View previous topic :: View next topic |
Author |
Message |
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Mon Sep 22, 2003 5:57 pm Post subject: Problemi Di Rete... |
|
|
Salve..dopo aver finalmente risolto iptables e ipv6...ho una ltro problemino..: il routing della konnessione funge..(internet arriva anche all'altra macchina)..ma se io cerco di pingare il pc 192.168.0.2 da Gentoo (che ho configurato su eth0 come 192.168.0.1 per la rete interna) non pinga! Aiuto!! |
|
Back to top |
|
|
fedeliallalinea Administrator
Joined: 08 Mar 2003 Posts: 31354 Location: here
|
Posted: Mon Sep 22, 2003 6:02 pm Post subject: |
|
|
Mi sembra strano, sei sicuro che la rete sulla 192.168.0.2 sia up? _________________ Questions are guaranteed in life; Answers aren't. |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Mon Sep 22, 2003 6:28 pm Post subject: |
|
|
Si è il pc da qui sono ora..la connessione arriva..ma per quanto riguarda i ping niente!!..da da 0.1 verso 0.2 che viceversa!! |
|
Back to top |
|
|
cerri Bodhisattva
Joined: 05 Mar 2003 Posts: 2957 Location: # init S
|
Posted: Mon Sep 22, 2003 6:29 pm Post subject: |
|
|
Visto che parli di iptables, presumo che tu abbia configurato la tua macchina per "droppare" i ping... puo' essere? _________________ Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Mon Sep 22, 2003 6:44 pm Post subject: |
|
|
non credo..cmq premetto non sono un esperto di iptable e ho letto qualcosa sulla rete e seguito qualche how-to..i comadi che ho usato dopo la ricompilazione sono :
Code: | $> iptables -F; iptables -t nat -F; iptables -t mangle -F
$> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
$> echo 1 > /proc/sys/net/ipv4/ip_forward
| ..e quello che diceva l'how to riguardo a questi comandi non era riferito al dropp dei ping.
Che puo essere ? |
|
Back to top |
|
|
cerri Bodhisattva
Joined: 05 Mar 2003 Posts: 2957 Location: # init S
|
Posted: Tue Sep 23, 2003 9:44 am Post subject: |
|
|
Posta l'output del comando
dopo aver fatto un ping (anche se non risponde). _________________ Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito |
|
Back to top |
|
|
DuDe Guru
Joined: 04 Dec 2002 Posts: 314 Location: Roma Italy
|
Posted: Tue Sep 23, 2003 10:31 am Post subject: |
|
|
Che policy di default hai per tutte le chain? se non hai fatto nulla dovresti avere le policy su accept, cosi' che devi specificare cosa NON deve fa passare, io preferisco mettere tutto su drop, ed aprire cio' che mi serve, controlla, magari e' quello _________________ mount -t brain /dev/brain /body/skull |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Tue Sep 23, 2003 7:33 pm Post subject: |
|
|
Ecco l'output :
Code: | BlackBox root # ping 192.168.0.2
PING 192.168.0.2 (192.168.0.2) 56(84) bytes of data.
--- 192.168.0.2 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5012ms
BlackBox root # /sbin/arp -an
? (192.168.0.2) at 00:D0:59:54:55:8D [ether] on eth0
BlackBox root #
|
|
|
Back to top |
|
|
cerri Bodhisattva
Joined: 05 Mar 2003 Posts: 2957 Location: # init S
|
Posted: Tue Sep 23, 2003 7:52 pm Post subject: |
|
|
Allora le due macchine si vedono
Controlla la netmask di entrambe, e i firewall di entrambe. _________________ Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Tue Sep 23, 2003 9:16 pm Post subject: |
|
|
Qeusto è quanto mi da per eth0 sulla macchina principale:
Code: | eth0 Link encap:Ethernet HWaddr 00:01:02:F0:B2:A8
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::201:2ff:fef0:b2a8/10 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:12392 errors:0 dropped:0 overruns:0 frame:0
TX packets:18461 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1295793 (1.2 Mb) TX bytes:6085662 (5.8 Mb)
Interrupt:9 Base address:0xdc00
|
Per quanto riguarda la macchina in rete ha 192.168.0.2 come ip, 255.255.255.0 come subnet mask e 192.168.0.1 come gateway predefinito.
C'e qualcosa che non torna? |
|
Back to top |
|
|
cerri Bodhisattva
Joined: 05 Mar 2003 Posts: 2957 Location: # init S
|
Posted: Tue Sep 23, 2003 9:18 pm Post subject: |
|
|
No sembra tutto ok, regole di firewall? _________________ Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Tue Sep 23, 2003 9:26 pm Post subject: |
|
|
sinceramente al firewall ancora non ero arrivato..cmq cosa dovrei controllare? provo cmq a dare un okkiata |
|
Back to top |
|
|
Antenagora n00b
Joined: 24 Sep 2003 Posts: 21 Location: ITALIA
|
Posted: Thu Sep 25, 2003 8:41 am Post subject: |
|
|
La mi arisposta forse puo suonare un po' fuori
Ma in questi giorni in edicola esce Linux & Co. con una guida-librettino proprio sul firewall (iptables+ipchain e nat), fatta mooolto bene da Luigi Genoni (e chi segue il kernel sa chi è costui). La rivista non è male, se non altro ha il merito di avermi avvicinato a Gentoo _________________ Slack since 3.2 FreeBSD since 4.1 Gentoo since 1.4 |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Thu Sep 25, 2003 2:03 pm Post subject: |
|
|
Conosco bene Linux&C.. e anche stavolta penso proprio di prendermelo! Spero che la guida mi dia una mano a risolvere questi problemi! Intanto se qualcuno sa come aiutarmi..ne sarei cmq felice |
|
Back to top |
|
|
babalinux Tux's lil' helper
Joined: 20 Aug 2003 Posts: 117
|
Posted: Thu Sep 25, 2003 2:54 pm Post subject: |
|
|
f0llia wrote: | ..i comadi che ho usato dopo la ricompilazione sono :
Code: | $> iptables -F; iptables -t nat -F; iptables -t mangle -F
$> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
$> echo 1 > /proc/sys/net/ipv4/ip_forward
| ..e quello che diceva l'how to riguardo a questi comandi non era riferito al dropp dei ping.
Che puo essere ? |
come vedi dai comandi che hai impartito a iptables, vengono eseguite le seguenti operazioni:
- Flush di tutte le chains di tutte le tables e poi, nello specifico, della table nat e mangle;
- aggiunta, per la table nat, alla chain POSTROUTING delle seguenti regole: per l'output (i pacchetti in uscita) rivolto verso l'interfaccia ppp0, salta (j) alla MASQUERADE chain;
<edit>
=> manca una policy di default per i pacchetti in uscita:
iptables -P OUTPUT ACCEPT
e manca qualcosa che dica come deve comportarsi per i pacchetti in entrata diretti verso eth0, del tipo:
iptables -A INPUT -i eth0 -j ACCEPT
io, comunque, farei uno script che:
- come prima cosa, imposta le policies;
- poi configura le varie tables e chains nel dettaglio;
</edit motivo="avevo scritto delle minchiate">
HTH,
baba |
|
Back to top |
|
|
shev Bodhisattva
Joined: 03 Feb 2003 Posts: 4084 Location: Italy
|
Posted: Thu Sep 25, 2003 4:58 pm Post subject: |
|
|
babalinux wrote: |
=> manca una policy di default per i pacchetti in uscita:
iptables -P OUTPUT ACCEPT
|
Ma se non impostata non viene messa automaticamente a "ACCEPT"?
Anche verificando sul mio pc pare così...
Cmq consiglio per queste cose e molte altre l'ottima guida sulla sicurezza di una Gentoo box che si trova su gentoo.org nella sezione docs. _________________ Se per vivere ti dicono "siediti e stai zitto" tu alzati e muori combattendo |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Thu Sep 25, 2003 11:22 pm Post subject: |
|
|
anche a me sembra che di default venga impostata su ACCEPT..!
Grazie del consigli shev..me la leggo il piu presto possibile ! |
|
Back to top |
|
|
morellik l33t
Joined: 03 Feb 2003 Posts: 629 Location: Firenze
|
|
Back to top |
|
|
babalinux Tux's lil' helper
Joined: 20 Aug 2003 Posts: 117
|
Posted: Fri Sep 26, 2003 9:35 am Post subject: |
|
|
Shev wrote: | babalinux wrote: |
=> manca una policy di default per i pacchetti in uscita:
iptables -P OUTPUT ACCEPT
|
Ma se non impostata non viene messa automaticamente a "ACCEPT"?
Anche verificando sul mio pc pare così... |
si Shev,
io, tuttavia, preferisco sempre specificare.
In passato, trovandomi a configurare una Linux box (Red Hat, allora) affinche' condividesse la connettivita' di una LAN ad internet via modem tramite Masquerading, preparai, grazie ai consigli di un sysadmin un po' piu' esperto di me (iptables era appena nato), uno script ("rc.firewall") che veniva invocato da rc.local all'avvio. Piu' o meno i contenuti erano i seguenti:
Code: |
OUTSIDE=ippp0
INSIDE=eth0
## POLICIES --------------------------------------------
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
## SNAT/MASQ -----------------------------------------
iptables -t nat -A POSTROUTING -o $OUTSIDE -j MASQUERADE
## INPUT ------------------------------------------------
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $INSIDE -j ACCEPT
# pacchettti in entrata ----------------------------------
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! $OUTSIDE -j ACCEPT
iptables -A INPUT -m state --state NEW,INVALID -j DROP
## FORWARD -------------------------------------------------
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -i ! $OUTSIDE -j ACCEPT
## attivazione forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward |
Un consiglio a f0llia: occhio che, almeno all'epoca, se tra i valori della opzione --state, i quali sono separati da virgola, veniva messo uno spazio, iptables non riusciva a configurarsi, dando un errore in fase di lettura dei suddetti comandi.
HTH,
baba |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Fri Sep 26, 2003 10:00 am Post subject: |
|
|
Grazie per il link Morellik!
Provo a configurare uno script come quello che mi hai postato babalinux magari risolvo qualcosa! |
|
Back to top |
|
|
shev Bodhisattva
Joined: 03 Feb 2003 Posts: 4084 Location: Italy
|
Posted: Fri Sep 26, 2003 4:59 pm Post subject: |
|
|
babalinux wrote: |
si Shev,
io, tuttavia, preferisco sempre specificare.
|
Sisi, su politica DROP di default, script personale e tutto il resto sono più che d'accordo, ci mancherebbe! La mia osservazione era solo data dal fatto che mi pareva strano che il problema stesse nella politica di default non impostata, poichè anche non impostandola esplicitamente viene cmq messa ad ACCEPT di suo. Tutto qui _________________ Se per vivere ti dicono "siediti e stai zitto" tu alzati e muori combattendo |
|
Back to top |
|
|
babalinux Tux's lil' helper
Joined: 20 Aug 2003 Posts: 117
|
Posted: Mon Sep 29, 2003 9:46 am Post subject: |
|
|
Shev wrote: | ... non impostandola esplicitamente viene cmq messa ad ACCEPT di suo. Tutto qui |
ok.
chissa' poi se f0llia ha risolto?
cucu', f0llia, hai risolto?
baba |
|
Back to top |
|
|
f0llia l33t
Joined: 22 Apr 2003 Posts: 873
|
Posted: Tue Sep 30, 2003 5:13 pm Post subject: |
|
|
sorry per il ritardo sono stato via per un paio di gg! cmq non ho risolto..il problema persiste! avete altro da consigliarmi? |
|
Back to top |
|
|
babalinux Tux's lil' helper
Joined: 20 Aug 2003 Posts: 117
|
Posted: Wed Oct 01, 2003 7:11 am Post subject: |
|
|
f0llia wrote: | ..il problema persiste! avete altro da consigliarmi? |
dipende... quale e' il prolema adesso?
hai provato lo script che ti ho passato?
Se lo hai provato come script locale che viene eseguito alla fine del processo di boot, potresti non avere visto eventuali errori in fase di lettura dei comandi, prova quindi a lanciarlo da riga di comando, es.:
Code: | $ ./configura_iptables |
facci sapere, eventualmente postando qualcosina che ci dica cosa sta succedendo... a te la scelta
baba |
|
Back to top |
|
|
OKreZ Guru
Joined: 27 Apr 2003 Posts: 372 Location: Padova (IT)
|
Posted: Tue Oct 14, 2003 4:00 pm Post subject: |
|
|
dovresti controllare i vari /proc/sys/net/ipv4/icmp_* che modificano il comportamento del kernel nei riguardi dei pacchetti di tipo ICMP (che sono usati da ping). In particolare se icmp_echo_ignore_all contiene 1 significa che i pacchetti icmp_echo vengono ignorati... _________________ (HCS)OKreZ |
|
Back to top |
|
|
|