc na te strony (polaczyć sie z tymi serwerami).
Ktos mi to wyjasni?

[czestmir]

pierwsze co mi przychodzi do głowy to DNS czy są te same na serverze i kompach w sieci.

2) o ile dobrze zrozumiałem to dzieje się tak czasami może więc ustal
- czy na wszystkich kompach
- czy dokładnie w tym samym czasie niedziała na kompie w sieci
co na serverze
3) przejrzyj logi może one coś wyjaśnią

to tyle co mi przychodzi do głowy

PS. Podobno TPSA przy nadawaniu IP z DHCP używa klas 83.x.x.x co równierz może być przyczyną

Pozdrawiam
czestmir

[misterLu]

[czestmir]

Witam
Pozostają jeszcze logi na serwerze spróbuj zobaczyć co dzieje sie w czasie braku dostępu do netu (/var/log/messages - albo jakoś tak)

Pozdrawiam
czestmir

[Starko]

Jeżeli to jest to o czym myślę, to problem tkwi w różnych wartościach MTU dla interfejsu ppp i eth. MTU dla ppp = 1492, a dla eth domyslnie 1500. Najprosciej na kazdym z kompow w sieci zmienic MTU wlasnie na 1492 (chyba ifconfig eth0 mtu=1492). Dla windowsow sa do tego specjalne programy, pogoogluj.
A ustawienia dla iptables na serwerze znajdziesz np tutaj:
http://neostrada.info/instalacja.php?instalacja=sagem_slackware

starko
_________________
Slackware user :]

[Dagger]

To kawalek z mojej starej konfiguracji firewalla. SPrawdz i zobacz czy wszystko Ci juz dziala:

#!/bin/bash
#
# Masq script
#
# Starting Internet Connection sharing.
# PPP0 - Internet interface
# ETH0 - Local interface
# Written for Gentoo Linux.
#
# Autor: Robert Piasek dagger@vico.pl

USER=root
DATA=`date`
IPAD=`cat /etc/masq/ipsave.txt`

case "$1" in
start)
# echo -n 'Starting internet connection sharing. '

echo "1" > /proc/sys/net/ipv4/ip_forward

# First of all we need to load some modules.
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp

# Its time to flush all tables.
/sbin/iptables -F
/sbin/iptables -F -t nat

# By default we do not allow anything to pass.
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

# We give lo special rights
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A FORWARD -o lo -j ACCEPT


# We allow transfer to local network
/sbin/iptables -A INPUT -i eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT

# Now we need to block with ICMP Port Unreachable SOCKS and INETD requests
/sbin/iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable

# We accept all pings.
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

# Some services like www or DNS need to get throught
TCP_SERVICES_ALLOWED=7,21,22,25,80,115,209,443,993,995,4001,4662,5901

/sbin/iptables -A INPUT -p tcp -d 0/0 -m multiport --destination-port $TCP_SERVICES_ALLOWED -j ACCEPT

#Special rights for ICMP protocol

# We accept all connection witch was already established
/sbin/iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
/sbin/iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
/sbin/iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW

/sbin/iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
/sbin/iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
/sbin/iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW

/sbin/iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED
/sbin/iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED,NEW


# Its list of ports with we will accept
# 4242,4662-eMule; 3770-PM Voice server; 4001-Q6 Voice server; 8245-noip client; 873-rsync; 4242-ProbenPricne mule server; 4661-Razorback mule server;
TCP_OUT_ALLOWED=80,8080,21,22,995,25,53,23,119,6667,443,1863
TCP_OUT_ALLOWED2=4001,8245,873,28070,4000,4242,4661,4662,7,3770,6073,2302
UDP_OUT_ALLOWED=123,7,53,4001,3770,4662,2302

/sbin/iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED
/sbin/iptables -A OUTPUT -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED2
/sbin/iptables -A OUTPUT -o ppp0 -p udp -j ACCEPT -m state --state NEW -m multiport --destination-port $UDP_OUT_ALLOWED

#Lionheart local game ports
/sbin/iptables -A FORWARD -i eth0 -p tcp -j ACCEPT -m multiport --destination-port 47624,26784,6073
/sbin/iptables -A FORWARD -i eth0 -p udp -j ACCEPT -m multiport --destination-port 47624,26784,6073

#Homeworld2 ports
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 2300:2400 -j ACCEPT
# /sbin/iptables -t nat -A PREROUTING -p tcp -d 80.54.153.55/32 --dport 6073 -j DNAT --to-destination 192.168.1.254

#JO and JA ports
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 28060:28080 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 28060:28080 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 29060:29080 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 29060:29080 -j ACCEPT

/sbin/iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
/sbin/iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED
/sbin/iptables -A FORWARD -o ppp0 -p tcp -j ACCEPT -m state --state NEW -m multiport --destination-port $TCP_OUT_ALLOWED2
/sbin/iptables -A FORWARD -o ppp0 -p udp -j ACCEPT -m state --state NEW -m multiport --destination-port $UDP_OUT_ALLOWED


# Now its time to forward some ports.
#/sbin/iptables -t nat -A PREROUTING -p tcp -d $IPAD --dport 412 -j DNAT --to-destination 192.168.1.254
#/sbin/iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport 412 -j DNAT --to-destination 192.168.1.254

# Masquerade to local network
/sbin/iptables -t nat -A POSTROUTING -p all -s 192.168.1.0/24 -j MASQUERADE

# We need to logg all packetes with wasnt accepted by aby rule.
/sbin/iptables -A INPUT -j LOG -m limit --limit 50/hour
/sbin/iptables -A OUTPUT -j LOG -m limit --limit 50/hour
/sbin/iptables -A FORWARD -j LOG -m limit --limit 50/hour

# echo
echo "$DATA - Setting up internet connection sharing." >> /var/log/masq.log
;;
stop)
# echo -n 'Stopping internet connection sharing. '
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F INPUT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -F OUTPUT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -F FORWARD
/sbin/iptables -A FORWARD -i eth0 -o eth1 -j DROP

# echo
echo "$DATA - Stopping internet connection sharing." >> /var/log/masq.log
;;
*)
echo "Usage: ./rc.masq {start|stop}"
exit 1
esac

exit 0

[Dagger]

Przypuszczalnie chodzi o linijke:
/sbin/iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

[Starko]

Hm, niby wszędzie piszą że to właśnie trzeba dopisać żeby neo działało w sieci lokalnej, ale niestety u mnie to nie pomogło. Dopiero zmiana wartości mtu na każdym kompie coś dała.

starko
_________________
Slackware user :]

[misterLu]

i u mnie ustawienie mtu (Maximum transfer Unit) na 1492 na każdym kompie pomogło.
Jesli ktos chce wiedziec dlaczego, to tu jest wszystko klarownie wyjasnione:
http://www.spoko.neostrada.pl/DSL-HOWTO.html
dzieki za pomoc. Wszystko juz OK.