Routing problem

Jan Marek jmarek na jcu.cz
Středa Srpen 22 10:45:56 CEST 2001 

Dobry den,

On Wed, Aug 22, 2001 at 10:22:16AM +0200, Marek Butas wrote:
> Ahoj,
> 
> Prosim Vas, nevite kde je chyba? Nemohu navazat SMTP spojeni skrz
> firewall.
> 
> Za firewallem jsou dve podsite 10.0.1.x (eth) a 10.0.0.x (tr). Na
> tokenring se pristupuje skrz gateway 10.0.1.3.
> 
> Kernel IP routing table
> Destination   Gateway       Genmask       Flags Metric Ref  Use Iface
> X.5.36.10     0.0.0.0       255.255.255.255 UH  0      0    0   eth0
^^^^
tento radek je tu navic (viz radek 3)

> 10.0.1.0      0.0.0.0       255.255.255.255 UH  0      0    0   eth1
> X.5.36.0      0.0.0.0       255.255.255.224 U   0      0    0   eth0
> 10.0.0.0      10.0.1.3      255.255.255.0   UG  0      0    0   eth1
> 10.0.1.0      0.0.0.0       255.255.255.0   U   0      0    0   eth1
> 127.0.0.0     0.0.0.0       255.0.0.0       U   0      0    0   lo
> 0.0.0.0       X.5.36.1      0.0.0.0         UG  0      0    0   eth0
> 
> A tady je vypis z iptables ... Uz jsem vyhazel, co se dalo, ale
> nemohu prijit v cem je chyba.
> 
> Chain PREROUTING (policy ACCEPT)
> target   prot opt source   destination
> DNAT     tcp  --  anywhere x.5.36.10     tcp dpt:smtp to:10.0.1.2:25

IMHO bude chyba tady (jeste s iptables namam moc zkusenosti,
spise s ipchains): spojeni na port 25 se sice preda na tu masinu,
ale jak ta masina odpovi? Jinymi slovy: ocekaval bych tu
pravidlo, ktere dovoli odpovidat te masine zpet

> 
> Chain POSTROUTING (policy DROP)
> target     prot opt source               destination
> MASQUERADE  all  --  anywhere             anywhere

tu maskaradu je treba taky omezit: mezi svyma sitema asi
maskaradovat nic nebudete, ne? Cili je tu treba pravidlo jako:

iptables -t nat -A POSTROUTING -d !10.0.0.0/8 -s 10.0.0.0/8 \
-j MASQUERADE

(a mozna i opacne, tj:

iptables -t nat -A POSTROUTING -s !10.0.0.0/8 -d 10.0.0.0/8 \
-j MASQUERADE
)

> Dohady ... telnetim-li na firewall {x.5.36.10} spojeni je odepreno.

no a mate tam spusteny telnetd? Pokud ne, tak se nedivte...

> Pokud ovsem zkusim port 25, tak to zkousi a zkousi a nic se nedej. Z
> firewallu samotneho nemohu pingnout ani na "jednu stranu" - operation
> not permitted.

Na jakou stranu? Zkuste uvest priklad. IMHO z firewallu se musi
dat pingnout kamkoliv, jinak je to spatne. Zkuste si prvne bez
iptables udelat routovani tak, abyste mel z firewallu dostupne
vsechny site. Pak se teprv snazte delat neco s iptables a
prubezne si to testujte. Jakmile se vam po zadani nejakeho
pravidla porusi moznost dostat se kamkoliv, tak to pravidlo bylo
spatne...

> Prolezl jsem how-to i par boardu, ale stale nevim, kde je chyba.
> Podle mne to vypada, ze firewall prijme smtp spojeni, ale pocitac kam
> to forwardovat nemuze najit. Routovaci tabulka je ale v poradku.

To je mozne...

> 
> Dik za vsechny navrhy.
> 
> Marek
> Butas

Zdravi
Honza Marek
-- 
Ing. Jan Marek
University of South Bohemia
Academic Computer Centre
Phone: +420-38-7772080

Další informace o konferenci Linux