| View previous topic :: View next topic |
| Author |
Message |
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4810
Location: http://www.gentoo-users.org/user/cloc3/
|
 Posted: Wed May 20, 2009 12:07 pm Post subject: [iptables] configurazione zero. |
 |
|
argh. non sapere nulla diiptables ed avere fretta di risolvere un problema.
fino ad adesso, l'unica cosa che sapevo era utilizzare questa configurazione:
| Code: |
[13:40:28]root@rhserver:<~># iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS set 1452
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
|
in teoria, dovrebbe redirigere il 100% del traffico attraverso il router, senza alcun tipo di filtro.
per impostarlo basterebbe settare ad 1 il file /proc/sys/net/ipv4/ip_forward (con echo)
ora, ho un sistema dove tutto non funziona. le cose stanno così:
ip del server:
eth0: 192.168.0.2
eth1 192.168.1.254
router della rete esterna: 192.168.1.1
tabella di routing del server:
| Code: |
[13:55:17]root@rhserver:<~># route -en
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
|
ip di un client generico: 192.168.0.100
tabella di routing del client:
| Code: |
root@netlive-107:~# route -en
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.0.2 0.0.0.0 UG 0 0 0 eth0
|
i ping di 192.168.0.100 fuori dalla rete non passano.
talvolta, ricevo messagi come il seguente, che assolutamente non capisco:
| Code: |
root@netlive-107:~# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
From 192.168.0.2: icmp_seq=2 Redirect Host(New nexthop: 192.168.1.1)
From 192.168.0.2: icmp_seq=3 Redirect Host(New nexthop: 192.168.1.1)
...
root@netlive-107:~# ping 212.216.112.112
PING 212.216.112.112 (212.216.112.112) 56(84) bytes of data.
From 192.168.0.2: icmp_seq=2 Redirect Host(New nexthop: 192.168.1.1)
|
cosa dovrei fare per uscirne?
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
 |
cloc3
Advocate
Joined: 13 Jan 2004
Posts: 4810
Location: http://www.gentoo-users.org/user/cloc3/
|
| Posted: Wed May 20, 2009 12:27 pm Post subject: |
|
|
forse ho risolto da me.
bastava cambiare ppp0 in eth1.
ma purtroppo, in tema sono nubbio al punto da non capire neppure queste cose.
lascio aperto il thread per eventuali commenti.
_________________
vu vu vu
gentù
mi piaci tu |
|
| Back to top |
|
|
IlGab
Guru
Joined: 26 Nov 2004
Posts: 486
|
| Posted: Sun May 24, 2009 11:25 pm Post subject: |
|
|
Puoi usare il nat o il masquerade (se cerchi iptables masquerade trovi le istruzioni easy).
In buona sostanza i tuoi pacchetti non tornano perchè il tuo modem (che da quello che ho capito è connesso al server che fa routing) non conosce la rotta di ritorno del pacchetto che ha come origine il client.
Client <---> Server/Router <---> Modem
Client conosce la rete 192.168.0.0, tutto quello che non trova lo manda sul default gateway, quindi parla solo con il server
Server/Router conosce le 2 reti 192.168.0.0 e 192.168.1.0 che gli sono visibili perchè direttamente connesse, quindi parla con tutti, quando deve uscire manda i pacchetti sul default gateway.
Modem conosce la rete 192.168.1.0 più la rete del provider, dalle proprie rotte sa come raggiungere la rete 192.168.1.0 ma non la rete 192.168.0.0 che non gli viene annunciata da nessuno, quindi cercherà di mandare i pacchetti verso il suo default gateway.
Perchè possa parlare con il client dovresti poter controllare le rotte statiche e dirgli che per rispondere alla rete 192.168.0.0 deve inviare i pacchetti al 192.168.1.254 (il server).
L'alternativa è, come anticipato, l'utilizzo del nat o del masquerade: i pacchetti in ingresso sulla rete 192.168.0.0 vengono "mascherati" con un indirizzo 192.168.1.x a cui il modem potrà rispondere (perchè la rete gli è nota). Il server/router si arrangerà a tenere traccia di quali pacchetti deve restituire al client.
Spero di essermi spiegato in maniera chiara  |
|
| Back to top |
|
|
devilheart
l33t
Joined: 17 Mar 2005
Posts: 848
Location: Villach, Austria
|
| Posted: Tue May 26, 2009 10:24 am Post subject: |
|
|
suggerisco l'uso di una route statica sul router
comunque questa riga è sospetta
| Code: | 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
|
l'interfaccia di uscita dovrebbe essere eth1 |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
